Visão geral das políticas de proteção de aplicativosApp protection policies overview

As políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permaneçam seguros ou armazenados em um aplicativo gerenciado.App protection policies (APP) are rules that ensure an organization's data remains safe or contained in a managed app. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo.A policy can be a rule that is enforced when the user attempts to access or move "corporate" data, or a set of actions that are prohibited or monitored when the user is inside the app. Um aplicativo gerenciado é um aplicativo que tem políticas de proteção de aplicativo aplicadas e que pode ser gerenciado pelo Intune.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

As políticas de proteção do aplicativo para MAM (gerenciamento de aplicativo móvel) permitem gerenciar e proteger os dados da organização em um aplicativo.Mobile Application Management (MAM) app protection policies allows you to manage and protect your organization's data within an application. Com o MAM sem registro, um aplicativo relacionado ao trabalho ou à escola, que contém dados confidenciais, pode ser gerenciado em quase todos os dispositivos, inclusive dispositivos pessoais, em cenários de BYOD (Traga seu próprio dispositivo).With MAM without enrollment (MAM-WE), a work or school-related app that contains sensitive data can be managed on almost any device, including personal devices in bring-your-own-device (BYOD) scenarios. Vários aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo Intune MAM.Many productivity apps, such as the Microsoft Office apps, can be managed by Intune MAM. Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.See the official list of Microsoft Intune protected apps available for public use.

Como proteger os dados do aplicativoHow you can protect app data

Os funcionários usam dispositivos móveis para tarefas de pessoais e corporativas.Your employees use mobile devices for both personal and work tasks. Embora seja necessário garantir que seus funcionários sejam produtivos, você deseja evitar a perda de dados, intencional ou acidental.While making sure your employees can be productive, you want to prevent data loss, intentional and unintentional. Você também quer proteger dados da empresa acessados por dispositivos que não são gerenciados por você.You'll also want to protect company data that is accessed from devices that are not managed by you.

Você pode usar políticas de proteção de aplicativo do Intune independentemente de qualquer solução de MDM (gerenciamento de dispositivo móvel) .You can use Intune app protection policies independent of any mobile-device management (MDM) solution. Essa independência ajuda a proteger os dados da sua empresa com ou sem registro de dispositivos em uma solução de gerenciamento de dispositivo.This independence helps you protect your company’s data with or without enrolling devices in a device management solution. Implementando as políticas de nível de aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados dentro do alcance do seu departamento de TI.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

Políticas de proteção do aplicativo em dispositivosApp protection policies on devices

As políticas de proteção de aplicativo podem ser configuradas para aplicativos em execução em dispositivos que são:App protection policies can be configured for apps that run on devices that are:

  • Registrados no Microsoft Intune: Esses dispositivos normalmente são corporativos.Enrolled in Microsoft Intune: These devices are typically corporate owned.

  • Registrados em uma solução de MDM (Gerenciamento de dispositivo móvel) de terceiros: Esses dispositivos normalmente são corporativos.Enrolled in a third-party Mobile device management (MDM) solution: These devices are typically corporate owned.

    Observação

    Políticas de gerenciamento de aplicativo móvel não devem ser usadas com o gerenciamento de aplicativos móveis de terceiros ou com soluções seguras de contêiner.Mobile app management policies should not be used with third-party mobile app management or secure container solutions.

  • Não registrados em nenhuma solução de gerenciamento de dispositivo móvel: Esses dispositivos normalmente são dispositivos de funcionários, que não são gerenciados nem registrados no Microsoft Intune nem em outras soluções de MDM.Not enrolled in any mobile device management solution: These devices are typically employee owned devices that aren't managed or enrolled in Intune or other MDM solutions.

Importante

Você pode criar políticas de gerenciamento para aplicativos móveis do Office que se conectam aos serviços do Office 365.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. Você também pode proteger o acesso às caixas de correio locais do Exchange criando políticas de proteção de aplicativos do Intune para o Outlook para iOS e Android habilitado com Autenticação Moderna híbrida.You can also protect access to Exchange on-premises mailboxes by creating Intune app protection policies for Outlook for iOS and Android enabled with hybrid Modern Authentication. Antes de usar esse recurso, verifique se você atende aos requisitos do Outlook para iOS e Android.Before using this feature, make sure you meet the Outlook for iOS and Android requirements. As políticas de proteção de aplicativos não são compatíveis com outros aplicativos que se conectam a serviços locais do Exchange ou do SharePoint.App protection policies are not supported for other apps that connect to on-premises Exchange or SharePoint services.

Vantagens do uso de políticas de proteção do aplicativoBenefits of using App protection policies

As principais vantagens de usar as políticas de proteção do aplicativo são as seguintes:The important benefits of using App protection policies are the following:

  • Proteger os dados da empresa no nível do aplicativo.Protecting your company data at the app level. Como o gerenciamento de aplicativo móvel não requer gerenciamento de dispositivos, é possível proteger os dados da empresa em dispositivos gerenciados e não gerenciados.Because mobile app management doesn't require device management, you can protect company data on both managed and unmanaged devices. O gerenciamento concentra-se na identidade do usuário, o que elimina a necessidade de gerenciar dispositivos.The management is centered on the user identity, which removes the requirement for device management.

  • A produtividade do usuário final não é afetada e as políticas não são aplicadas ao usar o aplicativo em um contexto pessoal.End-user productivity isn't affected and policies don't apply when using the app in a personal context. As políticas são aplicadas somente em um contexto corporativo, que proporciona a capacidade de proteger dados da empresa sem tocar em dados pessoais.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

  • As políticas de proteção do aplicativo garantem a aplicação de proteções por camada do aplicativo.App protection policies makes sure that the app-layer protections are in place. Por exemplo, você pode:For example, you can:

    • Exigir um PIN para abrir um aplicativo em um contexto de trabalhoRequire a PIN to open an app in a work context
    • Controlar o compartilhamento de dados entre aplicativosControl the sharing of data between apps
    • Impedir a gravação de dados de aplicativos da empresa em um local de armazenamento pessoalPrevent the saving of company app data to a personal storage location
  • O MDM juntamente com o MAM verificam se o aplicativo está protegido.MDM, in addition to MAM, makes sure that the device is protected. Por exemplo, você pode exigir um PIN acessar o dispositivo ou pode implantar aplicativos gerenciados para o dispositivo.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Você também pode implantar aplicativos em dispositivos por meio da solução MDM, para conferir mais controle sobre o gerenciamento de aplicativo.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

Há benefícios adicionais ao usar MDM com políticas de proteção de aplicativo, e as empresas podem usar as políticas de proteção de aplicativo com e sem MDM ao mesmo tempo.There are additional benefits to using MDM with App protection policies, and companies can use App protection policies with and without MDM at the same time. Por exemplo, considere um funcionário que usa um telefone da empresa e um tablet pessoal.For example, consider an employee that uses both a phone issued by the company, and their own personal tablet. O telefone da empresa é registrado no MDM e protegido pelas políticas de proteção de aplicativo, e o dispositivo pessoal é protegido somente pelas políticas de proteção de aplicativo.The company phone is enrolled in MDM and protected by App protection policies while the personal device is protected by App protection policies only.

Se você aplicar uma política de MAM ao usuário sem definir o estado do dispositivo, o usuário receberá a política de MAM em seu próprio dispositivo e no dispositivo gerenciado pelo Intune.If you apply a MAM policy to the user without setting the device state, the user will get the MAM policy on both the BYOD device and the Intune-managed device. Você também pode aplicar uma política de MAM com base no estado gerenciado.You can also apply a MAM policy based on the managed state. Portanto, ao criar uma política de proteção do aplicativo, ao lado de Destino para todos os tipos de aplicativo, selecione Não.So when you create an app protection policy, next to Target to all app types, you'd select No. Depois, siga um destes procedimentos:Then do any of the following:

  • Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.Apply a less strict MAM policy to Intune managed devices, and apply a more restrictive MAM policy to non MDM-enrolled devices.
  • Aplique uma política de MAM apenas a dispositivos não registrados.Apply a MAM policy to unenrolled devices only.

Plataformas com suporte para as políticas de proteção de aplicativoSupported platforms for app protection policies

O Intune oferece uma variedade de recursos para ajudar a obter os aplicativos que você precisa, nos dispositivos em que você deseja executá-los.Intune offers a range of capabilities to help you get the apps you need on the devices you want to run them on. Para saber mais, confira Recursos de gerenciamento de aplicativo por plataforma.For more information, see App management capabilities by platform.

O suporte da plataforma de políticas de proteção de aplicativo do Intune está alinhado ao suporte da plataforma de aplicativo móvel do Office para dispositivos com Android e iOS.Intune app protection policies platform support aligns with Office mobile application platform support for Android and iOS devices. Para obter detalhes, confira a seção Aplicativos móveis dos Requisitos de sistema do Office.For details, see the Mobile apps section of Office System Requirements.

Importante

O dispositivo exige o Portal da Empresa do Intune para receber Políticas de proteção do aplicativo no Android.The Intune Company Portal is required on the device to recieve App Protection Policies on Android. Saiba mais em Requisitos de acesso dos aplicativos para o Portal da Empresa do Intune.For more information, see the Intune Company Portal access apps requirements.

Como as políticas de proteção de aplicativo protegem dados do aplicativoHow app protection policies protect app data

Aplicativos sem políticas de proteção de aplicativoApps without app protection policies

Quando os aplicativos são usados sem restrições, os dados corporativos e pessoais podem se misturar.When apps are used without restrictions, company and personal data can get intermingled. Os dados corporativos podem acabar em locais como um armazenamento pessoal ou podem ser transferidos para aplicativos fora do seu alcance, resultando na perda de dados.Company data can end up in locations like personal storage or transferred to apps beyond your purview and result in data loss. As setas no diagrama a seguir mostram a movimentação de dados irrestrita entre aplicativos corporativos e pessoais, além de locais de armazenamento.The arrows in the following diagram show unrestricted data movement between both corporate and personal apps, and to storage locations.

Imagem conceitual para movimentação de dados entre aplicativos sem nenhuma política em vigor

Proteção de dados com políticas de proteção do aplicativoData protection with app protection policies (APP)

Você pode usar as políticas de proteção do aplicativo para impedir que os dados da empresa sejam salvos no armazenamento local do dispositivo (veja a imagem abaixo).You can use App protection policies to prevent company data from saving to the local storage of the device (see the image below). Você também pode restringir a movimentação de dados para outros aplicativos que não estão protegidos pelas políticas de proteção do aplicativo.You can also restrict data movement to other apps that aren't protected by App protection policies. As configurações de política de proteção de aplicativo incluem:App protection policy settings include:

  • Políticas de realocação de dados, como Impedir Salvar como e Restringir recortar, copiar e colar.Data relocation policies like Prevent Save As, and Restrict cut, copy, and paste.
  • As configurações de política de acesso como Exigir PIN simples para acesso e Bloquear a execução de aplicativos gerenciados em dispositivos com jailbreak ou raiz.Access policy settings like Require simple PIN for access, and Block managed apps from running on jailbroken or rooted devices.

Imagem conceitual que mostra os dados da empresa sendo protegidos por políticas

Proteção de dados com políticas de proteção do aplicativo em dispositivos gerenciados por uma solução de MDMData protection with APP on devices managed by an MDM solution

A ilustração abaixo mostra as camadas de proteção que o MDM e as políticas de proteção do aplicativo oferecem em conjunto.The below illustration shows the layers of protection that MDM and App protection policies offer together.

A imagem que mostra como as políticas de proteção de aplicativo funcionam em dispositivos BYOD

A solução de MDM agrega valor fornecendo o seguinte:The MDM solution adds value by providing the following:

  • Registra o dispositivoEnrolls the device
  • Implanta os aplicativos no dispositivoDeploys the apps to the device
  • Fornece gerenciamento e a conformidade contínuos no dispositivoProvides ongoing device compliance and management

As políticas de proteção do aplicativo agregam valor fornecendo o seguinte:The App protection policies add value by providing the following:

  • Ajudam a proteger os dados da empresa contra vazamento de serviços e aplicativos de consumidorHelp protect company data from leaking to consumer apps and services
  • Aplicam restrições, como salvar como, área de transferência ou PIN, aos aplicativos clienteApply restrictions like save-as, clipboard, or PIN, to client apps
  • Apagam os dados da empresa dos aplicativos, quando necessário, sem remover esses aplicativos do dispositivoWipe company data when needed from apps without removing those apps from the device

Proteção de dados com políticas de proteção do aplicativo para dispositivos sem registroData protection with APP for devices without enrollment

O diagrama a seguir ilustra como as políticas de proteção de dados funcionam no nível do aplicativo sem MDM.The following diagram illustrates how the data protection policies work at the app level without MDM.

Imagem que mostra como as políticas de proteção do aplicativo funcionam em dispositivos sem registro (dispositivos não gerenciados).

Para dispositivos BYOD não registrados em nenhuma solução MDM, as políticas de proteção de aplicativo podem ajudar a proteger os dados da empresa no nível do aplicativo.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. No entanto, existem algumas limitações a serem consideradas, como:However, there are some limitations to be aware of, such as:

  • Não é possível implantar aplicativos no dispositivo.You can't deploy apps to the device. O usuário final precisa obter os aplicativos na loja.The end user has to get the apps from the store.
  • Não é possível provisionar perfis de certificado nesses dispositivos.You can't provision certificate profiles on these devices.
  • Não é possível provisionar as configurações de Wi-Fi e VPN da empresa nesses dispositivos.You can't provision company Wi-Fi and VPN settings on these devices.

Aplicativos que podem ser gerenciados com políticas de proteção do aplicativoApps you can manage with app protection policies

Qualquer aplicativo que tenha sido integrado com o SDK do Aplicativo do Intune ou encapsulado pela Ferramenta de Disposição do Aplicativo do Intune pode ser gerenciado por políticas de proteção do aplicativo do Intune.Any app that has been integrated with the Intune App SDK or wrapped by the Intune App Wrapping Tool can be managed using Intune app protection policies. Confira a lista oficial de aplicativos protegidos pelo Microsoft Intune que foram criados com essas ferramentas e estão disponíveis para uso público.See the official list of Microsoft Intune protected apps that have been built using these tools and are available for public use.

A equipe de desenvolvimento do SDK do Intune testa ativamente e mantém o suporte para aplicativos criados com as plataformas nativas do Android, iOS (Obj-C, Swift), Xamarin, Xamarin.Forms e Cordova.The Intune SDK development team actively tests and maintains support for apps built with the native Android, iOS (Obj-C, Swift), Xamarin, Xamarin.Forms, and Cordova platforms. Embora alguns clientes tiveram sucesso na integração do SDK do Intune com outras plataformas, como React Native e NativeScript, não fornecemos orientação explícita ou plug-ins para desenvolvedores de aplicativos que usem algo diferente de nossas plataformas que têm suporte.While some customers have had success with Intune SDK integration with other platforms such as React Native and NativeScript, we do not provide explicit guidance or plugins for app developers using anything other than our supported platforms.

O SDK do Aplicativo do Intune usa alguns recursos avançados de autenticação moderna das ADAL (Bibliotecas de Autenticação do Active Directory) para as versões internas e de terceiros do SDK.The Intune App SDK uses some advanced modern authentication capabilities from theAzure Active Directory Authentication Libraries (ADAL) for both the 1st party and the 3rd party versions of the SDK. Desse modo, a MSAL (Biblioteca de Autenticação da Microsoft) não funciona da maneira ideal com muitos de nossos principais cenários, como a inicialização condicional e a autenticação no serviço da Proteção de Aplicativo do Intune.As such, Microsoft Authentication Library (MSAL) does not work well with many of our core scenarios such as authentication into the Intune App Protection service and conditional launch. Considerando que a diretriz geral da equipe de identidade da Microsoft consiste em mudar todos os aplicativos do Microsoft Office para o MSAL, em alguma ocasião o SDK do Aplicativo do Intune deverá ser compatível com ele, mas não há planos para isso no momento.Given that the overall guidance from Microsoft's Identity team is to switch to MSAL for all of the Microsoft Office apps, the Intune App SDK will eventually need to support it, but there are no plans today.

Requisitos do usuário final para usar políticas de proteção do aplicativoEnd-user requirements to use app protection policies

A lista a seguir fornece os requisitos do usuário final para usar políticas de proteção do aplicativo em um aplicativo gerenciado pelo Intune:The following list provides the end-user requirements to use app protection policies on an Intune-managed app:

  • O usuário final deve ter uma conta do AAD (Azure Active Directory).The end user must have an Azure Active Directory (AAD) account. Consulte Adicionar usuários e conceder permissão administrativa para o Intune para saber como criar usuários do Intune no Azure Active Directory.See Add users and give administrative permission to Intune to learn how to create Intune users in Azure Active Directory.

  • O usuário final deve ter uma licença do Microsoft Intune atribuída à sua conta do Azure Active Directory.The end user must have a license for Microsoft Intune assigned to their Azure Active Directory account. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.See Manage Intune licenses to learn how to assign Intune licenses to end users.

  • O usuário final deve pertencer a um grupo de segurança destinado a uma política de proteção do aplicativo.The end user must belong to a security group that is targeted by an app protection policy. A mesma política de proteção do aplicativo deve ter como destino o aplicativo específico utilizado.The same app protection policy must target the specific app being used. Políticas de proteção do aplicativo podem ser criadas e implantadas no console do Intune no portal do Azure.App protection policies can be created and deployed in the Intune console in the Azure portal. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.Security groups can currently be created in the Microsoft 365 admin center.

  • O usuário final deve se conectar ao aplicativo usando sua conta do AAD.The end user must sign into the app using their AAD account.

Políticas de proteção do aplicativo para aplicativos do Microsoft OfficeApp protection policies for Microsoft Office apps

Há alguns requisitos adicionais que você deve conhecer ao usar as políticas de proteção do aplicativo com os aplicativos do Microsoft Office.There are a few additional requirements that you want to be aware of when using App protection policies with Microsoft Office apps.

Aplicativo Outlook MobileOutlook mobile app

Os requisitos adicionais para usar o aplicativo Outlook Mobile incluem o seguinte:The additional requirements to use the Outlook mobile app include the following:

  • O usuário final deve ter o aplicativo móvel do Outlook instalado em seu dispositivo.The end user must have the Outlook mobile app installed to their device.

  • O usuário final deve ter uma caixa de correio do Office 365 Exchange Online e uma licença vinculada à sua conta do Azure Active Directory.The end user must have an Office 365 Exchange Online mailbox and license linked to their Azure Active Directory account.

    Observação

    O aplicativo móvel do Outlook atualmente é compatível apenas para a Proteção de Aplicativo do Intune para o Microsoft Exchange Online e Exchange Server com autenticação moderna híbrida, e não dá suporte ao Exchange no Office 365 Dedicado.The Outlook mobile app currently only supports Intune App Protection for Microsoft Exchange Online and Exchange Server with hybrid modern authentication and does not support Exchange in Office 365 Dedicated.

Word, Excel e PowerPointWord, Excel, and PowerPoint

Os requisitos adicionais para usar os aplicativos Word, Excel e PowerPoint incluem o seguinte:The additional requirements to use the Word, Excel, and PowerPoint apps include the following:

  • O usuário final deve ter uma licença do Office 365 Business ou Enterprise vinculada à sua conta do Azure Active Directory.The end user must have a license for Office 365 Business or Enterprise linked to their Azure Active Directory account. A assinatura deve incluir os aplicativos do Office em dispositivos móveis e pode incluir uma conta de armazenamento em nuvem com o OneDrive for Business.The subscription must include the Office apps on mobile devices and can include a cloud storage account with OneDrive for Business. As licenças do Office 365 podem ser atribuídas na centro de administração do Microsoft 365 seguindo estas instruções.Office 365 licenses can be assigned in the Microsoft 365 admin center following these instructions.

  • O usuário final deve configurar um local gerenciado usando o salvamento granular como funcionalidade, na configuração "Impedir Salvar como" da política de proteção do aplicativo.The end user must have a managed location configured using the granular save as functionality under the "Prevent Save As" application protection policy setting. Por exemplo, se o local gerenciado for o OneDrive, será necessário configurar o aplicativo OneDrive no aplicativo Word, Excel ou PowerPoint do usuário final.For example, if the managed location is OneDrive, the OneDrive app should be configured in the end user's Word, Excel, or PowerPoint app.

  • Se o local gerenciado for o OneDrive, será necessário direcionar o aplicativo de acordo com a política de proteção do aplicativo implantada para o usuário final.If the managed location is OneDrive, the app must be targeted by the app protection policy deployed to the end user.

    Observação

    No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.The Office mobile apps currently only support SharePoint Online and not SharePoint on-premises.

Local gerenciado necessário para o OfficeManaged location needed for Office

Um local gerenciado (ou seja, o OneDrive) é necessário para o Office.A managed location (i.e. OneDrive) needed for Office. O Microsoft Intune marca todos os dados no aplicativo como "corporativos" ou "pessoais".Intune marks all data in the app as either "corporate" or "personal". Os dados são considerados “corporativos” quando tem como origem um local da empresa.Data is considered "corporate" when it originates from a business location. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account).

Skype for BusinessSkype for Business

Existem requisitos adicionais para usar o Skype for Business.There are additional requirements to use Skype for Business. Consulte os requisitos de licença do Skype for Business.See Skype for Business license requirements. Para configurações híbridas e locais do SfB (Skype for Business), confira A autenticação moderna híbrida para SfB e Exchange torna-se GA e Autenticação moderna para SfB local com o AAD, respectivamente.For Skype for Business (SfB) hybrid and on-prem configurations, see Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB OnPrem with AAD, respectively.

Política Global de proteção de aplicativoApp protection Global policy

Se um administrador do OneDrive navegar até admin.office.com e selecionar o acesso a Dispositivo, ele poderá definir os controles de Gerenciamento de aplicativo móvel para os aplicativos de cliente do OneDrive e do SharePoint.If a OneDrive administrator browses to admin.office.com and selects Device access, they can set Mobile application management controls to the OneDrive and SharePoint client apps.

As configurações, disponibilizadas para o console de administração do OneDrive, configuram uma política de proteção especial de aplicativo do Intune chamada de política Global.The settings, made available to the OneDrive Admin console, configure a special Intune app protection policy called the Global policy. Essa política global é aplicável a todos os usuários em seu locatário e não tem como controlar o direcionamento de política.This global policy applies to all users in your tenant, and has no way to control the policy targeting.

Uma vez habilitada, os aplicativos OneDrive e SharePoint para iOS e Android são protegidos com as configurações selecionadas por padrão.Once enabled, the OneDrive and SharePoint apps for iOS and Android are protected with the selected settings by default. Um profissional de TI pode editar essa política no console do Intune para adicionar mais aplicativos direcionados e modificar qualquer configuração de política.An IT Pro can edit this policy in the Intune console to add more targeted apps and to modify any policy setting.

Por padrão, só pode haver uma política Global por locatário.By default, there can only be one Global policy per tenant. No entanto, você pode usar as APIs do Graph do Intune para criar políticas extras globais por locatário, mas isso não é recomendado.However, you can use Intune Graph APIs to create extra global policies per tenant, but doing so isn't recommended. Criar políticas extras globais não é recomendado porque a solução de problemas da implementação dessa política pode se tornar complicada.Creating extra global policies isn’t recommended because troubleshooting the implementation of such a policy can become complicated.

Embora a política Global se aplique a todos os usuários em seu locatário, qualquer política de Proteção de Aplicativo do Intune padrão substituirá essas configurações.While the Global policy applies to all users in your tenant, any standard Intune app protection policy will override these settings.

Recursos de proteção do aplicativoApp protection features

Várias identidadesMulti-identity

O suporte para várias identidades permite que um aplicativo forneça suporte a vários públicos.Multi-identity support allows an app to support multiple audiences. Esses públicos são formados por usuários "corporativos" e "pessoais".These audiences are both "corporate" users and "personal" users. As contas corporativas e de estudante são usadas por públicos "corporativos", enquanto as contas pessoais são usadas pelo público consumidor, como usuários do Microsoft Office.Work and school accounts are used by "corporate" audiences, whereas personal accounts would be used for consumer audiences, such as Microsoft Office users. Um aplicativo com suporte para várias identidades pode ser lançado publicamente, caso em que as políticas de proteção do aplicativo se aplicam somente quando o aplicativo é usado no contexto profissional e escolar ("corporativo").An app that supports multi-identity can be released publicly, where app protection policies apply only when the app is used in the work and school ("corporate") context. O suporte para várias identidades usa o SDK do Aplicativo do Intune para aplicar políticas de proteção do aplicativo apenas à conta corporativa ou de estudante conectada ao aplicativo.Multi-identity support uses the Intune App SDK to only apply app protection policies to the work or school account signed into the app. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados.If a personal account is signed into the app, the data is untouched.

Para obter um exemplo de contexto "pessoal", considere um usuário que inicia um novo documento no Word. Isso é considerado um contexto pessoal, portanto, não se aplicam as políticas da Proteção de Aplicativo do Intune.For an example of "personal" context, consider a user who starts a new document in Word, this is considered personal context so Intune App Protection policies are not applied. Quando o documento é salvo na conta "corporativa" do OneDrive, ele é considerado um contexto "corporativo", e as políticas de proteção do aplicativo do Intune são aplicadas.Once the document is saved on the "corporate" OneDrive account, then it will be considered "corporate" context and Intune App Protection policies will be applied.

Como exemplo de contexto de trabalho ou "corporativo", considere um usuário que inicia o aplicativo OneDrive usando uma conta corporativa.For an example of work or "corporate" context, consider a user who starts the OneDrive app by using their work account. No contexto de trabalho, ele não pode mover arquivos para um local de armazenamento pessoal.In the work context, they can't move files to a personal storage location. Mais tarde, quando ele usa o OneDrive com sua conta pessoal, pode copiar e mover dados do seu OneDrive pessoal sem restrições.Later, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

O Outlook tem uma exibição de email combinada para emails "pessoais" e "corporativos".Outlook has a combined email view of both "personal" and "corporate" emails. Nessa situação, o aplicativo do Outlook solicita o PIN do Intune na inicialização.In this situation, the Outlook app prompts for the Intune PIN on launch.

Para saber mais sobre várias identidades no Microsoft Intune, confira o tópico MAM e várias identidades.For more information about multi-identity in Intune, see MAM and multi-identity.

PIN do aplicativo do IntuneIntune app PIN

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.The Personal Identification Number (PIN) is a passcode used to verify that the correct user is accessing the organization's data in an application.

Solicitação de PINPIN prompt
O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos".Intune prompts for the user's app PIN when the user is about to access "corporate" data. Em aplicativos de várias identidades, como o Word, Excel ou PowerPoint, o usuário é solicitado a inserir o respectivo PIN ao tentar abrir um arquivo ou documento "corporativo".In multi-identity apps such as Word, Excel, or PowerPoint, the user is prompted for their PIN when they try to open a "corporate" document or file. Em aplicativos de identidade única, como aplicativos de linha de negócios gerenciados com a Ferramenta de Encapsulamento de Aplicativo do Microsoft Intune, o PIN é solicitado na inicialização, pois o SDK do Aplicativo do Intune sabe que a experiência do usuário no aplicativo é sempre "corporativa".In single-identity apps, such as line-of-business apps managed using the Intune App Wrapping Tool, the PIN is prompted at launch, because the Intune App SDK knows the user's experience in the app is always "corporate".

Frequência de solicitação de PINPIN prompt frequency
O administrador de TI pode definir a política de proteção do aplicativo do Intune com o recurso Verificar novamente os requisitos de acesso após (minutos) , no console de administrador do Intune.The IT admin can define the Intune app protection policy setting Recheck the access requirements after (minutes) in the Intune admin console. Essa configuração especifica a quantidade de tempo até os requisitos de acesso serem verificados no dispositivo e a tela PIN do aplicativo ser exibida novamente.This setting specifies the amount of time before the access requirements are checked on the device, and the application PIN screen is shown again. No entanto, detalhes importantes sobre o PIN que afetam a frequência com que o usuário será consultado são:However, important details about PIN that affect how often the user will be prompted are:

  • O PIN é compartilhado entre aplicativos do mesmo editor para melhorar a usabilidade:The PIN is shared among apps of the same publisher to improve usability:
    No iOS, um PIN de aplicativo é compartilhado entre todos os aplicativos do mesmo editor de aplicativo.On iOS, one app PIN is shared amongst all apps of the same app publisher. No Android, o PIN de um aplicativo é compartilhado com todos os aplicativos.On Android, one app PIN is shared amongst all apps.
    • O comportamento do recurso Verificar novamente os requisitos de acesso após (minutos) , após uma reinicialização do dispositivo:The Recheck the access requirements after (minutes) behavior after a device reboot:
      Um "temporizador do PIN" rastreia o número de minutos de inatividade que determinam quando mostrar o PIN do aplicativo Intune.A "PIN timer" tracks the number of minutes of inactivity that determine when to show the Intune app PIN next. No iOS, o temporizador do PIN não é afetado pela reinicialização do dispositivo.On iOS, the PIN timer is unaffected by device reboot. Portanto, a reinicialização do dispositivo não tem nenhum efeito sobre o número de minutos que o usuário esteve inativo em um aplicativo iOS com a política de PIN do Intune.Thus, device restart has no effect on the number of minutes the user has been inactive from an iOS app with Intune PIN policy. No Android, o temporizador do PIN é redefinido na reinicialização do dispositivo.On Android, the PIN timer is reset on device reboot. Portanto, os aplicativos Android com a política de PIN do Intune provavelmente solicitarão um PIN do aplicativo, seja qual for o valor da configuração 'Verificar novamente os requisitos de acesso após (minutos)' após uma reinicialização do dispositivo.As such, Android apps with Intune PIN policy will likely prompt for an app PIN regardless of the 'Recheck the access requirements after (minutes)' setting value after a device reboot.
    • A natureza em constante movimento do temporizador associada ao PIN:The rolling nature of the timer associated with the PIN:
      Uma vez que um PIN é inserido para acessar um aplicativo (aplicativo A) e o aplicativo deixa o segundo plano (foco de entrada principal) no dispositivo, o temporizador do PIN é redefinido para esse PIN.Once a PIN is entered to access an app (app A), and the app leaves the foreground (main input focus) on the device, the PIN timer gets reset for that PIN. Qualquer aplicativo (aplicativo B) que compartilhe esse PIN não solicitará ao usuário para inserir o PIN porque o temporizador foi redefinido.Any app (app B) that shares this PIN will not prompt the user for PIN entry because the timer has reset. A solicitação será exibida novamente quando o valor "Verificar novamente os requisitos de acesso após (minutos)" for atendido novamente.The prompt will show up again once the 'Recheck the access requirements after (minutes)' value is met again.

Para dispositivos iOS, mesmo se o PIN for compartilhado entre aplicativos de diferentes fornecedores, a solicitação será exibida novamente quando o valor Verificar novamente os requisitos de acesso após (minutos) for atendido novamente para o aplicativo que não é o foco principal da entrada.For iOS devices, even if the PIN is shared between apps from different publishers, the prompt will show up again when the Recheck the access requirements after (minutes) value is met again for the app that is not the main input focus. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN.So, for example, a user has app A from publisher X and app B from publisher Y, and those two apps share the same PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado.The user is focused on app A (foreground), and app B is minimized. Depois que o valor Verificar novamente os requisitos de acesso após (minutos) for atendido e o usuário alternar para o aplicativo B, o PIN será necessário.After the Recheck the access requirements after (minutes) value is met and the user switches to app B, the PIN would be required.

Observação

Para verificar os requisitos de acesso do usuário com mais frequência (ou seja, solicitação do PIN), especialmente para um aplicativo usado com frequência, é recomendável reduzir o valor da configuração "Verificar novamente os requisitos de acesso após (minutos)".In order to verify the user's access requirements more often (i.e. PIN prompt), especially for a frequently used app, it is recommended to reduce the value of the 'Recheck the access requirements after (minutes)' setting.

PINs de aplicativos internos para Outlook e OneDriveBuilt-in app PINs for Outlook and OneDrive
O PIN do Intune funciona de acordo com um temporizador baseado em inatividade (o valor de Verificar novamente os requisitos de acesso após (minutos) ).The Intune PIN works based on an inactivity-based timer (the value of Recheck the access requirements after (minutes)). Portanto, os prompts do PIN do Intune são mostrados independentemente dos prompts do PIN do aplicativo interno do Outlook e do OneDrive, que geralmente são vinculados à inicialização do aplicativo por padrão.As such, Intune PIN prompts show up independently from the built-in app PIN prompts for Outlook and OneDrive which often are tied to app launch by default. Se o usuário recebe ambos os prompts de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.If the user receives both PIN prompts at the same time, the expected behavior should be that the Intune PIN takes precedence.

Segurança de PIN do IntuneIntune PIN security
O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo.The PIN serves to allow only the correct user to access their organization's data in the app. Portanto, um usuário final deve entrar com sua conta corporativa ou de estudante antes de definir ou redefinir o PIN do aplicativo do Intune.Therefore, an end user must sign in with their work or school account before they can set or reset their Intune app PIN. Essa autenticação é manipulada pelo Azure Active Directory por meio da troca de tokens seguros e não é transparente para o SDK do Aplicativo do Intune.This authentication is handled by Azure Active Directory via secure token exchange and is not transparent to the Intune App SDK. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los.From a security perspective, the best way to protect work or school data is to encrypt it. A criptografia não está relacionada ao PIN do aplicativo, mas à sua própria política de proteção de aplicativo.Encryption is not related to the app PIN but is its own app protection policy.

PIN do Intune: proteção contra ataques de força brutaIntune PIN - Protecting against brute force attacks
Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo.As part of the app PIN policy, the IT administrator can set the maximum number of times a user can try to authenticate their PIN before locking the app. Depois que o número de tentativas for atingido, o SDK do Aplicativo do Intune poderá apagar os dados "corporativos" do aplicativo.After the number of attempts has been met, the Intune App SDK can wipe the "corporate" data in the app.

Definir um PIN duas vezes em aplicativos do mesmo editor?Setting a PIN twice on apps from the same publisher?
Atualmente, o MAM (no iOS) permite o PIN no nível de aplicativo com caracteres alfanuméricos e especiais (chamados de ''senha''), que exige a participação de aplicativos (ou seja, WXP, Outlook, Managed Browser e Yammer) a fim de integrar o SDK do Aplicativo do Intune para iOS.MAM (on iOS) currently allows application-level PIN with alphanumeric and special characters (called 'passcode') which requires the participation of applications (i.e. WXP, Outlook, Managed Browser, Yammer) to integrate the Intune APP SDK for iOS. Sem isso, as configurações de senha não são aplicadas corretamente nos aplicativos de destino.Without this, the passcode settings are not properly enforced for the targeted applications. Esse era um recurso lançado no SDK do Intune para iOS v.This was a feature released in the Intune SDK for iOS v. 7.1.12.7.1.12.

Para dar suporte a esse recurso e garantir a compatibilidade com versões anteriores do SDK do Intune para iOS, todos os PINs (numéricos ou de senha) na versão 7.1.12+ são tratados separadamente do PIN numérico das versões anteriores do SDK.In order to support this feature and ensure backward compatibility with previous versions of the Intune SDK for iOS, all PINs (either numeric or passcode) in 7.1.12+ are handled separately from the numeric PIN in previous versions of the SDK. Portanto, se um dispositivo tiver aplicativos com o SDK do Intune para versões do iOS anteriores a 7.1.12 E posteriores a 7.1.12 do mesmo editor, será necessário configurar dois PINs.Therefore, if a device has applications with Intune SDK for iOS versions before 7.1.12 AND after 7.1.12 from the same publisher, they will have to set up two PINs. Os dois PINs (para cada aplicativo) não estão relacionados de forma alguma (ou seja, devem aderir à política de proteção do aplicativo aplicada ao aplicativo).The two PINs (for each app) are not related in any way (i.e. they must adhere to the app protection policy that’s applied to the app). Sendo assim, o usuário poderá configurar o mesmo PIN duas vezes somente se os aplicativos A e B tiverem as mesmas políticas aplicadas com relação ao PIN.As such, only if apps A and B have the same policies applied (with respect to PIN), user may set up the same PIN twice.

Esse comportamento é específico ao PIN em aplicativos do iOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune.This behavior is specific to the PIN on iOS applications that are enabled with Intune Mobile App Management. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo.Over time, as applications adopt later versions of the Intune SDK for iOS, having to set a PIN twice on apps from the same publisher becomes less of an issue. Consulte a observação abaixo para obter um exemplo.Please see the note below for an example.

Observação

Por exemplo, se o aplicativo A for compilado com uma versão anterior à 7.1.12, e o aplicativo B for compilado com uma versão superior ou igual à 7.1.12 do mesmo editor, o usuário final precisará configurar PINs separadamente para A e B, se ambos forem instalados em um dispositivo iOS.For example, if app A is built with a version prior to 7.1.12 and app B is built with a version greater than or equal to 7.1.12 from the same publisher, the end user will need to set up PINs separately for A and B if both are installed on an iOS device. Se um aplicativo C que tem o SDK versão 7.1.9 estiver instalado no dispositivo, ele compartilhará o mesmo PIN que o aplicativo A. Um aplicativo D criado com a versão 7.1.14 compartilhará o mesmo PIN que o aplicativo B.If an app C that has SDK version 7.1.9 is installed on the device, it will share the same PIN as app A. An app D built with 7.1.14 will share the same PIN as app B.
Se apenas os aplicativos A e C estiverem instalados em um dispositivo, será necessário definir um PIN.If only apps A and C are installed on a device, then one PIN will need to be set. O mesmo se aplica se apenas os aplicativos B e D estiverem instalados em um dispositivo.The same applies to if only apps B and D are installed on a device.

Criptografia de dados do aplicativoApp data encryption

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo.IT administrators can deploy an app protection policy that requires app data to be encrypted. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.As part of the policy, the IT administrator can also specify when the content is encrypted.

Como funciona o processo de criptografia de dados do Microsoft IntuneHow does Intune data encryption process
Consulte Android app protection policy settings (Configurações da política de proteção do aplicativo Android) e iOS app protection policy settings (Configurações da política de proteção do aplicativo iOS) para obter informações detalhadas sobre a configuração da política de proteção do aplicativo para criptografia.See the Android app protection policy settings and iOS app protection policy settings for detailed information on the encryption app protection policy setting.

Dados criptografadosData that is encrypted
Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI.Only data marked as "corporate" is encrypted according to the IT administrator's app protection policy. Os dados são considerados “corporativos” quando tem como origem um local da empresa.Data is considered "corporate" when it originates from a business location. Para os aplicativos do Office, o Intune considera o seguinte como locais de negócios:For the Office apps, Intune considers the following as business locations:

  • Email (Exchange)Email (Exchange)
  • Armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive for Business)Cloud storage (OneDrive app with a OneDrive for Business account)

Para aplicativos de linha de negócios gerenciados pela Ferramenta de Encapsulamento de Aplicativo do Intune, todos os dados do aplicativo são considerados "corporativos".For line-of-business apps managed by the Intune App Wrapping Tool, all app data is considered "corporate".

Apagar dados remotamenteRemotely wipe data

O Microsoft Intune pode apagar dados de aplicativos de três maneiras diferentes:Intune can wipe app data in three different ways:

  • Apagamento completo do dispositivoFull device wipe
  • Apagamento seletivo para MDMSelective wipe for MDM
  • Apagamento seletivo de MAMMAM selective wipe

Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação.For more information about remote wipe for MDM, see Remove devices by using wipe or retire. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.For more information about selective wipe using MAM, see the Retire action and How to wipe only corporate data from apps.

O apagamento remove todos os dados e as configurações do usuário do dispositivo restaurando-o para as configurações padrão de fábrica.Wipe removes all user data and settings from the device by restoring the device to its factory default settings. O dispositivo é removido do Intune.The device is removed from Intune.

Observação

O apagamento pode ser realizado apenas em dispositivos registrados no MDM (gerenciamento de dispositivo móvel) do Intune.Wipe can only be achieved on devices enrolled with Intune mobile device management (MDM).

Apagamento seletivo para MDMSelective wipe for MDM
Confira Remover dispositivos – desativar para saber mais sobre a remoção de dados da empresa.See Remove devices - retire to read about removing company data.

Apagamento seletivo para MAMSelective wipe for MAM
O apagamento seletivo para MAM simplesmente remove dados de aplicativo da empresa de um aplicativo.Selective wipe for MAM simply removes company app data from an app. A solicitação é iniciada usando o portal do Azure no Intune.The request is initiated using the Intune Azure portal. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.To learn how to initiate a wipe request, see How to wipe only corporate data from apps.

Se o usuário estiver usando o aplicativo quando o apagamento seletivo for iniciado, o SDK do Aplicativo do Intune verificará a cada 30 minutos uma solicitação de apagamento seletivo do serviço MAM do Microsoft Intune.If the user is using the app when selective wipe is initiated, the Intune App SDK checks every 30 minutes for a selective wipe request from the Intune MAM service. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.It also checks for selective wipe when the user launches the app for the first time and signs in with their work or school account.

Quando os serviços locais não funcionam com os aplicativos protegidos do IntuneWhen On-Premises (on-prem) services don't work with Intune protected apps
A proteção do Aplicativo do Intune depende da consistência da identidade do usuário entre o aplicativo e o SDK do Aplicativo do Intune.Intune app protection depends on the identity of the user to be consistent between the application and the Intune App SDK. A única maneira de assegurar isso é por meio da autenticação moderna.The only way to guarantee that is through modern authentication. Existem cenários nos quais os aplicativos podem funcionar com uma configuração local, mas eles não são consistentes nem têm garantia.There are scenarios in which apps may work with an on-prem configuration, but they are neither consistent nor guaranteed.

Maneira segura de abrir links da Web em aplicativos gerenciadosSecure way to open web links from managed apps
O administrador de TI pode implantar e definir uma política de proteção do aplicativo para o aplicativo Intune Managed Browser, um navegador da Web desenvolvido pelo Microsoft Intune que pode ser gerenciado facilmente com o Intune.The IT administrator can deploy and set app protection policy for the Intune Managed Browser app, a web browser developed by Microsoft Intune that can be managed easily with Intune. O administrador de TI pode exigir que todos os links da Web em aplicativos gerenciados pelo Intune sejam abertos usando o aplicativo Managed Browser.The IT administrator can require all web links in Intune-managed apps to be opened using the Managed Browser app.

Exemplos de políticas de proteção do aplicativoExamples of app protection policies

Para saber mais e obter informações detalhadas de exemplos e configurações da política de proteção do aplicativo, confira as Configurações da política de proteção do aplicativo para Android e Configurações da política de proteção do aplicativo para iOS.To learn more about app protection policies examples and to see detailed information on each app protection policy setting, see the Android app protection policy settings and iOS app protection policy settings.

Experiência de proteção de aplicativo para dispositivos iOSApp protection experience for iOS devices

Face ID ou impressão digital no dispositivoDevice fingerprint or face IDs

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune.Intune app protection policies allow control over app access to only the Intune licensed user. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte.One of the ways to control access to the app is to require either Apple's Touch ID or Face ID on supported devices. O Intune implementa um comportamento no qual, se houver qualquer alteração ao banco de dados biométrico do dispositivo, solicitará ao usuário um PIN quando o próximo valor de tempo limite de inatividade for atendido.Intune implements a behavior where if there is any change to the device's biometric database, Intune prompts the user for a PIN when the next inactivity timeout value is met. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial.Changes to biometric data include the addition or removal of a fingerprint, or face. Se o usuário do Intune não tiver um PIN definido, ele será conduzido a configurar um PIN do Intune.If the Intune user does not have a PIN set, they are led to set up an Intune PIN.

A intenção desse processo é continuar a manter os dados da organização dentro do aplicativo, seguros e protegidos no nível do aplicativo.The intent of this process is to continue keeping your organization's data within the app secure and protected at the app level. Esse recurso está disponível apenas para iOS e requer a participação de aplicativos que integram o SDK do aplicativo Intune para iOS, versão 9.0.1 ou posterior.This feature is only available for iOS, and requires the participation of applications that integrate the Intune APP SDK for iOS, version 9.0.1 or later. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino.Integration of the SDK is necessary so that the behavior can be enforced on the targeted applications. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico.This integration happens on a rolling basis and is dependent on the specific application teams. Alguns aplicativos que participam incluem WXP, Outlook, Managed Browser e Yammer.Some apps that participate include WXP, Outlook, Managed Browser, and Yammer.

Extensão de compartilhamento do iOSiOS share extension

Você pode usar a extensão de compartilhamento do iOS para abrir dados corporativos ou de estudante em aplicativos não gerenciados, mesmo com a política de transferência de dados definida como Somente aplicativos gerenciados ou Nenhum aplicativo.You can use the iOS share extension to open work or school data in unmanaged apps, even with the data transfer policy set to managed apps only or no apps. A política de proteção do aplicativo do Intune não pode controlar a extensão de compartilhamento do iOS sem gerenciar o dispositivo.Intune app protection policy cannot control the iOS share extension without managing the device. Portanto, o Intune criptografa os dados “corporativos” antes que eles sejam compartilhados fora do aplicativo .Therefore, Intune encrypts "corporate" data before it is shared outside the app. É possível validar esse comportamento de criptografia ao tentar abrir o arquivo "corporativo" fora do aplicativo gerenciado.You can validate this encryption behavior by attempting to open a "corporate" file outside of the managed app. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.The file should be encrypted and unable to be opened outside the managed app.

Várias configurações de acesso de proteção de aplicativo do Microsoft Intune para o mesmo conjunto de aplicativos e usuáriosMultiple Intune app protection access settings for same set of apps and users

As políticas de proteção do aplicativo do Intune para acesso serão aplicadas em uma ordem específica nos dispositivos de usuários finais à medida que eles tentarem acessar um aplicativo de destino nas respectivas contas corporativas.Intune app protection policies for access will be applied in a specific order on end-user devices as they try to access a targeted app from their corporate account. Em geral, um apagamento teria precedência, seguido por um bloqueio e então um aviso ignorável.In general, a wipe would take precedence, followed by a block, then a dismissible warning. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de sistema operacional mínima do iOS que avisa o usuário para atualizar a versão de iOS, que será aplicada após a configuração de sistema operacional mínima do iOS que bloqueia o acesso do usuário.For example, if applicable to the specific user/app, a minimum iOS operating system setting that warns a user to update their iOS version will be applied after the minimum iOS operating system setting that blocks the user from access. Portanto, no cenário em que o administrador de TI configura a versão de sistema operacional iOS mínima para 11.0.0.0 e do sistema operacional iOS mínima para 11.1.0.0, enquanto o dispositivo que tenta acessar o aplicativo estava em uma versão de iOS 10, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de sistema operacional iOS mínima que resulta em acesso bloqueado.So, in the scenario where the IT admin configures the min iOS operating system to 11.0.0.0 and the min iOS operating system (Warning only) to 11.1.0.0, while the device trying to access the app was on iOS 10, the end user would be blocked based on the more restrictive setting for min iOS operating system version that results in blocked access.

Ao lidar com diferentes tipos de configurações, um requisito de versão do SDK do Aplicativo Intune teria precedência, depois um requisito de versão do aplicativo, seguido pelo requisito de versão do sistema operacional iOS.When dealing with different types of settings, an Intune App SDK version requirement would take precedence, then an app version requirement, followed by the iOS operating system version requirement. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.Then, any warnings for all types of settings in the same order are checked. É recomendável que o requisito de versão do SDK do Aplicativo Intune seja configurado somente após a orientação da equipe de produto do Intune para cenários de bloqueio essenciais.We recommend the Intune App SDK version requirement be configured only upon guidance from the Intune product team for essential blocking scenarios.

Experiência de proteção de aplicativo para dispositivos AndroidApp protection experience for Android devices

Aplicativo Portal da Empresa e Proteção de Aplicativo do IntuneCompany Portal app and Intune app protection

Grande parte da funcionalidade de proteção do aplicativo é interna ao aplicativo Portal da Empresa.Much of app protection functionality is built into the Company Portal app. O registro de dispositivo não é necessário, embora o aplicativo Portal da Empresa seja sempre obrigatório.Device enrollment is not required even though the Company Portal app is always required. Para o MAM (gerenciamento de aplicativos móvel) sem registro, o usuário final precisa apenas ter o aplicativo Portal da Empresa instalado no dispositivo.For mobile application management without enrollment (MAM-WE), the end user just needs to have the Company Portal app installed on the device.

Várias configurações de acesso de proteção de aplicativo do Microsoft Intune para o mesmo conjunto de aplicativos e usuáriosMultiple Intune app protection access settings for same set of apps and users

As políticas de proteção do aplicativo do Intune para acesso serão aplicadas em uma ordem específica nos dispositivos de usuários finais à medida que eles tentarem acessar um aplicativo de destino nas respectivas contas corporativas.Intune app protection policies for access will be applied in a specific order on end-user devices as they try to access a targeted app from their corporate account. Em geral, um bloqueio teria precedência e, em seguida, um aviso ignorável.In general, a block would take precedence, then a dismissible warning. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de versão de patch mínima do Android que avisa o usuário para fazer uma atualização de patch, que será aplicada após a configuração da versão de patch mínima do Android que bloqueia o acesso do usuário.For example, if applicable to the specific user/app, a minimum Android patch version setting that warns a user to take a patch upgrade will be applied after the minimum Android patch version setting that blocks the user from access. Portanto, o cenário em que o administrador de TI configura a versão de patch de Android mínima 2018-03-01 e a versão de patch de Android mínima (somente Aviso) 2018-02-01, enquanto o dispositivo tentar acessar o aplicativo estava em uma versão de patch 2018-01-01, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de patch de Android mínima que resulta em acesso bloqueado.So, in the scenario where the IT admin configures the min Android patch version to 2018-03-01 and the min Android patch version (Warning only) to 2018-02-01, while the device trying to access the app was on a patch version 2018-01-01, the end user would be blocked based on the more restrictive setting for min Android patch version that results in blocked access.

Ao lidar com diferentes tipos de configurações, um requisito de versão do aplicativo teria precedência, seguido por um requisito de versão do sistema operacional de versão de patch do Android.When dealing with different types of settings, an app version requirement would take precedence, followed by Android operating system version requirement and Android patch version requirement. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.Then, any warnings for all types of settings in the same order are checked.

Políticas da Proteção de Aplicativo do Intune e Certificação do SafetyNet do Google para dispositivos AndroidIntune app protection policies and Google's SafetyNet Attestation for Android devices

As políticas da Proteção de Aplicativo do Intune fornecem a funcionalidade para que os administradores exijam que os dispositivos de usuário final que os dispositivos de usuário final sejam aprovados pela Certificação de dispositivo do SafetyNet para dispositivos Android.Intune app protection policies provide the capability for admins to require end-user devices to pass Google's SafetyNet Attestation for Android devices. Uma nova determinação de serviço do Google Play será relatada ao administrador de TI em um intervalo determinado pelo serviço do Intune.A new Google Play service determination will be reported to the IT admin at an interval determined by the Intune service. A frequência com que a chamada de serviço é feita é limitada devido à carga; portanto, esse valor é mantido internamente e não é configurável.How often the service call is made is throttled due to load, thus this value is maintained internally and is not configurable. Qualquer ação configurada pelo administrador de TI para a configuração do Atestado SafetyNet do Google será usada com base no último resultado relatado ao serviço do Intune no momento da inicialização condicional.Any IT admin configured action for the Google SafetyNet Attestation setting will be taken based on the last reported result to the Intune service at the time of conditional launch. Se não houver dados, o acesso será permitido sem depender de nenhuma outra falha nas verificações de inicialização condicional e a “viagem de ida e volta” do Serviço do Google Play para determinar os resultados do atestado começará no back-end e avisará o usuário de maneira assíncrona se o dispositivo tiver falhado.If there is no data, access will be allowed depending on no other conditional launch checks failing, and Google Play Service "roundtrip" for determining attestation results will begin in the backend and prompt the user asynchronously if the device has failed. Se houver dados obsoletos, o acesso será bloqueado ou permitido dependendo do último resultado relatado e, de maneira semelhante, a “viagem de ida e volta” do Serviço do Google Play para determinar os resultados do atestado começará e avisará o usuário de maneira assíncrona se o dispositivo tiver falhado.If there is stale data, access will be blocked or allowed depending on the last reported result, and similarly, a Google Play Service "roundtrip" for determining attestation results will begin and prompt the user asynchronously if the device has failed.

Políticas da Proteção de Aplicativo do Intune e API de verificação de aplicativos do Google para dispositivos AndroidIntune app protection policies and Google's Verify Apps API for Android devices

As políticas da Proteção de Aplicativo do Intune fornecem a funcionalidade para que os administradores exijam que os dispositivos de usuário final enviem sinais por meio da API de verificação de aplicativos do Google para dispositivos Android.Intune App Protection Policies provide the capability for admins to require end-user devices to send signals via Google's Verify Apps API for Android devices. As instruções sobre como fazer isso variam um pouco por dispositivo.The instructions on how to do this vary slightly by device. O processo geral envolve acessar a Google Play Store, clicar em Meus aplicativos e jogos e clicar no resultado do último exame de aplicativo que o levará até o menu do Play Protect.The general process involves going to the Google Play Store, then clicking on My apps & games, clicking on the result of the last app scan which will take you into the Play Protect menu. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.Ensure the toggle for Scan device for security threats is switched to on.

API do certificado de SafetyNet do GoogleGoogle's SafetyNet Attestation API

O Intune usa as APIs SafetyNet do Google Play Protect a serem adicionadas às nossas verificações de detecção raiz para dispositivos não registrados.Intune leverages Google Play Protect SafetyNet APIs to add to our existing root detection checks for unenrolled devices. O Google desenvolveu e manteve esse conjunto de APIs para os aplicativos Android adotarem se eles não desejarem que os aplicativos sejam executados em dispositivos desbloqueados por rooting.Google has developed and maintained this API set for Android apps to adopt if they do not want their apps to run on rooted devices. O aplicativo Android Pay incorporou isso, por exemplo.The Android Pay app has incorporated this, for example. Embora o Google não compartilhe publicamente todas as verificações de detecção raiz que ocorrem, esperamos que essas APIs detectem usuários que bloquearam seus dispositivos por rooting.While Google does not share publicly the entirety of the root detection checks that occur, we expect these APIs to detect users who have rooted their devices. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política.These users can then be blocked from accessing, or their corporate accounts wiped from their policy enabled apps. Verificar integridade básica informa sobre a integridade geral do dispositivo.Check basic integrity tells you about the general integrity of the device. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica.Rooted devices, emulators, virtual devices, and devices with signs of tampering fail basic integrity. Verificar integridade básica e dispositivos com certificação informa sobre a compatibilidade do dispositivo com os serviços do Google.Check basic integrity & certified devices tells you about the compatibility of the device with Google's services. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação.Only unmodified devices that have been certified by Google can pass this check. Dispositivos que falharão incluem o seguinte:Devices that will fail include the following:

  • dispositivos que apresentam falha na integridade básicaDevices that fail basic integrity
  • dispositivos com um carregador de inicialização desbloqueadoDevices with an unlocked bootloader
  • dispositivos com uma imagem/ROM do sistema personalizadaDevices with a custom system image/ROM
  • dispositivos que o fabricante não inscreveu na certificação do Google ou que não foram aprovados por elaDevices for which the manufacturer didn’t apply for, or pass, Google certification
  • dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do AndroidDevices with a system image built directly from the Android Open Source Program source files
  • dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedorDevices with a beta/developer preview system image

Confira a documentação do Google sobre o Atestado SafetyNet para obter detalhes técnicos.See Google's documentation on the SafetyNet Attestation for technical details.

Configuração da Certificação de dispositivo do SafetyNet e a configuração "Dispositivos desbloqueados por jailbreak/rooting"SafetyNet device attestation setting and the 'jailbroken/rooted devices' setting

As verificações da API SafetyNet do Google Play Protect exigem que o usuário final esteja online, pelo menos durante o período de execução da “viagem de ida e volta” para determinar os resultados do atestado.Google Play Protect's SafetyNet API checks require the end user being online, atleast for the duration of the time when the "roundtrip" for determining attestation results executes. Se o usuário final estiver offline, o administrador de TI ainda poderá esperar que um resultado seja imposto da configuração Dispositivos desbloqueados por jailbreak/rooting.If end user is offline, IT admin can still expect a result to be enforced from the jailbroken/rooted devices setting. Tendo isso em conta, se o usuário final ficar offline por muito tempo, o valor Período de carência offline entrará em vigor, e todo o acesso a dados corporativos ou de estudante será bloqueado quando esse valor de timer for atingido, até que o acesso à rede esteja disponível.That being said, if the end user has been offline too long, the Offline grace period value comes into play, and all access to work or school data is blocked once that timer value is reached, until network access is available. A ativação das duas configurações permite que uma abordagem em camadas mantenha os dispositivos de usuário final íntegros, o que é importante quando os usuários finais acessam dados corporativos ou de estudante em dispositivos móveis.Turning on both settings allows for a layered approach to keeping end-user devices healthy which is important when end-users access work or school data on mobile.

APIS do Google Play Protect e Google Play ServicesGoogle Play Protect APIs and Google Play Services

As configurações da política de proteção do aplicativo que usam as APIs do Google Play Protect exigem que o Google Play Services esteja em funcionamento.The app protection policy settings that leverage Google Play Protect APIs require Google Play Services to function. As configurações Certificação de dispositivo do SafetyNet e Verificação de ameaças em aplicativos exigem que a versão determinada do Google Play Services funcione corretamente.Both the SafetyNet device attestation, and Threat scan on apps settings require Google determined version of Google Play Services to function correctly. Como essas configurações se enquadram na área de segurança, o usuário final será bloqueado se for direcionado com essas configurações e não atender à versão adequada do Google Play Services ou não tiver acesso ao Google Play Services.Since these are settings that fall in the area of security, the end user will be blocked if they have been targeted with these settings and are not meeting the appropriate version of Google Play Services or have no access to Google Play Services.

Próximas etapasNext steps

Como criar e implantar as políticas de proteção de aplicativo com o Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune

Consulte tambémSee also

Os aplicativos de terceiros, como o aplicativo móvel Salesforce, funcionam com o Intune de maneiras específicas para proteger dados corporativos.Third-party apps such as the Salesforce mobile app work with Intune in specific ways to protect corporate data. Para saber mais sobre como o aplicativo Salesforce em particular funciona com o Intune (incluindo as definições das configurações do aplicativo MDM), confira Aplicativo Salesforce e Microsoft Intune.To learn more about how the Salesforce app in particular works with Intune (including MDM app configurations settings), see Salesforce App and Microsoft Intune.