Como criar e atribuir as políticas de proteção de aplicativo

Saiba como criar e atribuir Microsoft Intune app protection policies (APP) para usuários da sua organização. Este tópico também descreve como fazer alterações nas políticas existentes.

Antes de começar

As políticas de proteção de aplicativos podem se aplicar a aplicativos em execução em dispositivos que podem ou não ser gerenciados pelo Intune. Para obter uma descrição mais detalhada de como funcionam as políticas de proteção de aplicativos e os cenários suportados pelas políticas de proteção de aplicativos do Intune, consulte Visão geral das políticas de proteção de aplicativos.

As opções disponíveis nas APPs (políticas de proteção do aplicativo) permitem que as organizações personalizem a proteção para suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

  • A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
  • A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
  • A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Se você estiver procurando uma lista de aplicativos que tenham integrado o SDK do Intune, consulte Microsoft Intune aplicativos protegidos.

Para obter informações sobre como adicionar aplicativos lob (linha de negócios) da sua organização Microsoft Intune para se preparar para políticas de proteção de aplicativos, consulte Adicionar aplicativos ao Microsoft Intune.

Políticas de proteção de aplicativos para aplicativos iOS/iPadOS e Android

Ao criar uma política de proteção de aplicativos para aplicativos iOS/iPadOS e Android, você segue um fluxo de processo moderno do Intune que resulta em uma nova política de proteção de aplicativo. Para obter informações sobre como criar políticas de proteção de aplicativos Windows aplicativos, consulte Create and deploy Windows Information Protection (WIP) policy with Intune.

Criar uma política de proteção de aplicativos iOS/iPadOS ou Android

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Selecione Políticas de proteção de > aplicativos de aplicativos. Essa seleção abre os detalhes das políticas de proteção de aplicativos, onde você cria novas políticas e edita políticas existentes.

  3. Selecione Criar política e selecione iOS/iPadOS ou Android. O painel Criar política é exibido.

  4. Na página Conceitos Básicos, adicione os seguintes valores:

    Valor Descrição
    Nome O nome dessa política de proteção de aplicativo.
    Descrição [Opcional] A descrição dessa política de proteção de aplicativo.

    O valor Plataforma é definido com base em sua escolha acima.

    Captura de tela da página Noções Básicas do painel Criar política

  5. Clique em Próximo para exibir a página Aplicativos.
    A página Aplicativos permite que você escolha como deseja aplicar essa política aos aplicativos em diferentes dispositivos. Você deve adicionar pelo menos um aplicativo.

    Valor/Opção Descrição
    Destino para aplicativos em todos os tipos de dispositivos Use essa opção para direcionar sua política para aplicativos em dispositivos de qualquer estado de gerenciamento. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos. Para obter informações, consulte Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos.
    Tipos de dispositivo Use essa opção para especificar se essa política se aplica a dispositivos gerenciados MDM ou dispositivos não gerenciados. Para políticas de APLICATIVO iOS/iPadOS, selecione em Dispositivos não gerenciados e gerenciados. Para políticas de APLICATIVO do Android, selecione em Nãomanaged, Administrador de dispositivo Android e Android Enterprise.
    Política de destino para Na caixa de menu suspenso Política de destino, escolha direcionar sua política de proteção de aplicativo para Todos os Aplicativos, Microsoft Apps ou Core Microsoft Apps.

    -Todos os aplicativos incluem todos os aplicativos da Microsoft e parceiros que integraram o SDK do Intune.
    -Microsoft Apps inclui todos os aplicativos da Microsoft que integraram o SDK do Intune.
    -O Microsoft Apps principal inclui os seguintes aplicativos: Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do e Word.

    Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.

    Aplicativos públicos Se você não quiser selecionar um dos grupos de aplicativos pré-definidos, poderá optar por direcionar aplicativos individuais selecionando Aplicativos selecionados na caixa de menu suspenso Política de destino. Clique em Selecionar aplicativos públicos para selecionar aplicativos públicos destinados.
    Aplicativos personalizados Se você não quiser selecionar um dos grupos de aplicativos pré-definidos, poderá optar por direcionar aplicativos individuais selecionando Aplicativos selecionados na caixa de menu suspenso Política de destino. Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados para direcionar com base em uma ID do Pacote.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

    Observação

    Os aplicativos públicos são suportados são aplicativos da Microsoft e parceiros que são comumente usados com Microsoft Intune. Esses aplicativos protegidos do Intune são habilitados com um rico conjunto de suporte para políticas de proteção de aplicativos móveis. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos. Aplicativos personalizados são aplicativos LOB que foram integrados ao SDK do Intune ou empacotados pelo intune App Wrapping Tool. Para obter mais informações, Microsoft Intune Visão geral do SDK do Aplicativo e Preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.

  6. Clique em Próximo para exibir a página Proteção de dados.
    Esta página fornece configurações para os controles de prevenção contra perda de dados (DLP), incluindo restrições de recortar, copiar, colar e salvar como. Essas configurações determinam como os usuários interagem com dados nos aplicativos que esta política de proteção do aplicativo aplica.

    Configurações de proteção de dados:

  7. Clique em Próximo para exibir a página Requisitos do Access.
    Esta página fornece configurações para que você defina os requisitos de PIN e credenciais que os usuários devem atender para acessar aplicativos em um contexto de trabalho.

    Configurações de requisitos de acesso:

  8. Clique em Próximo para exibir a página de início condicional.
    Esta página fornece configurações para definir os requisitos de segurança de login para sua política de proteção de aplicativos. Selecione um Configuração e insira o Valor que os usuários devem reunir para entrar no aplicativo da empresa. Em seguida, selecione a Ação deseja tomar caso os usuários não atendam às suas necessidades. Em alguns casos, várias ações podem ser configuradas para uma única configuração.

    Configurações de início condicional:

  9. Clique em Próximo para exibir a página Atribuições.
    A página Atribuições permite atribuir a política de proteção do aplicativo a grupos de usuários. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito.

  10. Clique em Próximo: Revisar + criar para revisar os valores e configurações inseridos para esta política de proteção do aplicativo.

  11. Quando terminar, clique em Criar para criar a política de proteção de aplicativos no Intune.

    Dica

    Essas configurações de política são impostas somente ao usar aplicativos no contexto de trabalho. Quando os usuários finais usam o aplicativo para fazer uma tarefa pessoal, eles não são afetados por essas políticas. Observe que, ao criar um novo arquivo, ele é considerado um arquivo pessoal.

    Importante

    Pode levar tempo para que as políticas de proteção de aplicativos se apliquem a dispositivos existentes. Os usuários finais verão uma notificação no dispositivo quando a política de proteção do aplicativo for aplicada. Aplique suas políticas de proteção de aplicativo a dispositivos antes de aplicar regras de acesso condidcional.

Os usuários finais podem baixar os aplicativos na Loja de Aplicativos ou no Google Play. Para saber mais, confira:

Alterar políticas existentes

Você pode editar uma política existente e aplicá-la aos usuários direcionados. No entanto, quando você altera as políticas existentes, os usuários que já estão assinados nos aplicativos não verão as alterações por um período de oito horas.

Para ver o efeito das alterações imediatamente, o usuário final deve sair do aplicativo e entrar novamente.

Para alterar a lista de aplicativos associados à política

  1. No painel Políticas de proteção de aplicativos, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune, selecione Propriedades.

  3. Ao lado da seção intitulada Aplicativos, selecione Editar.

  4. A página Aplicativos permite que você escolha como deseja aplicar essa política aos aplicativos em diferentes dispositivos. Você deve adicionar pelo menos um aplicativo.

    Valor/Opção Descrição
    Destino para aplicativos em todos os tipos de dispositivos Use essa opção para direcionar sua política para aplicativos em dispositivos de qualquer estado de gerenciamento. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos. A configuração adicional do aplicativo pode ser necessária para essa configuração. Para obter mais informações, consulte Target app protection policies based on device management state.
    Tipos de dispositivo Use essa opção para especificar se essa política se aplica a dispositivos gerenciados MDM ou dispositivos não gerenciados. Para políticas de APLICATIVO iOS/iPadOS, selecione em Dispositivos não gerenciados e gerenciados. Para políticas de APLICATIVO do Android, selecione em Nãomanaged, Administrador de dispositivo Android e Android Enterprise.
    Aplicativos públicos Na caixa de menu suspenso Política de destino, escolha direcionar sua política de proteção de aplicativo para Todos os aplicativos públicos, Microsoft Apps ou Core Microsoft Apps. Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.

    Se necessário, você pode optar por direcionar aplicativos individuais clicando em Selecionar aplicativos públicos.

    Aplicativos personalizados Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados para direcionar com base em uma ID do Pacote.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

  5. Clique em Revisar + criar para revisar os aplicativos selecionados para esta política.

  6. Quando terminar, clique em Salvar para atualizar a política de proteção do aplicativo.

Para alterar a lista de grupos de usuários

  1. No painel Políticas de proteção de aplicativos, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune, selecione Propriedades.

  3. Ao lado da seção intitulada Atribuições, selecione Editar.

  4. Para adicionar um novo grupo de usuários à política, na guia Incluir escolha Selecionar grupos para incluir e selecione o grupo de usuários. Escolha Selecionar para adicionar o grupo.

  5. Para excluir um grupo de usuários, na guia Excluir, escolha Selecionar grupos para excluir e selecione o grupo de usuários. Escolha Selecionar para remover o grupo de usuários.

  6. Para excluir grupos que foram adicionados anteriormente, nas guias Incluir ou Excluir, selecione as reellipses (...) e selecione Excluir.

  7. Clique em Revisar + criar para revisar os grupos de usuários selecionados para esta política.

  8. Depois que suas alterações nas atribuições estão prontas, selecione Salvar para salvar a configuração e implantar a política no novo conjunto de usuários. Se você selecionar Cancelar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir.

Para alterar as configurações de política

  1. No painel Políticas de proteção de aplicativos, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos do Intune, selecione Propriedades.

  3. Ao lado da seção correspondente às configurações que você deseja alterar, selecione Editar. Em seguida, altere as configurações para novos valores.

  4. Clique em Revisar + criar para revisar as configurações atualizadas desta política.

  5. Selecione Salvar para salvar suas alterações. Repita o processo para selecionar uma área de configurações e modificar e salvar suas alterações, até que todas as alterações sejam concluídas. Em seguida, você pode fechar o painel Proteção de Aplicativos do Intune - Propriedades.

Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos

Em muitas organizações, é comum permitir que os usuários finais usem dispositivos gerenciados do Intune Mobile Device Management (MDM), como dispositivos de propriedade corporativa e dispositivos não gerenciados protegidos apenas com políticas de proteção de aplicativos do Intune. Dispositivos não triputados são geralmente conhecidos como Traga Seus Próprios Dispositivos (BYOD).

Como as políticas de proteção de aplicativos do Intune visam a identidade de um usuário, as configurações de proteção de um usuário podem ser aplicadas a dispositivos inscritos (gerenciados por MDM) e não inscritos (sem MDM). Portanto, você pode direcionar uma política de proteção de aplicativo do Intune para dispositivos iOS/iPadOS e Android não inscritos ou não inscritos. Você pode ter uma política de proteção para dispositivos não gerenciados em que os controles rígidos de prevenção contra perda de dados (DLP) estão em uso e uma política de proteção separada para dispositivos gerenciados MDM, onde os controles DLP podem ser um pouco mais relaxados. Para obter mais informações sobre como isso funciona em dispositivos Enterprise Android pessoais, consulte Políticas de proteção de aplicativos e perfis de trabalho.

Para criar essas políticas, navegue até Políticas de proteção de > aplicativos no console do Intune e selecione Criar política. Você também pode editar uma política de proteção de aplicativo existente. Para que a política de proteção de aplicativo se aplique a dispositivos gerenciados e não gerenciados, navegue até a página Aplicativos e confirme se Target to apps em todos os tipos de dispositivos está definido como Sim, o valor padrão. Se você deseja atribuir granularmente com base no estado de gerenciamento, de definir Destino como aplicativos em todos os tipos de dispositivo como Não.

Tipos de dispositivo

  • Não gerenciada : para dispositivos iOS/iPadOS, dispositivos não gerenciados são qualquer dispositivo em que o gerenciamento de MDM do Intune ou uma solução MDM/EMM de terceiros não passa na IntuneMAMUPN chave. Para dispositivos Android, dispositivos não gerenciados são dispositivos em que o gerenciamento de MDM do Intune não foi detectado. Isso inclui dispositivos gerenciados por fornecedores de MDM de terceiros.
  • Dispositivos gerenciados do Intune: Os dispositivos gerenciados são gerenciados pelo MDM do Intune.
  • Administrador de dispositivos Android: dispositivos gerenciados pelo Intune usando a API de Administração de Dispositivos Android.
  • Android Enterprise: dispositivos gerenciados pelo Intune usando Perfis de Trabalho do Android Enterprise ou Android Enterprise Gerenciamento completo de dispositivos.

No Android, os dispositivos Android solicitarão a instalação do aplicativo Portal da Empresa do Intune independentemente do tipo de dispositivo escolhido. Por exemplo, se você selecionar "Android Enterprise", os usuários com dispositivos Android nãomanageados ainda serão solicitados.

Para iOS/iPadOS, para que a seleção "Tipo de dispositivo" seja imposta a dispositivos gerenciados do Intune, configurações adicionais de aplicativo são necessárias. Essas configurações comunicarão ao serviço APP que um determinado aplicativo é gerenciado e que as configurações do APP não serão aplicadas:

Observação

Para obter informações de suporte específicas do iOS/iPadOS sobre políticas de proteção de aplicativos com base no estado de gerenciamento de dispositivos, consulte Políticas de proteção do MAMdirecionadas com base no estado de gerenciamento .

Configurações de política

Para ver uma lista completa das configurações de política para iOS/iPadOS e Android, selecione um dos seguintes links:

Próximas etapas

Monitorar a conformidade e o status do usuário

Confira também