Teams Mobile: como usar duas contas corporativas com Intune e contornar a política “single managed account”

Se o Microsoft Teams no telemóvel/celular insiste em remover uma das suas contas de trabalho, a causa mais comum é uma política de segurança do Intune. Este guia explica por que isso acontece e apresenta caminhos práticos de solução e contorno — sem atalhos que violem a conformidade.

Visão geral do problema

Ao tentar adicionar ou manter duas contas corporativas no aplicativo móvel do Microsoft Teams, muitos utilizadores recebem o aviso em inglês: “Only a single managed account is allowed on a device. Select the account you want to remove…”. Na prática, o app obriga a eliminar uma das contas antes de continuar. Embora o Teams aceite múltiplas contas em cenários padrão (pessoal, escolar ou de trabalho), o bloqueio aparece quando o dispositivo e/ou a sessão do app são geridos por políticas de proteção de dados.

Por que a limitação acontece

O ponto central é a gestão de aplicações móveis (MAM) e de dispositivos (MDM), geralmente através do Microsoft Intune. Quando a política de proteção de apps está configurada para permitir apenas uma conta gerida no dispositivo, o Teams identifica a segunda conta como um risco potencial de fuga de dados e impede a convivência.

O que é uma conta gerida

• Conta gerida: perfil de trabalho ao qual se aplicam políticas de proteção (PIN do app, encriptação do armazenamento, restrição de cópia/colar, exigência de autenticação, entre outras).
• Conta não gerida: perfil pessoal sem políticas empresariais aplicadas pelo Intune ou por outra solução MAM/MDM.

Como funciona a política de conta única

Organizações frequentemente ativam o parâmetro conhecido como Allow only a single managed account. Quando ativo, esse parâmetro impede que o mesmo app hospede dois perfis de trabalho geridos ao mesmo tempo no mesmo dispositivo. Isso reduz a superfície de risco para:

• evitar mistura de dados entre locatários (tenants) diferentes;
• garantir que as regras de DLP (Data Loss Prevention) se mantenham consistentes;
• simplificar auditoria, resposta a incidentes e suporte.

Diferenças entre Android e iOS

Plataforma	Comportamento típico	Observações relevantes
Android	Permite separar espaço pessoal e de trabalho via Perfil de trabalho. Alguns fabricantes também oferecem clonagem de apps.	É possível manter uma conta no perfil pessoal e outra no perfil de trabalho. Porém, se ambas forem geridas, a política pode bloquear a segunda. Clonagem nativa depende do fabricante e pode ser restringida por TI.
iOS/iPadOS	O sistema não suporta múltiplos contêineres MAM do mesmo app.	A arquitetura do iOS limita a separação nesse nível; se a política exigir uma única conta gerida por app, não há suporte a duas contas de trabalho simultâneas no Teams mobile.

Caminhos de solução ou contorno

As alternativas abaixo equilibram produtividade e segurança. Escolha considerando as políticas da sua organização e o nível de intervenção da equipa de TI.

Opção	O que fazer	Observações
Web + App	Use o Teams App para a conta principal e aceda à segunda conta pelo Teams na Web (Edge, Chrome ou Safari), de preferência como PWA.	Mantém notificações enquanto a aba/PWA estiver ativa. Ideal para reuniões e chat leves.
Revisar política Intune	Pedir ao administrador para desativar o parâmetro Allow only a single managed account ou segmentar políticas por grupo/locatário.	Exige ação de TI e avaliação de risco. Pode ser aplicado apenas a grupos específicos.
Perfil/Clonagem (Android)	Criar um Perfil de trabalho e manter as contas em espaços separados, ou utilizar clonagem de app suportada pelo fabricante.	Requer Android recente. A clonagem pode ser bloqueada por política. Verifique a conformidade.
Segundo dispositivo ou VM	Instalar a segunda conta noutro smartphone/tablet, ou usar uma instância dedicada (PWA/VM) no computador.	Garante separação total. A VM móvel pode ser limitada por políticas.
Atualizar Teams	Manter o app na versão mais recente e limpar o cache de tempos em tempos.	Não contorna a política MAM, mas reduz bugs e melhora a alternância de contas.

Passo a passo das principais alternativas

Usar aplicativo e Web em conjunto

1. No telemóvel/celular, mantenha a conta principal no app do Teams.
2. No mesmo dispositivo (ou no computador), abra o Teams na Web e entre com a segunda conta.
3. Crie um atalho PWA para o Teams no navegador (Adicionar ao ecrã inicial/à área de trabalho).
4. Deixe a aba ou PWA ativa para não perder notificações de chat e chamadas.

Dica: se o fluxo de trabalho exige alternância rápida entre locatários, fixe as abas e utilize perfis separados do navegador para separar cookies e sessões.

Solicitar revisão da política no Intune

Se a atividade exige duas contas geridas no mesmo dispositivo (por exemplo, equipas que prestam serviço a múltiplos clientes), peça ao administrador para:

• avaliar a viabilidade de desativar a política Allow only a single managed account para grupos-alvo;
• configurar políticas de proteção de apps segmentadas por grupo de utilizadores ou por plataforma;
• usar exclusões para perfis ou dispositivos específicos com justificativa de negócio e mitigação (DLP, auditoria, CA e MFA rigorosos);
• validar impacto em conjunto com Condicional Access, DLP e requisitos de cifragem.

Modelo de pedido ao administrador

Assunto: Solicitação de ajuste na política “Allow only a single managed account”

Olá, equipa de TI,

Temos necessidade operacional de utilizar duas contas de trabalho no Microsoft Teams Mobile no mesmo dispositivo, para atendimento a clientes em locatários distintos. Solicitamos avaliar:

1. Desativar “Allow only a single managed account” para o nosso grupo OU
2. Criar política MAM específica para permitir duas contas geridas no Teams, com controles DLP e MFA reforçados.

Podemos participar de um piloto e aceitar monitorização adicional. Obrigado.

Utilizar Perfil de trabalho ou clonagem no Android

Em Android, há um perfil pessoal e um perfil de trabalho (ícone de pasta/briefcase). Em muitos cenários:

• mantenha a conta corporativa A no perfil de trabalho (gerido);
• mantenha a conta corporativa B no perfil pessoal (não gerido) se a política da organização B permitir acesso sem MAM/MDM;
• se ambas exigirem gestão, a política de conta única pode continuar a bloquear a segunda conta no mesmo app, mesmo em perfis distintos.

Alguns fabricantes (por exemplo, em dispositivos com “app clonado”/“Dual Apps”) permitem duplicar o Teams. Contudo:

• a clonagem pode ser desativada por política de TI;
• clones podem não receber políticas MAM corretamente;
• isso pode ferir requisitos de conformidade e suporte.

Usar segundo dispositivo ou instância dedicada

Quando o requisito de segurança é elevado e a política não será alterada, a solução mais direta é a separação física:

• um segundo smartphone/tablet para a conta adicional;
• ou criar uma instância dedicada no computador (PWA do Teams, sessão de navegador isolada, ou VM aprovada pela TI).

Esta opção simplifica auditoria e reduz riscos de vazamento, mantendo experiências completas de chamadas, reuniões e chat.

Atualizar o Teams e limpar o cache

• Android: Definições > Apps > Teams > Armazenamento > Limpar cache. Depois, reabra o app e confirme a versão mais recente na loja.
• iOS/iPadOS: Desinstale e reinstale o Teams para renovar a instalação, ou use a opção de descarregar app mantendo os dados, conforme política da sua organização.

Atenção: atualizar o app não ignora políticas MAM; a finalidade é corrigir comportamentos imprevistos, melhorar alternância de contas e desempenho.

Guia rápido de decisão

• Precisa das duas contas no mesmo dispositivo hoje e não pode envolver TI: use App + Web/PWA e, se estiver no Android, avalie perfil de trabalho para separar contextos.
• Tem apoio de TI e justificação de negócio: peça a revisão da política ou políticas segmentadas.
• Conformidade prioritária e nada de exceções: opte por segundo dispositivo ou instância dedicada no PC.

Cenários práticos e o que esperar

• Conta pessoal + conta corporativa no Teams Mobile: geralmente funciona, pois a política limita apenas contas geridas.
• Duas contas corporativas em iOS: bloqueio quase certo se a política de conta única estiver ativa.
• Duas contas corporativas em Android: pode funcionar se uma delas não exigir gestão no dispositivo. Se ambas forem geridas, o bloqueio deve permanecer.
• Desktop (Windows/macOS): o cliente unificado do Teams permite alternar entre contas com menos restrições; porém, isso não altera o comportamento no mobile.

FAQ

Alternar locatários é o mesmo que usar múltiplas contas?

Não. Alternar locatários de uma mesma conta (acesso convidado/B2B) é diferente de manter duas contas independentes. Se precisa de duas contas distintas autenticadas em paralelo, a política de conta única pode bloquear.

Se uma das empresas não usa Intune, consigo manter as duas?

Depende. Se a segunda conta não impõe MAM/MDM, pode funcionar no Android em perfis distintos. Em iOS, o app pode ainda assim limitar por design. E lembre-se: a organização que usa Intune pode proibir coexistência por política.

É seguro usar app clonado?

Nem sempre. Além de poder ser bloqueado por política, clones podem falhar na aplicação de regras MAM, abrindo lacunas de DLP. Use apenas se permitido pela TI e compreendendo os riscos.

Como sei se o meu dispositivo é gerido?

• Presença do app Company Portal ou apps com ícone de maleta (Android) indicam gestão.
• Exigência de PIN do aplicativo ao abrir apps corporativos é outro indício.
• Restrições de cópia/colar ou de partilha de ficheiros também sinalizam MAM ativo.

Por que no desktop não há o mesmo bloqueio?

O modelo de contenção e as políticas de proteção são diferentes no desktop. O Teams para Windows/macOS possui mecanismos próprios de isolamento e alternância de perfis que não se traduzem diretamente para iOS/Android.

Boas práticas de segurança para administradores

• Aplicar políticas MAM por grupo, permitindo exceções controladas a equipas que realmente precisam de duas contas.
• Reforçar MFA, Condicional Access e DLP quando flexibilizar a política de conta única.
• Desencorajar clonagem não gerida e fornecer alternativas aprovadas (PWA, segundo dispositivo).
• Auditar logs de acesso e eventos de partilha entre locatários quando múltiplas contas forem permitidas.

Checklist rápido para utilizadores

• Confirme se a segunda conta exige MAM. Se sim, o bloqueio provavelmente persistirá.
• No Android, verifique se consegue separar em perfil de trabalho e perfil pessoal.
• Se não puder envolver TI, use App + Web/PWA para a segunda conta.
• Mantenha o Teams atualizado e limpe o cache quando notar comportamentos estranhos.

Checklist para enviar à equipa de TI

• Avaliar o impacto de desativar a política Allow only a single managed account em grupos específicos.
• Implementar políticas MAM segmentadas e revisões de DLP quando permitir duas contas.
• Estabelecer monitorização adicional e prazos de revisão para o piloto.
• Documentar processo de exceção com critérios de elegibilidade.

Erros comuns e como evitar

• Contar com apps clonados como solução padrão: pode falhar e gerar não conformidade.
• Confundir alternância de locatários com multi-conta: são conceitos diferentes.
• Reinstalar o Teams repetidamente: sem revisão de política, o bloqueio voltará.
• Ignorar a TI: mudanças locais sem alinhamento podem bloquear o acesso por políticas.

Glossário essencial

• MAM (Mobile Application Management): proteção e políticas aplicadas a apps.
• MDM (Mobile Device Management): gestão integral do dispositivo.
• DLP (Data Loss Prevention): prevenção contra fuga de dados.
• PWA (Progressive Web App): versão Web instalável do serviço.
• Perfil de trabalho: partição empresarial do Android que isola apps e dados de trabalho.

Resumo e recomendações

O bloqueio de múltiplas contas corporativas no Teams Mobile não é um bug, mas sim um efeito direto de políticas de segurança — em especial, a regra que permite apenas uma conta gerida por dispositivo/app. Enquanto o administrador não flexibilizar essa configuração, as alternativas viáveis passam por usar o navegador/PWA, separar perfis no Android quando permitido, ou recorrer a um segundo dispositivo/instância. Para quem precisa da mobilidade plena entre locatários, a abordagem mais sustentável é envolver a equipa de segurança para avaliar exceções, segmentar políticas e mitigar riscos com MFA, DLP e acesso condicional. Assim, a produtividade cresce sem comprometer a conformidade.