Como criar e atribuir as políticas de proteção de aplicativoHow to create and assign app protection policies

Saiba como criar e atribuir APP (políticas de proteção de aplicativo) do Microsoft Intune para usuários de sua organização.Learn how to create and assign Microsoft Intune app protection policies (APP) for users of your organization. Este tópico também descreve como fazer alterações nas políticas existentes.This topic also describes how to make changes to existing policies.

Antes de começarBefore you begin

Políticas de proteção de aplicativo podem se aplicar a aplicativos em execução em dispositivos que podem ou não ser gerenciados pelo Intune.App protection policies can apply to apps running on devices that may or may not be managed by Intune. Para obter uma descrição mais detalhada do funcionamento das políticas de proteção de aplicativo e os cenários compatíveis com as políticas de Proteção de Aplicativo do Intune, confira Visão geral de políticas de proteção do aplicativo.For a more detailed description of how app protection policies work and the scenarios that are supported by Intune app protection policies, see App protection policies overview.

As opções disponíveis nas APPs (políticas de proteção do aplicativo) permitem que as organizações personalizem a proteção para suas necessidades específicas.The choices available in app protection policies (APP) enable organizations to tailor the protection to their specific needs. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo.For some, it may not be obvious which policy settings are required to implement a complete scenario. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.To help organizations prioritize mobile client endpoint hardening, Microsoft has introduced taxonomy for its APP data protection framework for iOS and Android mobile app management.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:The APP data protection framework is organized into three distinct configuration levels, with each level building off the previous level:

  • A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo.Enterprise basic data protection (Level 1) ensures that apps are protected with a PIN and encrypted and performs selective wipe operations. Para dispositivos Android, esse nível valida o atestado de dispositivo Android.For Android devices, this level validates Android device attestation. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.This is an entry level configuration that provides similar data protection control in Exchange Online mailbox policies and introduces IT and the user population to APP.
  • A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional.Enterprise enhanced data protection (Level 2) introduces APP data leakage prevention mechanisms and minimum OS requirements. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.This is the configuration that is applicable to most mobile users accessing work or school data.
  • A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos.Enterprise high data protection (Level 3) introduces advanced data protection mechanisms, enhanced PIN configuration, and APP Mobile Threat Defense. Essa configuração é desejável para usuários que estão acessando dados de alto risco.This configuration is desirable for users that are accessing high risk data.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.To see the specific recommendations for each configuration level and the minimum apps that must be protected, review Data protection framework using app protection policies.

Se você está procurando uma lista de aplicativos que integraram o SDK do Intune, confira Aplicativos protegidos pelo Microsoft Intune.If you're looking for a list of apps that have integrated the Intune SDK, see Microsoft Intune protected apps.

Para saber mais sobre como adicionar os aplicativos de linha de negócios (LOB) da sua organização ao Microsoft Intune para se preparar para as políticas de proteção de aplicativos, confira Adicionar aplicativos ao Microsoft Intune.For information about adding your organization's line-of-business (LOB) apps to Microsoft Intune to prepare for app protection policies, see Add apps to Microsoft Intune.

Políticas de proteção do aplicativo para aplicativos iOS/iPadOS e AndroidApp protection policies for iOS/iPadOS and Android apps

Quando você cria uma política de proteção de aplicativo para aplicativos iOS/iPadOS e Android, você segue um fluxo de processo moderno do Intune que resulta em uma nova política de proteção.When you create an app protection policy for iOS/iPadOS and Android apps, you follow a modern Intune process flow that results in a new app protection policy. Para obter informações sobre como criar políticas de proteção de aplicativo para aplicativos do Windows, confira Criar e implantar a política da WIP (Proteção de Informações do Windows) com o Intune.For information about creating app protection policies for Windows apps, see Create and deploy Windows Information Protection (WIP) policy with Intune.

Criar uma política de proteção de aplicativo iOS/iPadOS ou AndroidCreate an iOS/iPadOS or Android app protection policy

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. No portal do Intune, escolha Aplicativos > Políticas de proteção de aplicativo.In Intune portal, choose Apps > App protection policies. Essa seleção abre os detalhes das Políticas de proteção do aplicativo, em que você cria novas políticas e edita políticas existentes.This selection opens the App protection policies details, where you create new policies and edit existing policies.

  3. Selecione Criar política e iOS/iPadOS ou Android.Select Create policy and select either iOS/iPadOS or Android. O painel Criar política é exibido.The Create policy pane is displayed.

  4. Na página Conceitos Básicos, adicione os seguintes valores:On the Basics page, add the following values:

    ValorValue DescriçãoDescription
    NameName O nome desta política de proteção de aplicativo.The name of this app protection policy.
    DescriçãoDescription [Opcional] A descrição desta política de proteção de aplicativo.[Optional] The description of this app protection policy.

    O valor Plataforma é definido com base na sua escolha acima.The Platform value is set based on your above choice.

    Captura de tela da página Conceitos Básicos do painel Criar política

  5. Clique em Avançar para exibir a página Aplicativos.Click Next to display the Apps page.
    A página Aplicativos permite que você escolha como deseja aplicar essa política a aplicativos em diferentes dispositivos.The Apps page allows you to choose how you want to apply this policy to apps on different devices. Você deve adicionar pelo menos um aplicativo.You must add at least one app.

    Valor/opçãoValue/Option DescriçãoDescription
    Direcionar para aplicativos em todos os tipos de dispositivosTarget to apps on all devices types Use esta opção para direcionar sua política a aplicativos em dispositivos de qualquer estado de gerenciamento.Use this option to target your policy to apps on devices of any management state. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos.Choose No to target apps on specific devices types. Para obter mais informações, confira Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivo.For information, see Target app protection policies based on device management state.
    Tipos de dispositivosDevice types Use esta opção para especificar se esta política se aplica a dispositivos MDM gerenciados ou não gerenciados.Use this option to specify whether this policy applies to MDM managed devices or unmanaged devices. Para as políticas de aplicativos iOS/iPadOS, selecione entre dispositivos Não gerenciados e Gerenciados.For iOS/iPadOS APP policies, select from Unmanaged and Managed devices. Para as políticas de aplicativos Android, selecione dentre Não gerenciado, Administrador de dispositivo Android e Android Enterprise.For Android APP policies, select from Unmanaged, Android device administrator, and Android Enterprise.
    Aplicativos públicosPublic apps Clique em Selecionar aplicativos públicos para escolher os aplicativos a serem direcionados.Click Select public apps to choose the apps to target.
    Aplicativos personalizadosCustom apps Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID de Pacote.Click Select custom apps to select custom apps to target based on a Bundle ID.

    Os aplicativos selecionados serão exibidos na lista de aplicativos públicos e personalizados.The app(s) you have selected will appear in the public and custom apps list.

  6. Clique em Avançar para exibir a página Proteção de dados.Click Next to display the Data protection page.
    Esta página fornece configurações para controles de DLP (prevenção contra perda de dados), incluindo restrições de cortar, copiar, colar e salvar como.This page provides settings for data loss prevention (DLP) controls, including cut, copy, paste, and save-as restrictions. Essas configurações determinar como os usuários interagem com os dados nos aplicativos que essa política de proteção de aplicativo aplica.These settings determine how users interact with data in the apps that this app protection policy applies.

    Configurações de proteção de dados:Data protection settings:

  7. Clique em Avançar para exibir a página Requisitos de acesso.Click Next to display the Access requirements page.
    Esta página fornece definições para permitir que você configure os requisitos de PIN e de credenciais aos quais os usuários devem atender para acessar aplicativos em um contexto de trabalho.This page provides settings to allow you to configure the PIN and credential requirements that users must meet to access apps in a work context.

    Configurações de requisitos de acesso:Access requirements settings:

  8. Clique em Avançar para exibir a página Inicialização condicional.Click Next to display the Conditional launch page.
    Esta página fornece configurações para definir os requisitos de segurança de entrada de sua política de proteção de aplicativo.This page provides settings to set the sign-in security requirements for your app protection policy. Selecione uma Configuração e insira o Valor que os usuários precisam cumprir para entrar no aplicativo da empresa.Select a Setting and enter the Value that users must meet to sign in to your company app. Selecione a Ação que você deseja executar se os usuários não atendem aos seus requisitos.Then select the Action you want to take if users do not meet your requirements. Em alguns casos, várias ações podem ser definidas para uma única configuração.In some cases, multiple actions can be configured for a single setting.

    Configurações de inicialização condicional:Conditional launch settings:

  9. Clique em Avançar para exibir a página Atribuições.Click Next to display the Assignments page.
    A página Atribuições permite atribuir a política de proteção de aplicativos a grupos de usuários.The Assignments page allows you to assign the app protection policy to groups of users. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor.You must apply the policy to a group of users to have the policy take effect.

  10. Clique em Avançar: Examinar + criar para examinar os valores e configurações inseridos para esta política de proteção de aplicativo.Click Next: Review + create to review the values and settings you entered for this app protection policy.

  11. Quando terminar, clique em Criar para criar a política de proteção de aplicativo no Intune.When you are done, click Create to create the app protection policy in Intune.

    Dica

    Essas configurações de política só são aplicadas ao usar aplicativos no contexto corporativo.These policy settings are enforced only when using apps in the work context. Quando os usuários finais usam o aplicativo para executar uma tarefa pessoal, eles não são afetados por essas políticas.When end users use the app to do a personal task, they aren't affected by these policies. Observe que, quando você cria um novo arquivo, ele é considerado um arquivo particular.Note that when you create a new file it is considered a personal file.

    Importante

    Pode levar algum tempo para que as políticas de proteção de aplicativo sejam aplicadas aos dispositivos existentes.It can take time for app protection policies to apply to existing devices. Os usuários finais verão uma notificação no dispositivo quando a política de proteção de aplicativo for aplicada.End users will see a notification on the device when the app protection policy is applied. Aplique as políticas de proteção de aplicativo aos dispositivos antes de aplicar as regras de acesso condicional.Apply your app protection policies to devices before applying condidtional access rules.

Os usuários finais podem baixar os aplicativos da loja de aplicativos ou do Google Play.End users can download the apps from the App store or Google Play. Para obter mais informações, consulte:For more information, see:

Alterar políticas existentesChange existing policies

Você pode editar uma política existente e aplicá-la aos usuários de destino.You can edit an existing policy and apply it to the targeted users. No entanto, quando você altera as políticas existentes, os usuários já conectados aos aplicativos só verão as alterações após um período de oito horas.However, when you change existing policies, users who are already signed in to the apps won't see the changes for an eight-hour period.

Para ver o efeito das alterações imediatamente, o usuário final deve sair do aplicativo e entrar novamente.To see the effect of the changes immediately, the end user must sign out of the app, and then sign back in.

Para alterar a lista de aplicativos associados à políticaTo change the list of apps associated with the policy

  1. No painel Políticas de proteção de aplicativo, selecione a política que você deseja alterar.In the App protection policies pane, select the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Propriedades.In the Intune App Protection pane, select Properties.

  3. Ao lado da seção intitulada Aplicativos, selecione Editar.Next to the section titled Apps, select Edit.

  4. A página Aplicativos permite que você escolha como deseja aplicar essa política a aplicativos em diferentes dispositivos.The Apps page allows you to choose how you want to apply this policy to apps on different devices. Você deve adicionar pelo menos um aplicativo.You must add at least one app.

    Valor/opçãoValue/Option DescriçãoDescription
    Direcionar para aplicativos em todos os tipos de dispositivosTarget to apps on all devices types Use esta opção para direcionar sua política a aplicativos em dispositivos de qualquer estado de gerenciamento.Use this option to target your policy to apps on devices of any management state. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos.Choose No to target apps on specific devices types. A configuração adicional do aplicativo pode ser necessária para essa configuração.Additional app configuration may be required for this setting. Para obter mais informações, consulte Políticas de proteção do aplicativo de destino com base no estado de gerenciamento de dispositivo.For more information, see Target app protection policies based on device management state.
    Tipos de dispositivosDevice types Use esta opção para especificar se esta política se aplica a dispositivos MDM gerenciados ou não gerenciados.Use this option to specify whether this policy applies to MDM managed devices or unmanaged devices. Para as políticas de aplicativos iOS/iPadOS, selecione entre dispositivos Não gerenciados e Gerenciados.For iOS/iPadOS APP policies, select from Unmanaged and Managed devices. Para as políticas de aplicativos Android, selecione dentre Não gerenciado, Administrador de dispositivo Android e Android Enterprise.For Android APP policies, select from Unmanaged, Android device administrator, and Android Enterprise.
    Aplicativos públicosPublic apps Clique em Selecionar aplicativos públicos para escolher os aplicativos a serem direcionados.Click Select public apps to choose the apps to target.
    Aplicativos personalizadosCustom apps Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID de Pacote.Click Select custom apps to select custom apps to target based on a Bundle ID.

    Os aplicativos selecionados serão exibidos na lista de aplicativos públicos e personalizados.The app(s) you have selected will appear in the public and custom apps list.

  5. Clique em Revisar + criar para examinar os aplicativos selecionados para essa política.Click Review + create to review the apps selected for this policy.

  6. Quando terminar, clique em Salvar para atualizar a política de proteção de aplicativo.When you are done, click Save to update the app protection policy.

Para alterar a lista de grupos de usuáriosTo change the list of user groups

  1. No painel Políticas de proteção de aplicativo, selecione a política que você deseja alterar.In the App protection policies pane, select the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Propriedades.In the Intune App Protection pane, select Properties.

  3. Ao lado da seção intitulada Atribuições, selecione Editar.Next to the section titled Assignments, select Edit.

  4. Para adicionar um novo grupo de usuários à política, na guia Incluir, escolha Selecionar grupos para incluir e selecione o grupo de usuários.To add a new user group to the policy, on the Include tab choose Select groups to include, and select the user group. Escolha Selecionar para adicionar o grupo.Choose Select to add the group.

  5. Para excluir um grupo de usuários, na guia Excluir escolha Selecionar grupos para excluir e selecione o grupo de usuários.To exclude a user group, on the Exclude tab choose Select groups to exclude, and select the user group. Escolha Selecione para remover o grupo de usuários.Choose Select to remove the user group.

  6. Para excluir os grupos que foram adicionados anteriormente, nas guias Incluir ou Excluir, selecione as reticências (...) e Excluir.To delete groups that were added previously, on either the Include or Exclude tabs, select the ellipsis (...) and select Delete.

  7. Clique em Revisar + criar para examinar os grupos de usuários selecionados para essa política.Click Review + create to review the user groups selected for this policy.

  8. Após terminar as alterações às atribuições, selecione Salvar para guardar a configuração e implantar a política para o novo conjunto de usuários.After your changes to the assignments are ready, select Save to save the configuration and deploy the policy to the new set of users. Se você selecionar Cancelar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir.If you select Cancel before you save your configuration, you will discard all changes you've made to the Include and Exclude tabs.

Para alterar as configurações de políticaTo change policy settings

  1. No painel Políticas de proteção de aplicativo, selecione a política que você deseja alterar.In the App protection policies pane, select the policy you want to change.

  2. No painel Proteção de Aplicativo do Intune, selecione Propriedades.In the Intune App Protection pane, select Properties.

  3. Selecione Editar ao lado da seção correspondente às configurações que você deseja alterar.Next to the section corresponding to the settings you want to change, select Edit. Em seguida, altere as configurações para novos valores.Then change the settings to new values.

  4. Clique em Revisar + criar para examinar as configurações atualizadas para essa política.Click Review + create to review the updated settings for this policy.

  5. Selecione Salvar para salvar suas alterações.Select the Save to save your changes. Repita o processo para selecionar uma área de configurações e modificar e então salvar suas alterações até que todas as suas alterações tenham sido concluídas.Repeat the process to select a settings area and modify and then save your changes, until all your changes are complete. Em seguida, você pode fechar o painel Proteção de Aplicativo do Intune – Propriedades.You can then close the Intune App Protection - Properties pane.

Políticas de proteção do aplicativo de destino com base no estado de gerenciamento de dispositivoTarget app protection policies based on device management state

Em muitas organizações é comum permitir que os usuários finais usem dispositivos gerenciados MDM (gerenciamento de dispositivo móvel) do Intune, como dispositivos corporativos, bem como dispositivos não gerenciados protegidos apenas com políticas de Proteção de Aplicativo do Intune.In many organizations, it's common to allow end users to use both Intune Mobile Device Management (MDM) managed devices, such as corporate owned devices, and un-managed devices protected with only Intune app protection policies. Dispositivos não gerenciados são geralmente conhecidos como BYOD (traga seu próprio dispositivos).Unmanaged devices are often known as Bring Your Own Devices (BYOD).

Uma vez que as políticas de Proteção de Aplicativo do Intune são direcionadas para a identidade de um usuário, as configurações de proteção para um usuário podem se aplicar tanto a dispositivos registrados (gerenciados por MDM) quanto não registrados (sem MDM).Because Intune app protection policies target a user's identity, the protection settings for a user can apply to both enrolled (MDM managed) and non-enrolled devices (no MDM). Portanto, você pode ter como destino uma política de Proteção de Aplicativo do Intune para dispositivos Android e iOS/iPadOS registrados ou não registrados no Intune.Therefore, you can target an Intune app protection policy to either Intune enrolled or unenrolled iOS/iPadOS and Android devices. Você pode ter uma política de proteção para dispositivos não gerenciados, na qual controles de DLP (prevenção contra perda de dados) estritos estejam em vigor, e uma política de proteção separada para dispositivos gerenciados MDM, em que os controles de DLP podem ser um pouco mais flexíveis.You can have one protection policy for unmanaged devices in which strict data loss prevention (DLP) controls are in place, and a separate protection policy for MDM managed devices, where the DLP controls may be a little more relaxed. Para saber mais sobre como isso funciona em dispositivos Android Enterprise pessoais, confira o tópico Políticas de proteção de aplicativo e perfis de trabalho.For more information how this works on personal Android Enterprise devices, see App protection policies and work profiles.

Para criar essas políticas, navegue até Aplicativos > Políticas de proteção de aplicativo no console do Intune e selecione Criar política.To create these policies, browse to Apps > App protection policies in the Intune console, and then select Create policy. Você também pode editar uma política de proteção do aplicativo existente.You can also edit an existing app protection policy. Para que a política de proteção de aplicativo seja aplicada a dispositivos gerenciados e não gerenciados, navegue até a página Aplicativos e confirme se Direcionar para aplicativos em todos os tipos de dispositivo está definido como Sim, o valor padrão.To have the app protection policy apply to both managed and un-managed devices, navigate to the Apps page and confirm that Target to apps on all device types is set to Yes, the default value. Se você desejar atribuir de maneira granular com base no estado de gerenciamento, defina Direcionar para aplicativos em todos os tipos de dispositivo como Não.If you want to granularly assign based on management state, set Target to apps on all device types to No.

Tipos de dispositivosDevice types

  • Não Gerenciado: em dispositivos iOS/iPadOS, os dispositivos não gerenciados são aqueles em que o gerenciamento de MDM do Intune ou uma solução de MDM/EMM de terceiros não passa a chave IntuneMAMUPN.Unmanaged: For iOS/iPadOS devices, unmanaged devices are any devices where either Intune MDM management or a 3rd party MDM/EMM solution does not pass the IntuneMAMUPN key. em dispositivos Android, os dispositivos não gerenciados são aqueles em que o gerenciamento de MDM do Intune não foi detectado.For Android devices, unmanaged devices are devices where Intune MDM management has not been detected. Isso inclui dispositivos gerenciados por fornecedores de MDM de terceiros.This includes devices managed by third-party MDM vendors.
  • Dispositivos gerenciados do Intune: os dispositivos são gerenciados pelo MDM do Intune.Intune managed devices: Managed devices are managed by Intune MDM.
  • Administrador do dispositivo Android: Dispositivos gerenciados pelo Intune usando a API de Administração de Dispositivo Android.Android device administrator: Intune-managed devices using the Android Device Administration API.
  • Android Enterprise: Dispositivos gerenciados pelo Intune usando Perfis de Trabalho do Android Enterprise ou Gerenciamento de Dispositivo Completo do Android Enterprise.Android Enterprise: Intune-managed devices using Android Enterprise Work Profiles or Android Enterprise Full Device Management.

No Android, os dispositivos Android solicitarão a instalação do aplicativo Portal da Empresa do Intune, independentemente do tipo de dispositivo escolhido.On Android, Android devices will prompt to install the Intune Company Portal app regardless of which Device type is chosen. Por exemplo, se você escolher "Android Enterprise", os usuários com dispositivos Android não gerenciados ainda serão solicitados.For example, if you select 'Android Enterprise' then users with unmanaged Android devices will still be prompted.

No iOS/iPadOS, para que a seleção 'Tipo de dispositivo' seja imposta aos dispositivos gerenciados do Intune, são necessárias configurações de aplicativos adicionais.For iOS/iPadOS, for the 'Device type' selection to be enforced to Intune managed devices, additional app configuration settings are required. Essas configurações comunicarão ao serviço de aplicativo que um aplicativo específico é gerenciado e que as configurações do aplicativo não serão aplicadas:These configurations will communicate to the APP service that a particular app is managed - and that APP settings will not apply:

Observação

Para obter informações de suporte do iOS/iPadOS específicas sobre políticas de proteção do aplicativo com base no estado de gerenciamento de dispositivo, confira Políticas de proteção MAM direcionadas com base no estado de gerenciamento.For specific iOS/iPadOS support information about app protection policies based on device management state, see MAM protection policies targeted based on management state.

Configurações de políticaPolicy settings

Para ver uma lista completa das configurações de política para iOS/iPadOS e Android, selecione um dos seguintes links:To see a full list of the policy settings for iOS/iPadOS and Android, select one of the following links:

Próximas etapasNext steps

Monitorar conformidade e status do usuárioMonitor compliance and user status

Consulte tambémSee also