Como criar e atribuir as políticas de proteção de aplicativoHow to create and assign app protection policies

Saiba como criar e atribuir as políticas de proteção de aplicativo do Microsoft Intune aos usuários.Learn how to create and assign Microsoft Intune app protection policies to your users. Este tópico também descreve como fazer alterações nas políticas existentes.This topic also describes how to make changes to existing policies.

Antes de começarBefore you begin

Políticas de proteção de aplicativo podem se aplicar a aplicativos em execução em dispositivos que podem ou não ser gerenciados pelo Intune.App protection policies can apply to apps running on devices that may or may not be managed by Intune. Para obter uma descrição mais detalhada do funcionamento das políticas de proteção de aplicativo e os cenários compatíveis com as políticas de Proteção de Aplicativo do Intune, confira O que são as políticas de Proteção de Aplicativo do Microsoft Intune?For a more detailed description of how app protection policies work and the scenarios that are supported by Intune app protection policies, see What are Microsoft Intune app protection policies?

Se você estiver procurando uma lista de aplicativos com suporte no MAM, consulte Lista de aplicativos do MAM.If you're looking for a list of MAM supported apps, see MAM apps list.

Para saber mais sobre como adicionar os aplicativos de linha de negócios (LOB) da sua organização ao Microsoft Intune para se preparar para as políticas de proteção de aplicativos, confira Adicionar aplicativos ao Microsoft Intune.For information about adding your organization's line-of-business (LOB) apps to Microsoft Intune to prepare for app protection policies, see Add apps to Microsoft Intune.

Criar uma política de proteção de aplicativoCreate an app protection policy

  1. No portal do Intune, acesse Aplicativos de cliente > Políticas de proteção de aplicativo.In Intune portal, go to Client apps > App protection policies. Essa seleção abre os detalhes das Políticas de proteção do aplicativo, em que você cria novas políticas e edita políticas existentes.This selection opens the App protection policies details, where you create new policies and edit existing policies.

  2. Selecione Criar Política.Select Create Policy.

    Captura de tela da folha "Adicionar uma política"

  3. Especifique um nome para a política, adicione uma breve descrição e selecione o tipo de plataforma para a política.Specify a name for the policy, add a brief description, and select the platform type for your policy. Você pode criar mais de uma política para cada plataforma.You can create more than one policy for each platform.

  4. Selecione Aplicativos para abrir a folha Aplicativos, em que uma lista de aplicativos disponíveis é exibida.Select Apps to open the Apps blade, where a list of available apps is displayed. Selecione um ou mais aplicativos da lista que deseja associar com a política que você está criando.Select one or more apps from the list that you want to associate with the policy that you're creating. Selecione pelo menos um aplicativo para criar uma política.Select at least one app to create a policy.

  5. Depois de selecionar os aplicativos, escolha Selecionar para salvar a seleção.Once you've selected the apps, choose Select to save your selection.

  6. Na folha Adicionar uma política, selecione Definir configurações necessárias para abrir Configurações.On the Add a policy blade, select Configure required settings to open Settings.

    Há três categorias de configurações de política:There are three categories of policy settings:

    • Proteção de dados: esse grupo inclui os controles de DLP (prevenção de perda dados), como restrições de cortar, copiar, colar e salvar como.Data protection - This group includes the data loss prevention (DLP) controls, like cut, copy, paste, and save-as restrictions. Essas configurações determinam como os usuários interagem com os dados nos aplicativos.These settings determine how users interact with data in the apps.
    • Requisitos de acesso – esse grupo contém as opções de PIN por aplicativo que determinam como o usuário final acessa os aplicativos em um contexto de trabalho.Access requirements - This group contains the per-app PIN options that determine how the end user accesses the apps in a work context.
    • Inicialização condicional – esse grupo contém configurações como configurações de sistema operacional mínimo, jailbreak e detecção de dispositivos com raiz e períodos de cortesia offline.Conditional launch - This group holds settings like the minimum OS settings, jailbreak and rooted device detection, and offline grace periods.

    As configurações de política têm valores padrão para que você possa começar mais facilmente.To get you started, the policy settings have default values. Se os valores padrão atendem aos seus requisitos, não é necessário fazer alterações.If the default values meet your requirements, you don't have to make any changes.

    Dica

    Essas configurações de política só são aplicadas ao usar aplicativos no contexto corporativo.These policy settings are enforced only when using apps in the work context. Quando os usuários finais usam o aplicativo para executar uma tarefa pessoal, eles não são afetados por essas políticas.When end users use the app to do a personal task, they aren't affected by these policies. Observe que, quando você cria um novo arquivo, ele é considerado um arquivo particular.Note that when you create a new file it is considered a personal file.

  7. Selecione OK para salvar essa configuração.Select OK to save this configuration. Agora você retornou à folha Adicionar uma política.You're now back in the Add a policy blade.

  8. Selecione Criar para criar a política e salvar suas configurações.Select Create to create the policy and save your settings.

Novas políticas criadas não são implantadas para todos os usuários até que você explicitamente faça isso.New policies you create aren't deployed to any users until you explicitly do so. Para implantar uma política, consulte Implantar uma política para usuários.To deploy a policy, see Deploy a policy to users.

Implantar uma política para os usuáriosDeploy a policy to users

  1. No painel Políticas de proteção do aplicativo, selecione uma política.In the App protection policies pane, select a policy.

  2. No painel *Proteção de Aplicativo do Intune, selecione Atribuições para abrir o painel Proteção de Aplicativo do Intune – Atribuições.In the *Intune App Protection pane, select Assignments to open the Intune App Protection - Assignments pane. Na guia Incluir, selecione Selecionar grupos a incluir.On the Include tab, select Select groups to include.

    Captura de tela do painel Atribuições com o menu Selecionar grupos a serem incluídos

  3. Uma lista de todos os grupos de segurança no seu Azure Active Directory é exibida.A list of all the security groups in your Azure Active Directory is displayed. Selecione os grupos de usuários aos quais deseja que essa política seja aplicada e escolha Selecionar.Select the user groups that you want this policy to apply to, and then choose Select.

    Captura de tela do painel Adicionar grupo de usuários com a lista de usuários do Azure AD

  4. Depois de incluir e excluir grupos, selecione Salvar para guardar a configuração e implantar a política aos usuários.After you include and exclude groups, select Save to save the configuration and deploy the policy to users. Se você selecionar Descartar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir.If you select Discard before you save your configuration, you will discard all changes you've made to the Include and Exclude tabs.

    Captura de tela mostrando as opções para salvar e descartar

Agora você criou uma política e a implantou para os usuários.You've now created a policy and deployed it to users.

Somente usuários atribuídos com licenças do Microsoft Intune serão afetados pela política.Only users with assigned Microsoft Intune licenses are affected by the policy. Os usuários do grupo de segurança selecionado, que não têm uma licença do Intune atribuída, não serão afetados.Users in the selected security group that don’t have an assigned Intune license aren't affected.

Importante

Se você estiver usando o Intune com o Configuration Manager para gerenciar seus dispositivos, a política só será aplicada aos usuários diretamente no grupo que você selecionou.If you're using Intune with Configuration Manager to manage your devices, the policy is only applied to the users directly in the group that you selected. Membros de grupos filho aninhados dentro do grupo selecionado não serão afetados.Members of child groups nested within the group you selected aren't affected.

Os usuários finais podem baixar os aplicativos da loja de aplicativos ou do Google Play.End users can download the apps from the App store or Google Play. Para obter mais informações, consulte:For more information, see:

Alterar políticas existentesChange existing policies

Você pode editar uma política existente e aplicá-la aos usuários de destino.You can edit an existing policy and apply it to the targeted users. No entanto, quando você altera as políticas existentes, os usuários já conectados aos aplicativos só verão as alterações após um período de oito horas.However, when you change existing policies, users who are already signed in to the apps won’t see the changes for an eight-hour period.

Para ver o efeito das alterações imediatamente, o usuário final deve sair do aplicativo e entrar novamente.To see the effect of the changes immediately, the end user must sign out of the app, and then sign back in.

Para alterar a lista de aplicativos associados à políticaTo change the list of apps associated with the policy

  1. No painel Políticas de proteção de aplicativo, selecione a política que você deseja alterar.In the App protection policies pane, select the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Aplicativos de destino para abrir a lista de aplicativos.In the Intune App Protection pane, select Targeted apps to open the list of apps.

  3. Remova ou adicione aplicativos da lista e selecione o ícone Salvar para salvar suas alterações.Remove or add apps from the list and then select the Save icon to save your changes.

Para alterar a lista de grupos de usuáriosTo change the list of user groups

  1. No painel Políticas de proteção de aplicativo, selecione a política que você deseja alterar.In the App protection policies pane, select the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Atribuições para abrir o painel Proteção de Aplicativo do Intune – Atribuições, que mostra a lista atual de grupos de usuários que têm essa política.In the Intune App Protection pane, select Assignments to open the Intune App Protection - Assignments pane that shows the list of current user groups who have this policy.

  3. Para adicionar um novo grupo de usuários à política, na guia Incluir, escolha Selecionar grupos para incluir e selecione o grupo de usuários.To add a new user group to the policy, on the Include tab choose Select groups to include, and select the user group. Escolha Selecionar para adicionar o grupo.Choose Select to add the group.

  4. Para excluir um grupo de usuários, na guia Excluir escolha Selecionar grupos para excluir e selecione o grupo de usuários.To exclude a user group, on the Exclude tab choose Select groups to exclude, and select the user group. Escolha Selecione para remover o grupo de usuários.Choose Select to remove the user group.

  5. Para excluir os grupos que foram adicionados anteriormente, nas guias Incluir ou Excluir, selecione as reticências (...) e Excluir.To delete groups that were added previously, on either the Include or Exclude tabs, select the ellipsis (...) and select Delete.

  6. Após terminar as alterações às atribuições, selecione Salvar para guardar a configuração e implantar a política para o novo conjunto de usuários.After your changes to the assignments are ready, select Save to save the configuration and deploy the policy to the new set of users. Se você selecionar Descartar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir.If you select Discard before you save your configuration, you will discard all changes you've made to the Include and Exclude tabs.

Para alterar as configurações de políticaTo change policy settings

  1. No painel Políticas de proteção de aplicativo, escolha a política que você deseja alterar.In the App protection policies pane, choose the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Propriedades para abrir a lista de áreas de configurações que você pode editar.In the Intune App Protection pane, select Properties to open the list of settings areas you can edit.

  3. Selecione a área de configurações com as configurações que você deseja alterar, como Realocação de dados ou Requisitos de acesso.Select the settings area with the settings you want to change, like Data relocation or Access requirements. Em seguida, altere as configurações para novos valores.Then change the settings to new values.

  4. Selecione o ícone Salvar para salvar suas alterações.Select the Save icon to save your changes. Repita o processo para selecionar uma área de configurações e modificar e então salvar suas alterações até que todas as suas alterações tenham sido concluídas.Repeat the process to select a settings area and modify and then save your changes, until all your changes are complete. Em seguida, você pode fechar o painel Proteção de Aplicativo do Intune – Propriedades.You can then close the Intune App Protection - Properties pane.

Políticas de proteção do aplicativo de destino com base no estado de gerenciamento de dispositivoTarget app protection policies based on device management state

Em muitas organizações é comum permitir que os usuários finais usem dispositivos gerenciados MDM (gerenciamento de dispositivo móvel) do Intune, como dispositivos corporativos, bem como dispositivos não gerenciados protegidos apenas com políticas de Proteção de Aplicativo do Intune.In many organizations, it’s common to allow end users to use both Intune Mobile Device Management (MDM) managed devices, such as corporate owned devices, and un-managed devices protected with only Intune app protection policies. Dispositivos não gerenciados são geralmente conhecidos como BYOD (traga seu próprio dispositivos).Unmanaged devices are often known as Bring Your Own Devices (BYOD).

Uma vez que as políticas de Proteção de Aplicativo do Intune são direcionadas para a identidade de um usuário, as configurações de proteção para um usuário podem se aplicar tanto a dispositivos registrados (gerenciados por MDM) quanto não registrados (sem MDM).Because Intune app protection policies target a user’s identity, the protection settings for a user can apply to both enrolled (MDM managed) and non-enrolled devices (no MDM). Portanto, você pode ter como destino uma política de Proteção de Aplicativo do Intune para dispositivos Android e iOS registrados ou não registrados no Intune.Therefore, you can target an Intune app protection policy to either Intune enrolled or unenrolled iOS and Android devices. Você pode ter uma política de proteção para dispositivos não gerenciados na qual controles DLP (prevenção contra perda de dados) rígidos estejam em vigor e uma política de proteção separada para dispositivos gerenciados MDM, em que os controles DLP podem ser um pouco mais flexíveis.You can have one protection policy for un-managed devices in which strict data loss prevention (DLP) controls are in place, and a separate protection policy for MDM managed devices, where the DLP controls may be a little more relaxed.

Para criar essas políticas, navegue até Aplicativos clientes > Políticas de proteção de aplicativo no console do Intune e, em seguida, selecione Criar Política.To create these policies, browse to Client apps > App protection policies in the Intune console, and then select Create Policy. Você também pode editar uma política de proteção do aplicativo existente.You can also edit an existing app protection policy. Para a política de proteção do aplicativo se aplicar tanto a dispositivos gerenciados quanto não gerenciados, confirme que o Destino para todos os tipos de aplicativo está definido como Sim, o valor padrão.To have the app protection policy apply to both managed and un-managed devices, confirm that Target to all app types is set to Yes, the default value. Se você quiser atribuir de maneira granular com base no estado de gerenciamento, defina Destino para todos os tipos de aplicativo como Não.If you want to granularly assign base on management state, set Target to all app types to No.

Captura de tela da folha Adicionar uma política com Direcionar a todos os tipos de aplicativo

Para iOS, configurações de aplicativo adicionais são necessárias para as configurações de aplicativo de destino para aplicativos em dispositivos registrados no Intune:For iOS, additional app configuration settings are required to target APP settings to apps on Intune enrolled devices:

Observação

Para obter informações de suporte do iOS específicas sobre políticas de proteção do aplicativo com base no estado de gerenciamento de dispositivo, consulte Políticas de proteção MAM direcionadas com base no estado de gerenciamento.For specific iOS support information about app protection policies based on device management state, see MAM protection policies targeted based on management state.

Configurações de políticaPolicy settings

Para ver uma lista completa das configurações de política para iOS e Android, selecione um dos seguintes links:To see a full list of the policy settings for iOS and Android, select one of the following links:

Próximas etapasNext steps

Monitorar conformidade e status do usuárioMonitor compliance and user status

Consulte tambémSee also