O que é MDM e como funciona na prática
MDM é uma categoria de software corporativo que funciona por meio de um agente instalado em cada dispositivo da frota. Esse agente se comunica com um servidor central (on-premise ou em nuvem) e permite que o administrador de TI execute comandos, aplique políticas e colete informações de qualquer dispositivo da frota a qualquer momento, independentemente de onde ele esteja.
O MDM não é uma solução única: é uma categoria que inclui várias plataformas (Samsung Knox, Microsoft Intune, Jamf, ManageEngine, Urmobo, Mobiltec, entre outras). O que define um MDM como adequado para o ambiente corporativo não é apenas a capacidade de rastrear dispositivos, mas a profundidade das políticas de segurança que ele consegue aplicar e sua integração com os sistemas de identidade e acesso que a empresa já usa.
Como o MDM funciona: do enrollment ao controle centralizado
| Enrollment (matrícula) |
O dispositivo é registrado na plataforma MDM. Em frotas corporativas com locação, esse processo pode ser feito via Zero Touch Enrollment (Android) ou Apple Business Manager (iOS), sem nenhuma ação manual do colaborador: o dispositivo se registra automaticamente ao ligar pela primeira vez. |
| Aplicação de perfil |
Após o enrollment, o MDM aplica automaticamente o perfil de configuração definido pelo TI: senha mínima, criptografia de armazenamento, VPN corporativa, apps obrigatórios instalados silenciosamente, apps bloqueados, restrições de câmera ou Bluetooth em ambientes sensíveis, e separação de perfil pessoal e corporativo. |
| Monitoramento contínuo |
A plataforma coleta e exibe em tempo real: versão do sistema operacional de cada dispositivo, apps instalados, status de conformidade (senha ativa, criptografia on, VPN configurada), localização (quando habilitado), consumo de bateria e data do último acesso. O administrador vê toda a frota em um único painel. |
| Ações remotas |
O administrador pode executar remotamente: wipe completo ou seletivo (apaga só os dados corporativos), bloqueio de tela, reset de senha, instalação ou remoção de aplicativo, atualização forçada de sistema operacional, restrição de acesso a redes Wi-Fi não autorizadas e geofencing (bloquear o dispositivo fora de determinada área geográfica). |
| Relatórios e conformidade |
O MDM gera logs de todas as ações executadas em cada dispositivo, relatórios de conformidade com as políticas de segurança definidas, alertas automáticos quando um dispositivo sai da conformidade (ex: senha desativada, sistema desatualizado) e histórico auditável necessário para conformidade com a LGPD e normas de segurança da informação. |
O que acontece com um parque de dispositivos sem MDM
A maioria das empresas que compra notebooks e smartphones sem contratar MDM vive em um estado que o mercado chama de dark assets: dispositivos ativos com dados corporativos que o TI não consegue ver, controlar nem proteger.
🔍
TI não sabe quantos dispositivos estão ativos
Sem inventário centralizado, a empresa não sabe com precisão quantos notebooks e celulares corporativos estão em uso, quem está com cada um, ou se algum foi extraviado. Esse dado só aparece nas planilhas de controle patrimonial, que geralmente têm meses de atraso e dependem de atualização manual.
🔓
Dispositivos com vulnerabilidades ativas sem que ninguém saiba
Sem MDM, não há como saber qual versão do sistema operacional cada dispositivo está rodando. Notebooks com Windows desatualizado e celulares com Android sem patches de segurança são vetores ativos de ataque cibernético. O TI só descobre quando acontece o incidente.
📲
Dados corporativos em apps não autorizados
Sem controle de aplicativos, o colaborador pode instalar qualquer app no dispositivo corporativo e acessar dados da empresa por ele. Dados de clientes no WhatsApp pessoal, planilhas salvas no Google Drive pessoal, senhas corporativas armazenadas em gerenciadores pessoais não criptografados: todos são riscos reais que o MDM previne com políticas de acesso a apps.
🚨
Dispositivo perdido ou roubado com dados corporativos acessíveis
Um notebook perdido em aeroporto ou um celular roubado contém, na maioria dos casos, acesso a e-mail corporativo, sistema de CRM, documentos internos e credenciais de sistemas. Sem MDM, não há como apagar esses dados remotamente. Com MDM, o wipe remoto é executado em minutos a partir do painel do TI.
⚖️
Desligamento de colaborador com acesso ativo a sistemas
No dia do desligamento, o RH bloqueia as credenciais do sistema. Mas o colaborador ainda tem o notebook ou celular corporativo em mãos, possivelmente com sessões abertas em aplicativos que não dependem de autenticação contínua. Sem MDM, o TI não tem como limpar esses acessos remotamente antes da devolução física do dispositivo.
O dado que define a urgência do MDM
A IDC projeta que o número de dispositivos corporativos conectados deve ultrapassar 20 bilhões até 2026. Cada dispositivo sem MDM é um ponto cego de segurança: dados que a empresa não consegue ver, controlar nem apagar remotamente. Em um ambiente de trabalho híbrido, onde parte do time acessa sistemas corporativos de casa ou de campo com dispositivos fora do controle do TI, a ausência de MDM não é uma lacuna de conveniência. É uma exposição de risco ativa e documentada.
As 5 funções obrigatórias de um MDM corporativo
Nem todo MDM entrega o mesmo nível de controle. Algumas plataformas oferecem apenas rastreamento básico. Um MDM corporativo completo precisa cobrir cinco funções que, juntas, garantem visibilidade, segurança e conformidade de toda a frota de dispositivos.
01
Obrigatório
Inventário centralizado em tempo real
Painel com todos os dispositivos da frota: modelo, IMEI ou número de série, versão do SO, apps instalados, status de conformidade, usuário responsável e data do último acesso. O inventário em tempo real substitui as planilhas de controle patrimonial e elimina os dark assets: dispositivos ativos que o TI desconhece.
Samsung Knox
Microsoft Intune
ManageEngine
Urmobo
02
Obrigatório
Wipe remoto: apagamento de dados à distância
Capacidade de apagar todos os dados corporativos de qualquer dispositivo remotamente, em segundos. O wipe pode ser completo (apaga tudo, incluindo dados pessoais, no caso de dispositivos COBO/COPE) ou seletivo (apaga apenas o perfil corporativo, preservando dados pessoais, no caso de modelos BYOD). Fundamental para o offboarding de colaboradores e para situações de perda ou roubo.
O wipe remoto é a principal ferramenta de resposta a incidentes de segurança em dispositivos móveis corporativos.
03
Obrigatório
Gestão de aplicativos: instalar, atualizar e remover remotamente
Instalação silenciosa de apps corporativos em toda a frota sem interação do usuário. Atualização forçada de versões críticas. Remoção de apps não autorizados. Bloqueio de categorias inteiras de apps (jogos, redes sociais) em dispositivos COBO. Distribuição de licenças de apps corporativos com controle de quem usa cada licença.
Google Play Managed
Apple VPP
Knox Service Plugin
04
Obrigatório
Políticas de segurança aplicadas automaticamente
Criptografia de armazenamento ativada obrigatoriamente em todos os dispositivos. Senha ou biometria exigida com complexidade mínima configurável. Bloqueio automático por inatividade. VPN corporativa iniciada automaticamente ao acessar apps sensíveis. Dispositivo fora de conformidade bloqueado ou com acesso a sistemas corporativos suspenso até regularização.
Conformidade com Zero Trust: só acessa quem está com dispositivo em conformidade com as políticas de segurança definidas.
05
Diferencial
Separação de perfil pessoal e corporativo
Work Profile (Android) ou Managed Apps (iOS) cria um container isolado para apps e dados corporativos. O TI gerencia apenas o perfil corporativo, sem acesso aos dados pessoais do colaborador. Essencial para conformidade com a LGPD em modelos BYOD: a empresa controla seus dados sem violar a privacidade do colaborador. O wipe seletivo apaga apenas o perfil corporativo sem tocar em fotos, mensagens e dados pessoais.
Samsung Knox Secure Folder e Android Work Profile são as implementações mais comuns dessa separação em 2026.
A escolha da plataforma de MDM depende da composição da frota (Android, iOS, Windows ou mista), da integração com os sistemas de identidade que a empresa já usa e do nível de suporte em português disponível no Brasil. Estas são as principais opções do mercado em 2026.
Pulsus
Referencia America Latina
1a solucao EMM/MDM da America Latina certificada pelo Google com o selo Android Enterprise Recommended
Plataforma brasileira especializada em Android corporativo, reconhecida como categoria A no Security ScoreCard, o maior ranking de segurança cibernética do mundo. Interface 100% em português, suporte local e contratos em reais. Indicada para frotas Android em campo, logística e operações de médio e grande porte no Brasil.
Funcionalidades principais
Geolocalização em tempo real e historico de trajeto por dispositivo
Controle de consumo de dados por dispositivo e por aplicativo
Modo motorista: bloqueio automatico durante o deslocamento do veiculo
Launcher personalizada com apenas apps autorizados pela empresa
Bloqueio por horario: desativa funcoes fora do expediente
Wipe remoto, inventario automatico e distribuicao de apps em massa
Novidade 2026: agentes de IA para gestao autonoma de dispositivos, com analise de conformidade e suporte em campo 24/7 (lancamento julho/2026)
Melhor para: frotas Android corporativas no Brasil, equipes de campo, logistica e operacoes distribuidas
|
IBM Security MaaS360
with Watson AI
Plataforma UEM da IBM com IA Watson integrada: gestao unificada de endpoints com insights cognitivos e analytics em tempo real
Solucao de Unified Endpoint Management (UEM) que vai alem do MDM tradicional: gerencia smartphones, tablets, notebooks e dispositivos IoT em uma unica plataforma, com insights cognitivos e benchmarking em nuvem via Watson. Suporta Android, iOS, iPadOS, Windows e Chrome OS. Indicada para empresas de medio e grande porte com ambientes de TI complexos e exigencias de seguranca avancada.
Funcionalidades principais
Gestao unificada de smartphones, tablets, notebooks e IoT em um painel
Watson AI: alertas em tempo real, analytics contextual e sugestao automatica de politicas de seguranca
Containerizacao: isolamento de apps e dados corporativos em dispositivos BYOD
Single Sign-On (SSO) e acesso condicional a dispositivos conformes
Over-the-Air (OTA) enrollment para gestao remota imediata sem intervencao do usuario
Monitoramento de ameacas, malware e vulnerabilidades em endpoints em tempo real
Diferenciais: IA Watson embarcada para decisao proativa de seguranca e suporte a dispositivos robustos e IoT industriais
Melhor para: empresas com frotas mistas (Android, iOS, Windows), ambientes de alta conformidade e operacoes com dispositivos industriais ou de saude
|
Outras plataformas relevantes no mercado: Microsoft Intune (frotas Windows + iOS/Android com ecossistema Microsoft 365), Samsung Knox (nativo nos Galaxy Enterprise Edition, sem custo adicional de licenca) e Jamf Pro (especializacao em Apple corporativo). A escolha da plataforma deve ser orientada pelo perfil da frota, sistemas de identidade existentes e nivel de suporte necessario em portugues.
MDM na locação vs. MDM contratado à parte: o que muda
Uma empresa pode ter MDM de duas formas: contratar a plataforma separadamente e gerenciar a implantação internamente, ou optar por locação de dispositivos com MDM já integrado. As duas opções entregam segurança, mas com níveis diferentes de complexidade, custo e responsabilidade operacional.
| Critério |
MDM contratado separadamente |
MDM incluso na locação Mobit |
| Custo |
Licença de MDM cobrada separadamente por dispositivo por mês (R$ 15 a R$ 60/device/mês, dependendo da plataforma e do volume), além da mensalidade do dispositivo. |
Incluso na mensalidade de locação. Sem custo adicional de licença de MDM. |
| Implantação |
A empresa contrata a plataforma, escolhe e configura os perfis, faz o enrollment de cada dispositivo e treina o TI para operar o sistema. |
Mobit configura o MDM durante a montagem dos dispositivos. Os notebooks e smartphones chegam já enrolled e com os perfis ativos. |
| Novos dispositivos |
Cada novo dispositivo adquirido precisa ser manualmente enrolled no MDM pelo TI antes de ser entregue ao colaborador. |
Novos dispositivos chegam já enrolled. O TI vê o novo device aparecer automaticamente no painel do MDM. |
| Responsabilidade |
A empresa é responsável pela manutenção da plataforma, atualizações de versão e resolução de problemas de enrollment. |
A Mobit é responsável por manter o MDM funcionando para todos os dispositivos locados. Problemas de plataforma são tratados pelo fornecedor. |
| Offboarding |
TI executa o wipe remoto e depois remove manualmente o dispositivo do inventário do MDM. |
TI aciona o wipe, devolve o dispositivo. A Mobit remove do inventário e garante sanitização certificada LGPD. |
| Indicado para |
Empresas com TI estruturado, equipe dedicada a gestão de dispositivos e necessidade de personalização profunda do MDM. |
Empresas de médio porte que querem segurança e controle sem gerenciar a plataforma de MDM internamente. |
LGPD e dispositivos corporativos: o que exige conformidade
A LGPD (Lei 13.709/2018) exige que a empresa controle o ciclo de vida dos dados pessoais que trata, incluindo os dados que transitam por dispositivos corporativos. Em 2026, a Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado a fiscalização de processos de gestão de dados em dispositivos móveis, tornando o MDM uma ferramenta de conformidade, não apenas de segurança operacional.
| Exigência da LGPD |
Como o MDM atende |
Risco sem MDM |
| Rastreabilidade do tratamento de dados pessoais |
Inventário centralizado registra quais dispositivos têm acesso a quais sistemas e dados, com logs auditáveis de cada ação. |
Empresa não sabe quais dispositivos têm dados pessoais de clientes. Impossível demonstrar rastreabilidade em auditoria. |
| Proteção de dados por medidas técnicas adequadas |
Criptografia de armazenamento obrigatória, senha mínima forçada, VPN em apps sensíveis: medidas técnicas documentadas e verificáveis. |
Empresa não pode demonstrar que tomou medidas técnicas para proteger dados pessoais nos dispositivos dos colaboradores. |
| Direito de eliminação de dados do titular |
Wipe remoto executa eliminação de dados corporativos em qualquer dispositivo mediante solicitação, com log de execução como prova. |
Empresa não tem como garantir que dados de um titular foram eliminados de todos os dispositivos que os continham. |
| Descarte seguro de dados ao encerrar o uso do dispositivo |
Na locação: wipe remoto antes da devolução + sanitização certificada NIST 800-88 pela Mobit com emissão de certificado por dispositivo. |
Dispositivo descartado ou repassado sem sanitização documentada: risco de acesso a dados pessoais por terceiros após o descarte. |
| Separação de dados pessoais e corporativos (BYOD) |
Work Profile garante que a empresa acessa e apaga apenas dados do container corporativo, sem acesso a dados pessoais do colaborador. |
Empresa pode ser responsabilizada por tratar dados pessoais do colaborador ao apagar dados do dispositivo sem separação de perfil. |
MDM em modelos BYOD, COPE e COBO: o que muda em cada caso
O MDM funciona de formas diferentes dependendo da política de mobilidade adotada. A configuração do MDM, o nível de acesso do TI e as ações disponíveis variam conforme o modelo de propriedade do dispositivo.
| Modelo |
Quem é dono |
O que o MDM gerencia |
Tipo de wipe |
Na locação Mobit |
| BYOD |
Colaborador. Device pessoal usado para trabalho. |
Apenas o Work Profile (container corporativo isolado). TI não acessa dados pessoais. |
Wipe seletivo: apaga apenas o perfil corporativo. Dados pessoais preservados. |
Não se aplica: locação fornece dispositivo corporativo. |
| COPE |
Empresa (Mobit na locação). Colaborador pode usar para fins pessoais com limites. |
Dispositivo inteiro, mas com Work Profile separando corporativo de pessoal. TI tem controle total do device. |
Wipe completo (apaga tudo) ou seletivo (apaga só o perfil corporativo). TI escolhe. |
Modelo padrão da Mobit. MDM configurado para separar perfis no momento da entrega. |
| COBO |
Empresa (Mobit na locação). Uso exclusivamente corporativo. Nenhum uso pessoal permitido. |
Dispositivo inteiro. Sem Work Profile. TI controla tudo, inclusive quais apps podem ser instalados (lista branca). |
Wipe completo. Apaga tudo. Não há dados pessoais para preservar. |
Disponível na Mobit para operações de campo, logística e ambientes críticos. |
Próximo Passo
Quantos notebooks e celulares corporativos da sua empresa estão fora do controle do TI agora?
A Mobit oferece locação de notebook e smartphone com MDM integrado, enrollment automático, wipe remoto, políticas de segurança e sanitização certificada na devolução. Tudo incluso na mensalidade.
Quero locar dispositivos com MDM integrado →
Proposta sem compromisso. Entrega em todo o Brasil.
Perguntas frequentes sobre MDM na locação de dispositivos corporativos
O que é MDM (Mobile Device Management) e para que serve? ▼
MDM (Mobile Device Management), ou Gerenciamento de Dispositivos Móveis, é a tecnologia que permite à equipe de TI administrar, monitorar, proteger e controlar remotamente toda a frota de dispositivos corporativos (smartphones, notebooks e tablets) a partir de um painel centralizado. As funções principais incluem: inventário em tempo real com status de cada dispositivo, wipe remoto para apagar dados de dispositivos perdidos ou de colaboradores desligados, instalação e remoção silenciosa de aplicativos, aplicação de políticas de segurança como criptografia e senha obrigatória, separação de perfil pessoal e corporativo para modelos BYOD, e relatórios de conformidade auditáveis para fins de LGPD. O MDM é essencial para qualquer empresa com mais de 10 dispositivos corporativos em uso fora do perímetro do escritório.
O MDM invade a privacidade do colaborador? ▼
Depende do modelo de política adotado. Em dispositivos corporativos (COPE/COBO), o TI tem acesso e controle sobre o dispositivo inteiro, pois ele pertence à empresa. Em modelos BYOD (dispositivo pessoal do colaborador), o MDM cria um Work Profile (Android) ou gerencia apenas os Managed Apps (iOS): um container isolado para dados corporativos que a empresa controla, sem nenhum acesso aos dados pessoais do colaborador (fotos, mensagens, apps pessoais). O wipe seletivo apaga apenas o container corporativo, preservando todos os dados pessoais. Quando bem configurado, o MDM em BYOD é uma ferramenta de conformidade com a LGPD que protege tanto a empresa quanto o colaborador.
Qual a diferença entre Samsung Knox, Microsoft Intune e Jamf? ▼
Pulsus é a principal plataforma de MDM desenvolvida na América Latina, certificada pelo Google com o selo Android Enterprise Recommended e reconhecida como categoria A no Security ScoreCard. É especializada em Android corporativo, com suporte em português, contratos em reais e funcionalidades específicas para operações brasileiras: modo motorista, controle de consumo de dados e bloqueio por horário. Em 2026, anunciou agentes de IA para gestão autônoma de dispositivos com lançamento previsto para julho. IBM Security MaaS360 with Watson é uma plataforma UEM da IBM que vai além do MDM: gerencia smartphones, tablets, notebooks Windows, Chrome OS e dispositivos IoT em um painel unificado, com IA Watson integrada para alertas em tempo real e sugestão automática de políticas de segurança. Indicada para empresas com frotas mistas e ambientes de alta conformidade. Outras plataformas relevantes para cenários específicos: Samsung Knox (nativo nos Galaxy Enterprise Edition, sem custo adicional de licença), Microsoft Intune (frotas com ecossistema Microsoft 365) e Jamf Pro (especializado em Apple corporativo).
Como o MDM ajuda na conformidade com a LGPD? ▼
O MDM atende a quatro exigências críticas da LGPD em relação a dispositivos corporativos. Primeiro, rastreabilidade: o inventário centralizado registra quais dispositivos têm acesso a quais dados, com logs auditáveis. Segundo, medidas técnicas de proteção: criptografia de armazenamento, senha obrigatória e VPN são as medidas técnicas documentadas que a empresa pode demonstrar em auditoria. Terceiro, direito de eliminação: o wipe remoto executa a eliminação de dados pessoais de qualquer dispositivo mediante solicitação, com log de execução como prova. Quarto, descarte seguro: a sanitização certificada NIST 800-88 na devolução de dispositivos locados é a prova documental de que dados foram apagados de forma irreversível antes do reaproveitamento do hardware.
O que é wipe remoto e quando usar? ▼
Wipe remoto é a função do MDM que apaga dados de um dispositivo à distância, sem que o dispositivo precise estar na presença do TI. Existem dois tipos: wipe completo, que apaga todos os dados do dispositivo (usado em dispositivos COBO ou em casos de roubo em que se quer eliminar qualquer dado, pessoal ou corporativo), e wipe seletivo, que apaga apenas o container de dados corporativos (Work Profile), preservando os dados pessoais do colaborador (usado em BYOD e COPE). Os principais casos de uso são: colaborador desligado que ainda tem o dispositivo em mãos, notebook ou smartphone perdido ou roubado com dados corporativos, dispositivo enviado para manutenção por terceiros, e encerramento do contrato de locação antes da devolução física. O wipe remoto deve ser executado imediatamente nos dois primeiros cenários, sem aguardar a devolução física.
O MDM está incluso no contrato de locação da Mobit? ▼
Sim. A Mobit oferece locação de notebook e smartphone com MDM integrado e incluso na mensalidade, sem custo adicional de licença de plataforma. Os dispositivos chegam já com o MDM configurado e enrolled, prontos para uso. O TI recebe acesso ao painel de gestão e pode executar wipe remoto, instalar ou remover apps, aplicar políticas de segurança e monitorar o inventário de toda a frota locada. Novos dispositivos adicionados ao contrato entram automaticamente no inventário do MDM sem ação manual do TI. Na devolução, a Mobit executa sanitização certificada NIST 800-88 com emissão de certificado por dispositivo para conformidade com a LGPD.
Qual a diferença entre MDM e antivírus corporativo? ▼
MDM e antivírus são camadas complementares de segurança, não alternativas. O antivírus protege contra ameaças externas que tentam entrar no dispositivo: malware, ransomware, phishing, scripts maliciosos. O MDM controla o comportamento do dispositivo e dos dados que ele armazena: garante que a criptografia está ativa, que apenas apps autorizados estão instalados, que o sistema está atualizado e que os dados corporativos podem ser apagados remotamente se necessário. Em uma arquitetura de segurança completa, os dois atuam juntos: o antivírus bloqueia ameaças externas e o MDM garante que o dispositivo está configurado de forma segura e que os dados corporativos estão protegidos mesmo que o dispositivo seja comprometido fisicamente. O MDM não substitui o antivírus, e o antivírus não substitui o MDM.
+55 11 3500-4088
Deixe um comentário