O que são políticas de proteção de aplicativo?What are app protection policies?

As políticas de proteção de aplicativo do Microsoft Intune ajudam a proteger os dados da empresa e evitar a perda de dados.Microsoft Intune app protection policies help protect your company data and prevent data loss.

Como proteger os dados do aplicativoHow you can protect app data

Os funcionários usam dispositivos móveis para tarefas de pessoais e corporativas.Your employees use mobile devices for both personal and work tasks. Embora seja necessário garantir que seus funcionários sejam produtivos, você deseja evitar a perda de dados, intencional ou acidental.While making sure your employees can be productive, you want to prevent data loss, intentional and unintentional. Você também quer proteger dados da empresa acessados por dispositivos que não são gerenciados por você.You'll also want to protect company data that is accessed from devices that are not managed by you.

Você pode usar políticas de proteção de aplicativo do Intune independentemente de qualquer solução de MDM (gerenciamento de dispositivo móvel).You can use Intune app protection policies independent of any mobile-device management (MDM) solution. Essa independência ajuda a proteger os dados da sua empresa com ou sem registro de dispositivos em uma solução de gerenciamento de dispositivo.This independence helps you protect your company’s data with or without enrolling devices in a device management solution. Implementando as políticas de nível de aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados dentro do alcance do seu departamento de TI.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

As políticas de proteção de aplicativo podem ser configuradas para aplicativos em execução em dispositivos que são:App protection policies can be configured for apps that run on devices that are:

  • Registrados no Microsoft Intune: Esses dispositivos normalmente são corporativos.Enrolled in Microsoft Intune: These devices are typically corporate owned.

  • Registrados em uma solução de MDM (Gerenciamento de dispositivo móvel) de terceiros: Esses dispositivos normalmente são corporativos.Enrolled in a third-party Mobile device management (MDM) solution: These devices are typically corporate owned.

    Observação

    Políticas de gerenciamento de aplicativo móvel não devem ser usadas com o gerenciamento de aplicativos móveis de terceiros ou com soluções seguras de contêiner.Mobile app management policies should not be used with third-party mobile app management or secure container solutions.

  • Não registrados em nenhuma solução de gerenciamento de dispositivo móvel: Os dispositivos dessa categoria normalmente são dispositivos de funcionários que não são gerenciados nem registrados no Intune nem em outras soluções de MDM.Not enrolled in any mobile device management solution: The devices are typically employee owned devices that aren't managed or enrolled in Intune or other MDM solutions.

Importante

Você pode criar políticas de gerenciamento para aplicativos móveis do Office que se conectam aos serviços do Office 365.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. Você também pode proteger o acesso às caixas de correio locais do Exchange criando políticas de proteção de aplicativos do Intune para o Outlook para iOS e Android habilitado com Autenticação Moderna híbrida.You can also protect access to Exchange on-premises mailboxes by creating Intune app protection policies for Outlook for iOS and Android enabled with hybrid Modern Authentication. Antes de usar esse recurso, verifique se você atende aos requisitos do Outlook para iOS e Android.Before using this feature, make sure you meet the Outlook for iOS and Android requirements. As políticas de proteção de aplicativos não são compatíveis com outros aplicativos que se conectam a serviços locais do Exchange ou do SharePoint.App protection policies are not supported for other apps that connect to on-premises Exchange or SharePoint services.

Os principais benefícios de usar as políticas de proteção do aplicativo são:The important benefits of using App protection policies are:

  • Proteger os dados da empresa no nível do aplicativo.Protecting your company data at the app level. Como o gerenciamento de aplicativo móvel não requer gerenciamento de dispositivos, é possível proteger os dados da empresa em dispositivos gerenciados e não gerenciados.Because mobile app management doesn't require device management, you can protect company data on both managed and unmanaged devices. O gerenciamento concentra-se na identidade do usuário, o que elimina a necessidade de gerenciar dispositivos.The management is centered on the user identity, which removes the requirement for device management.

  • A produtividade do usuário final não é afetada, e as políticas não são aplicadas ao usar o aplicativo em um contexto pessoal.End-user productivity isn't affected and policies don't apply when using the app in a personal context. As políticas são aplicadas somente em um contexto corporativo, que proporciona a capacidade de proteger dados da empresa sem tocar em dados pessoais.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

Há benefícios adicionais ao usar MDM com políticas de proteção de aplicativo, e as empresas podem usar as políticas de proteção de aplicativo com e sem MDM ao mesmo tempo.There are additional benefits to using MDM with App protection policies, and companies can use App protection policies with and without MDM at the same time. Por exemplo, considere um funcionário que usa um telefone da empresa e um tablet pessoal.For example, consider an employee that uses both a phone issued by the company, and their own personal tablet. O telefone da empresa é registrado no MDM e protegido pelas políticas de proteção de aplicativo, e o dispositivo pessoal é protegido somente pelas políticas de proteção de aplicativo.The company phone is enrolled in MDM and protected by App protection policies while the personal device is protected by App protection policies only.

  • O MDM garante que o dispositivo estará protegido.MDM makes sure that the device is protected. Por exemplo, você pode exigir um PIN acessar o dispositivo ou pode implantar aplicativos gerenciados para o dispositivo.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Você também pode implantar aplicativos em dispositivos por meio da solução MDM, para conferir mais controle sobre o gerenciamento de aplicativo.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

  • Políticas de proteção de aplicativo garantem que as proteções de camada de aplicativo estejam em vigor.App protection policies makes sure that the app-layer protections are in place. Por exemplo, você pode:For example, you can:

    • Exigir um PIN para abrir um aplicativo em um contexto de trabalhoRequire a PIN to open an app in a work context
    • Controlar o compartilhamento de dados entre aplicativosControl the sharing of data between apps
    • Impedir a gravação de dados de aplicativos da empresa em um local de armazenamento pessoalPrevent the saving of company app data to a personal storage location

Plataformas com suporte para as políticas de proteção de aplicativoSupported platforms for app protection policies

O suporte da plataforma de políticas de proteção de aplicativo do Intune está alinhado ao suporte da plataforma de aplicativo móvel do Office para dispositivos com Android e iOS.Intune app protection policies platform support aligns with Office mobile application platform support for Android and iOS devices. Para obter detalhes, confira a seção Aplicativos móveis dos Requisitos de sistema do Office.For details, see the Mobile apps section of Office System Requirements.

Importante

O dispositivo exige o Portal da Empresa do Intune para receber Políticas de proteção do aplicativo no Android.The Intune Company Portal is required on the device to recieve App Protection Policies on Android. Saiba mais em Requisitos de acesso dos aplicativos para o Portal da Empresa do Intune.For more information, see the Intune Company Portal access apps requirements.

Como as políticas de proteção de aplicativo protegem dados do aplicativoHow app protection policies protect app data

Aplicativos sem políticas de proteção de aplicativoApps without app protection policies

Imagem conceitual para movimentação de dados entre aplicativos sem nenhuma política em vigor

Quando os aplicativos são usados sem restrições, os dados corporativos e pessoais podem se misturar.When apps are used without restrictions, company and personal data can get intermingled. Os dados corporativos podem acabar em locais como um armazenamento pessoal ou podem ser transferidos para aplicativos fora do seu alcance, resultando na perda de dados.Company data can end up in locations like personal storage or transferred to apps beyond your purview and result in data loss. As setas no diagrama anterior mostram a movimentação de dados irrestrita entre aplicativos corporativos e pessoais, além de locais de armazenamento.The arrows in the preceding diagram show unrestricted data movement between both corporate and personal apps, and to storage locations.

Proteção de dados com as políticas de proteção de aplicativoData protection with app protection policies

Imagem conceitual que mostra os dados da empresa sendo protegidos por políticas

Você pode usar as políticas de proteção de aplicativo para impedir que os dados da empresa sejam salvos no armazenamento local do dispositivo.You can use App protection policies to prevent company data from saving to the local storage of the device. Você também pode restringir a movimentação de dados para outros aplicativos que não estão protegidos pelas políticas de proteção do aplicativo.You can also restrict data movement to other apps that aren't protected by App protection policies. As configurações de política de proteção de aplicativo incluem:App protection policy settings include:

  • Políticas de realocação de dados como Evitar Salvar Como e Restringir recortar, copiar e colar.Data relocation policies like Prevent Save As, and Restrict cut, copy, and paste.
  • As configurações de política de acesso como Exigir PIN simples para acesso e Bloquear a execução de aplicativos gerenciados em dispositivos com jailbreak ou raiz.Access policy settings like Require simple PIN for access, and Block managed apps from running on jailbroken or rooted devices.

Proteção de dados com políticas de proteção de aplicativo nos dispositivos gerenciados por uma solução de Gerenciamento de Dispositivo MóvelData protection with app protection policies on devices managed by a Mobile Device Management solution

A imagem que mostra como as políticas de proteção de aplicativo funcionam em dispositivos BYOD

Para dispositivos registrados em uma solução de MDM-For devices enrolled in an MDM solution-

A ilustração anterior mostra as camadas de proteção que as políticas de MDM e proteção de aplicativo oferecem juntas.The preceding illustration shows the layers of protection that MDM and App protection policies offer together.

A solução MDM:The MDM solution:

  • Registra o dispositivoEnrolls the device

  • Implanta os aplicativos no dispositivoDeploys the apps to the device

  • Fornece gerenciamento e a conformidade contínuos no dispositivoProvides ongoing device compliance and management

Políticas de proteção de aplicativo agregam valor da seguinte forma:App protection policies add value by:

  • Ajudar a proteger os dados da empresa contra vazamento de serviços e aplicativos de consumidorHelping protect company data from leaking to consumer apps and services

  • Aplicar restrições, como salvar como, área de transferência ou PIN, aos aplicativos clienteApplying restrictions like save-as, clipboard, or PIN, to client apps

  • Apagar os dados da empresa dos aplicativos sem remover esses aplicativos do dispositivoWipe company data from apps without removing those apps from the device

Proteção de dados com políticas de proteção de aplicativo para dispositivos sem registroData protection with app protection policies for devices without enrollment

A imagem que mostra como as políticas de proteção de aplicativo funcionam em dispositivos gerenciados

O diagrama anterior ilustra como as políticas de proteção de dados funcionam no nível do aplicativo sem MDM.The preceding diagram illustrates how the data protection policies work at the app level without MDM.

Para dispositivos BYOD não registrados em nenhuma solução MDM, as políticas de proteção de aplicativo podem ajudar a proteger os dados da empresa no nível do aplicativo.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. Contudo, existem algumas limitações a serem consideradas, como:However, there are some limitations to be aware of, like:

  • Não é possível implantar aplicativos no dispositivo.You can't deploy apps to the device. O usuário final precisa obter os aplicativos na loja.The end user has to get the apps from the store.

  • Não é possível provisionar perfis de certificado nesses dispositivos.You can't provision certificate profiles on these devices.

  • Não é possível provisionar as configurações de Wi-Fi e VPN da empresa nesses dispositivos.You can't provision company Wi-Fi and VPN settings on these devices.

Política Global de proteção de aplicativoApp protection Global policy

Se um administrador do OneDrive navegar até admin.office.com e selecionar o acesso a Dispositivo, ele poderá definir os controles de Gerenciamento de aplicativo móvel para os aplicativos de cliente do OneDrive e do SharePoint.If a OneDrive administrator browses to admin.office.com and selects Device access, they can set Mobile application management controls to the OneDrive and SharePoint client apps.

As configurações, disponibilizadas para o console de administração do OneDrive, configuram uma política de proteção especial de aplicativo do Intune chamada de política Global.The settings, made available to the OneDrive Admin console, configure a special Intune app protection policy called the Global policy. Essa política global é aplicável a todos os usuários em seu locatário e não tem como controlar o direcionamento de política.This global policy applies to all users in your tenant, and has no way to control the policy targeting.

Uma vez habilitada, os aplicativos OneDrive e SharePoint para iOS e Android são protegidos com as configurações selecionadas por padrão.Once enabled, the OneDrive and SharePoint apps for iOS and Android are protected with the selected settings by default. Um profissional de TI pode editar essa política no console do Intune para adicionar mais aplicativos direcionados e modificar qualquer configuração de política.An IT Pro can edit this policy in the Intune console to add more targeted apps and to modify any policy setting.

Por padrão, só pode haver uma política Global por locatário.By default, there can only be one Global policy per tenant. No entanto, você pode usar as APIs do Graph do Intune para criar políticas extras globais por locatário, mas isso não é recomendado.However, you can use Intune Graph APIs to create extra global policies per tenant, but doing so isn't recommended. Criar políticas extras globais não é recomendado porque a solução de problemas da implementação dessa política pode se tornar complicada.Creating extra global policies isn’t recommended because troubleshooting the implementation of such a policy can become complicated.

Embora a política Global se aplique a todos os usuários em seu locatário, qualquer política de Proteção de Aplicativo do Intune padrão substituirá essas configurações.While the Global policy applies to all users in your tenant, any standard Intune app protection policy will override these settings.

Várias identidadesMulti-identity

Aplicativos que dão suporte a várias identidades permitem usar contas diferentes (pessoal e corporativa) para acessar os mesmos aplicativos. Por outro lado, políticas de proteção de aplicativo são aplicadas somente quando os aplicativos são usados no contexto de trabalho.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies apply only when the apps are used in the work context.

Para obter um exemplo de um contexto pessoal, considere um usuário que inicia um novo documento no Word, isso é considerado um contexto pessoal, portanto, as políticas de Proteção de Aplicativo do Intune não são aplicadas.For an example of personal context, consider a user who starts a new document in Word, this is considered personal context so Intune App Protection policies are not applied. Assim que o documento for salvo na conta corporativa do OneDrive, ele será considerado um contexto corporativo e as políticas de Proteção de Aplicativo do Intune serão aplicadas.Once the document is saved on the corporate OneDrive account then it will be considered corporate context and Intune App Protection polices will be applied.

Como exemplo de contexto de trabalho, considere um usuário que inicia o aplicativo OneDrive usando sua conta corporativa.For an example of work context, consider a user who starts the OneDrive app by using their work account. No contexto de trabalho, ele não pode mover arquivos para um local de armazenamento pessoal.In the work context, they can't move files to a personal storage location. Mais tarde, quando ele usa o OneDrive com sua conta pessoal, pode copiar e mover dados do seu OneDrive pessoal sem restrições.Later, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Próximas etapasNext steps

Como criar e implantar as políticas de proteção de aplicativo com o Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune

Consulte tambémSee also

Os aplicativos de terceiros, como o aplicativo móvel Salesforce, funcionam com o Intune de maneiras específicas para proteger dados corporativos.Third-party apps such as the Salesforce mobile app work with Intune in specific ways to protect corporate data. Para saber mais sobre como o aplicativo Salesforce em particular funciona com o Intune (incluindo as definições das configurações do aplicativo MDM), confira Aplicativo Salesforce e Microsoft Intune.To learn more about how the Salesforce app in particular works with Intune (including MDM app configurations settings), see Salesforce App and Microsoft Intune.