Como criar e atribuir as políticas de proteção de aplicativo

  • Artigo

Saiba como criar e atribuir Microsoft Intune APP (políticas de proteção de aplicativo) para usuários da sua organização. Este artigo também descreve como fazer alterações nas políticas existentes.

Antes de começar

Proteção de aplicativos políticas podem ser aplicadas a aplicativos em execução em dispositivos que podem ou não ser gerenciados pelo Intune. Para obter uma descrição mais detalhada de como as políticas de proteção de aplicativos funcionam e os cenários compatíveis com as políticas de proteção de aplicativos do Intune, consulte Proteção de aplicativos visão geral das políticas.

As opções disponíveis nas APPs (políticas de proteção do aplicativo) permitem que as organizações personalizem a proteção para suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

  • A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
  • A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
  • A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Se você estiver procurando uma lista de aplicativos que integraram o SDK do Intune, consulte Microsoft Intune aplicativos protegidos.

Para obter informações sobre como adicionar aplicativos LOB (linha de negócios) da sua organização para Microsoft Intune para se preparar para políticas de proteção de aplicativos, consulte Adicionar aplicativos a Microsoft Intune.

Proteção de aplicativos políticas para aplicativos iOS/iPadOS e Android

Ao criar uma política de proteção de aplicativo para aplicativos iOS/iPadOS e Android, você segue um fluxo de processo moderno do Intune que resulta em uma nova política de proteção de aplicativo. Para obter informações sobre como criar políticas de proteção de aplicativos para aplicativos Windows, consulte Proteção de aplicativos configurações de política para Windows.

Criar uma política de proteção de aplicativo iOS/iPadOS ou Android

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Aplicativos>Políticas de proteção de aplicativos. Essa seleção abre os detalhes Proteção de aplicativos políticas, em que você cria novas políticas e edita políticas existentes.

  3. Selecione Criar política e selecione iOS/iPadOS ou Android. O painel Criar política é exibido.

  4. Na página Conceitos Básicos, adicione os seguintes valores:

    Valor Descrição
    Nome O nome dessa política de proteção de aplicativo.
    Descrição [Opcional] A descrição desta política de proteção de aplicativo.

    O valorPlataforma é definido com base em sua escolha acima.

    Captura de tela da página Noções básicas do painel Criar política

  5. Clique em Avançar para exibir a página Aplicativos .
    A página Aplicativos permite que você escolha quais aplicativos devem ser direcionados por essa política. Você deve adicionar pelo menos um aplicativo.

    Valor/opção Descrição
    Política de destino para Na caixa suspensa Política de destino a ser suspensa, escolha direcionar sua política de proteção de aplicativo para Todos os Aplicativos, Microsoft Apps ou Core Microsoft Apps.

    • Todos os Aplicativos incluem todos os aplicativos microsoft e parceiros que integraram o SDK do Intune.
    • Microsoft Apps inclui todos os aplicativos da Microsoft que integraram o SDK do Intune.
    • O core Microsoft Apps inclui os seguintes aplicativos: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do e Word.

    Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.
    Aplicativos públicos Se você não quiser selecionar um dos grupos de aplicativos predefinidos, você poderá optar por direcionar aplicativos individuais selecionando aplicativos selecionados na política De destino para a caixa suspensa. Clique em Selecionar aplicativos públicos para selecionar aplicativos públicos a serem direcionados.
    Aplicativos personalizados Se você não quiser selecionar um dos grupos de aplicativos predefinidos, você poderá optar por direcionar aplicativos individuais selecionando aplicativos selecionados na política De destino para a caixa suspensa. Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID do Pacote. Você não pode escolher um aplicativo personalizado ao direcionar todos os aplicativos públicos na mesma política.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

    Observação

    Há suporte para aplicativos públicos da Microsoft e parceiros que são comumente usados com Microsoft Intune. Esses aplicativos protegidos do Intune são habilitados com um conjunto avançado de suporte para políticas de proteção de aplicativos móveis. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos. Aplicativos personalizados são aplicativos LOB que foram integrados ao SDK do Intune ou encapsulados pela App Wrapping Tool do Intune. Para obter mais informações, consulte Microsoft Intune Visão geral do SDK do aplicativo e preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.

  6. Clique em Avançar para exibir a página Proteção de dados .
    Esta página fornece configurações para os controles de prevenção contra perda de dados (DLP), incluindo restrições de recortar, copiar, colar e salvar como. Essas configurações determinam como os usuários interagem com dados nos aplicativos que esta política de proteção do aplicativo aplica.

    Configurações de proteção de dados:

  7. Clique em Avançar para exibir a página Requisitos de acesso .
    Esta página fornece configurações para que você defina os requisitos de PIN e credenciais que os usuários devem atender para acessar aplicativos em um contexto de trabalho.

    Configurações de requisitos de acesso:

  8. Clique em Avançar para exibir a página de lançamento condicional .
    Esta página fornece configurações para definir os requisitos de segurança de login para sua política de proteção de aplicativos. Selecione um Configuraçãoe insira o Valor que os usuários devem reunir para entrar no aplicativo da empresa. Em seguida, selecione a Ação que você deseja tomar se os usuários não atenderem aos seus requisitos. Em alguns casos, várias ações podem ser configuradas para uma única configuração.

    Configurações de inicialização condicional:

  9. Clique em Avançar para exibir a página Atribuições .
    A página Atribuições permite atribuir a política de proteção do aplicativo a grupos de usuários. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito.

  10. Clique em Avançar: Examinar + criar para examinar os valores e as configurações inseridas para esta política de proteção de aplicativo.

  11. Quando terminar, clique em Criar para criar a política de proteção do aplicativo no Intune.

    Dica

    Essas configurações de política são impostas somente ao usar aplicativos no contexto de trabalho. Quando os usuários finais usam o aplicativo para fazer uma tarefa pessoal, eles não são afetados por essas políticas. Observe que quando você cria um novo arquivo, ele é considerado um arquivo pessoal.

    Importante

    Pode levar tempo para que as políticas de proteção de aplicativo se apliquem a dispositivos existentes. Os usuários finais verão uma notificação no dispositivo quando a política de proteção do aplicativo for aplicada. Aplique suas políticas de proteção de aplicativo a dispositivos antes de aplicar regras de acesso condidtional.

Os usuários finais podem baixar os aplicativos da Loja de Aplicativos ou do Google Play. Para saber mais, confira:

Alterar políticas existentes

Você pode editar uma política existente e aplicá-la aos usuários de destino. Para obter mais informações sobre o tempo de entrega da política, confira Entender o tempo de entrega da Política de Proteção de Aplicativo.

Para alterar a lista de aplicativos associados à política

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune , selecione Propriedades.

  3. Ao lado da seção intitulada Aplicativos, selecione Editar.

  4. A página Aplicativos permite que você escolha quais aplicativos devem ser direcionados por essa política. Você deve adicionar pelo menos um aplicativo.

    Valor/opção Descrição
    Aplicativos públicos Na caixa suspensa Política de destino a ser suspensa, escolha direcionar sua política de proteção de aplicativo para Todos os aplicativos públicos, Microsoft Apps ou Core Microsoft Apps. Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.

    Se necessário, você pode optar por direcionar aplicativos individuais clicando em Selecionar aplicativos públicos.

    Aplicativos personalizados Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID do Pacote.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

  5. Clique em Revisar + criar para examinar os aplicativos selecionados para esta política.

  6. Quando terminar, clique em Salvar para atualizar a política de proteção do aplicativo.

Para alterar a lista de grupos de usuários

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune , selecione Propriedades.

  3. Ao lado da seção intitulada Atribuições, selecione Editar.

  4. Para adicionar um novo grupo de usuários à política, na guia Incluir , escolha Selecionar grupos para incluir e selecione o grupo de usuários. Escolha Selecionar para adicionar o grupo.

  5. Para excluir um grupo de usuários, na guia Excluir escolha Selecionar grupos para excluir e selecione o grupo de usuários. Escolha Selecionar para remover o grupo de usuários.

  6. Para excluir grupos que foram adicionados anteriormente, nas guias Incluir ou Excluir , selecione as reticências (...) e selecione Excluir.

  7. Clique em Examinar + criar para examinar os grupos de usuários selecionados para esta política.

  8. Depois que suas alterações nas atribuições estiverem prontas, selecione Salvar para salvar a configuração e implantar a política no novo conjunto de usuários. Se você selecionar Cancelar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir .

Para alterar as configurações da política

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune , selecione Propriedades.

  3. Ao lado da seção correspondente às configurações que você deseja alterar, selecione Editar. Em seguida, altere as configurações para novos valores.

  4. Clique em Examinar + criar para examinar as configurações atualizadas para essa política.

  5. Selecione Salvar para salvar suas alterações. Repita o processo para selecionar uma área de configurações e modificar e salve suas alterações até que todas as alterações sejam concluídas. Em seguida, você pode fechar o painel Proteção de Aplicativo do Intune – Propriedades .

Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos

Em muitas organizações, é comum permitir que os usuários finais usem dispositivos gerenciados do Intune Mobile Gerenciamento de Dispositivos (MDM), como dispositivos corporativos e dispositivos não gerenciados protegidos apenas com políticas de proteção de aplicativo do Intune. Dispositivos não gerenciados geralmente são conhecidos como ByOD (Bring Your Own Devices).

Como as políticas de proteção de aplicativo do Intune visam a identidade de um usuário, as configurações de proteção para um usuário podem ser aplicadas a dispositivos registrados (gerenciados por MDM) e não registrados (sem MDM). Portanto, você pode direcionar uma política de proteção de aplicativo do Intune para dispositivos iOS/iPadOS e Android registrados ou não registrados do Intune usando filtros. Para obter mais informações sobre como criar filtros, consulte Usar filtros ao atribuir políticas . Você pode ter uma política de proteção para dispositivos não gerenciados em que controles rígidos de prevenção contra perda de dados (DLP) estão em vigor e uma política de proteção separada para dispositivos gerenciados por MDM, onde os controles DLP podem estar um pouco mais relaxados. Para obter mais informações sobre como isso funciona em dispositivos Android Enterprise pessoais, consulte Proteção de aplicativos políticas e perfis de trabalho.

Para usar esses filtros ao atribuir políticas, navegue até Aplicativos>Proteção de aplicativos políticas no centro de administração do Intune e selecione Criar política. Você também pode editar uma política de proteção de aplicativo existente. Navegue até a página Atribuições e selecione Editar filtro para incluir ou excluir filtros para o grupo atribuído.

Gerenciamento de Dispositivos tipos

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

  • Não gerenciados: para dispositivos iOS/iPadOS, dispositivos não gerenciados são dispositivos em que o gerenciamento de MDM do Intune ou uma solução MDM/EMM de terceiros não passa a IntuneMAMUPN chave. Para dispositivos Android, dispositivos não gerenciados são dispositivos em que o gerenciamento de MDM do Intune não foi detectado. Isso inclui dispositivos gerenciados por fornecedores de MDM de terceiros.
  • Dispositivos gerenciados do Intune: os dispositivos gerenciados são gerenciados pelo MDM do Intune.
  • Administrador de dispositivos Android: dispositivos gerenciados pelo Intune usando a API de Administração de Dispositivos Android.
  • Android Enterprise: dispositivos gerenciados pelo Intune usando perfis de trabalho do Android Enterprise ou Android Enterprise Full Gerenciamento de Dispositivos.
  • Dispositivos dedicados de propriedade corporativa do Android Enterprise com Microsoft Entra modo de dispositivo compartilhado: dispositivos gerenciados pelo Intune usando dispositivos dedicados do Android Enterprise com modo de dispositivo compartilhado.
  • Dispositivos associados ao usuário android (AOSP): dispositivos gerenciados pelo Intune usando o gerenciamento associado ao usuário AOSP.
  • Dispositivos sem usuário Android (AOSP): dispositivos gerenciados pelo Intune usando dispositivos sem usuário AOSP. Esses dispositivos também aproveitam Microsoft Entra modo de dispositivo compartilhado.

No Android, os dispositivos Android solicitarão a instalação do aplicativo Portal da Empresa do Intune independentemente de qual tipo de Gerenciamento de Dispositivos seja escolhido. Por exemplo, se você selecionar 'Android Enterprise' então os usuários com dispositivos Android não gerenciados ainda serão solicitados.

Para iOS/iPadOS, para que o tipo de Gerenciamento de Dispositivos seja imposto aos dispositivos gerenciados do Intune, são necessárias configurações adicionais de configuração de aplicativo. Essas configurações se comunicarão com o serviço APP que um determinado aplicativo é gerenciado e que as configurações do APP não se aplicarão:

Configurações de política

Para ver uma lista completa das configurações de política para iOS/iPadOS e Android, selecione um dos seguintes links:

Próximas etapas

Monitorar a conformidade e o status de usuário

Confira também