Configurações de política de proteção de aplicativo iOS

Esse artigo descreve as configurações da política de proteção de aplicativos para dispositivos iOS/iPadOS. As configurações de política descritas podem ser configuradas para uma política de proteção de aplicativos no painel Configurações do portal quando você cria uma nova política.

Há três categorias de configurações de política: Realocação de dados, Requisitos de acesso e Inicialização condicional. Neste artigo, o termo aplicativos gerenciados por política refere-se a aplicativos configurados com políticas de proteção de aplicativo.

Importante

O Intune Managed Browser foi desativado. Use o Microsoft Edge para obter uma experiência de navegação protegida no Intune.

Proteção de dados

Transferência de dados

Setting Como usar Valor padrão
Fazer backup de dados da organização para backups do iTunes e iCloud Selecione Bloquear para impedir que esse aplicativo faça backup de dados corporativos ou de estudante no iTunes e iCloud. Selecione Permitir para permitir que esse aplicativo faça backup de dados corporativos ou de estudante no iTunes e iCloud. Permitir
Enviar dados da organização para outros aplicativos Especifique quais aplicativos podem receber dados desse aplicativo:
  • Todos os aplicativos: permitir a transferência para qualquer aplicativo. O aplicativo de recebimento terá a capacidade de ler e editar os dados.
  • Nenhum: não permitir a transferência de dados para nenhum aplicativo, incluindo outros aplicativos gerenciados por política. Se o usuário executar uma função "abrir em" gerenciada e transferir um documento, os dados serão criptografados e não poderão ser lidos.
  • Aplicativos gerenciados por política: permita a transferência apenas para outros aplicativos gerenciados por política.

    Observação: Os usuários podem transferir conteúdo usando as extensões Abrir em ou Compartilhar de aplicativos não gerenciados em dispositivos não registrados ou registrados, que possibilitam o compartilhamento com aplicativos não gerenciados. Os dados transferidos são criptografados pelo Intune e ilegíveis por aplicativos não gerenciados.

  • Aplicativos gerenciados por política com compartilhamento de sistema operacional: apenas permitem a transferência de dados para outros aplicativos gerenciados por política, bem como transferências de arquivo para outros aplicativos gerenciados por MDM em dispositivos registrados.

    Observação: o valor Aplicativos gerenciados por política com compartilhamento de SO é aplicável apenas a dispositivos registrados no MDM. Se esta configuração for direcionada a um usuário em um dispositivo não registrado, o comportamento do valor Aplicativos gerenciados por política se aplicará. Os usuários poderão transferir conteúdo não criptografado por meio de extensões Open-in ou Share para qualquer aplicativo permitido pela configuração do iOS MDM allowOpenFromManagedtoUnmanaged, supondo que o aplicativo de envio tenha o IntuneMAMUPN e o IntuneMAMOID configurados; para obter mais informações, consulte Como gerenciar a transferência de dados entre aplicativos iOS no Microsoft Intune. Consulte https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf para obter mais informações sobre essa configuração de MDM do iOS/iPadOS.

  • Aplicativos gerenciados por política com filtragem de Abrir em/Compartilhar: permitem a transferência apenas para outros aplicativos gerenciados por política e filtram caixas de diálogo de Abrir em/Compartilhar do sistema operacional para exibir somente aplicativos gerenciados por política. Para configurar a filtragem da caixa de diálogo Abrir em/Compartilhar, é necessário que tanto os aplicativos que funcionam como a origem do documento/arquivo, quanto os aplicativos que podem abrir esse arquivo/documento, tenham o SDK do Intune para iOS versão 8.1.1 ou posterior.

    Observação:Os usuários poderão transferir conteúdo por meio de extensões Open-in ou Share para aplicativos não gerenciados se o tipo de dados privado do Intune for compatível com o aplicativo. Os dados transferidos são criptografados pelo Intune e ilegíveis por aplicativos não gerenciados.


Além disso, quando definido como Aplicativos gerenciados por política ou Nenhum, a pesquisa do Spotlight (permite pesquisar dados em aplicativos) e os recursos do iOS de atalhos da Siri são bloqueados.

Essa política também pode se aplicar aos links universais do iOS/iPadOS. Links gerais da Web são gerenciados pela configuração de política Abrir links de aplicativo no Intune Managed Browser.

Há algumas isenções de aplicativos e serviços para os quais o Intune pode permitir transferência de dados por padrão. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Consulte isenções de transferência de dados para obter mais informações.

Todos os aplicativos
    Selecionar aplicativos para isentar
Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior.
    Selecione links universais para isentar
Especifique quais Links Universais do iOS/iPadOS devem ser abertos no aplicativo não gerenciado especificado em vez do navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Entre em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.
    Selecionar links universais gerenciados
Especifique quais Links Universais do iOS/iPadOS devem ser abertos no aplicativo gerenciado especificado em vez do navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Entre em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.
    Salvar cópias de dados da organização
Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados.

Observação:
  • Essa configuração é compatível com o Microsoft Excel, OneNote, Outlook, PowerPoint e Word. Ela também pode ser compatível com aplicativos LOB e de terceiros.
  • Essa configuração só poderá ser definida se a configuração Enviar dados da organização para outros aplicativos estiver definida como Aplicativos gerenciados por política, Aplicativos gerenciados por política com compartilhamento do SO ou Aplicativos gerenciados por política com filtragem aberta/de compartilhamento.
  • Essa configuração será "Permitir" quando Enviar dados da organização para outros aplicativos estiver definido como Todos os aplicativos.
  • Essa configuração será "Bloquear", sem locais de serviço permitidos, quando Enviar dados da organização para outros aplicativos estiver definido como Nenhum.
Permitir
      Permitir que o usuário salve uma cópia para serviços selecionados
Os usuários podem salvar nos serviços selecionados (OneDrive for Business, SharePoint e Armazenamento Local). Todos os outros serviços estão bloqueados. OneDrive for Business: você pode salvar arquivos no OneDrive for Business e no SharePoint Online. SharePoint: você pode salvar arquivos no SharePoint local. Armazenamento Local: os aplicativos gerenciados podem salvar cópias dos dados da organização localmente. Isso NÃO inclui salvar arquivos em localidades locais não gerenciadas, como o aplicativo Arquivos do dispositivo. 0 selecionado
    Transferir dados de telecomunicações para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como processar esse tipo de transferência de conteúdo quando ele é iniciado por meio de um aplicativo gerenciado por política:
  • Nenhum. Não transferir dados entre aplicativos: não transfira os dados de comunicação quando um número de telefone for detectado.
  • Um aplicativo discador específico: Permita que um aplicativo discador específico inicie o contato quando um número de telefone for detectado.
  • Qualquer aplicativo discador: Permita que qualquer aplicativo discador seja usado para iniciar o contato quando um número de telefone for detectado.

Observação: essa configuração requer o SDK do Intune 12.7.0 e posterior. Se seus aplicativos dependem da funcionalidade de discagem e não estão usando a versão correta do SDK do Intune, como uma solução alternativa, considere adicionar "tel;telprompt" como uma isenção de transferência de dados. Quando os aplicativos derem suporte à versão correta do SDK do Intune, a isenção pode ser removida.

Qualquer aplicativo discador
      Esquema de URL do Aplicativo Discador
Quando um aplicativo discador específico for selecionado, você precisará fornecer o esquema de URL do aplicativo discador que é usado para iniciá-lo em dispositivos iOS. Para obter mais informações, consulte a documentação da Apple sobre Links de Telefones. Blank
Receber dados de outros aplicativos Especifique quais aplicativos podem transferir dados para esse aplicativo:
  • Todos os aplicativos: permitir a transferência de dados de qualquer aplicativo.
  • Nenhum: não permita a transferência de dados de nenhum aplicativo, incluindo outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política: permita a transferência apenas de outros aplicativos gerenciados por política.
  • Todos os aplicativos contendo dados de entrada da organização: permitem a transferência de dados de qualquer aplicativo. Trate todos os dados de entrada sem uma identidade de usuário como dados de sua organização. Os dados serão marcados com a identidade do usuário registrada no MDM conforme definido pela configuração IntuneMAMUPN.

    Observação:O valor Todos os aplicativos dados da Organização de entrada é aplicável somente a dispositivos registrados no MDM. Se essa configuração for direcionada a um usuário em um dispositivo não registrado, o comportamento do valor Qualquer aplicativo será aplicado.

Aplicativos habilitados para MAM com várias identidades tentarão alternar para uma conta não gerenciada ao receber dados não gerenciados se essa configuração estiver definida para Nenhum ou Aplicativos gerenciados por política. Se não houver nenhuma conta não gerenciada conectada ao aplicativo ou se o aplicativo não puder alternar, os dados de entrada serão bloqueados.

Todos os aplicativos
    Abrir dados em documentos da organização
Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir.

Quando definido como Bloquear, você pode configurar o Permitir que o usuário abra dados de serviços selecionados para especificar quais serviços são permitidos para os locais de dados da organização.

Observação:
  • Esta configuração pode ser definida somente quando a opção Receber dados de outros aplicativos estiver definida como Aplicativos gerenciados por política.
  • Esta configuração será "Permitir" quando a opção Receber dados de outros aplicativos estiver definida como Todos os aplicativos ou Todos os aplicativos contendo dados de entrada da organização.
  • Esta configuração será "Bloquear" sem locais de serviço permitidos quando a opção Receber dados de outros aplicativos estiver definida como Nenhum.
  • Os seguintes aplicativos dão suporte a essa configuração:
    • OneDrive 11.45.3 ou posterior.
    • Outlook para iOS 4.60.0 ou posterior.
    • Teams para iOS 3.17.0 ou posterior.
Permitir
      Permitir que os usuários abram dados dos serviços selecionados
Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. Se nenhum serviço for selecionado, isso impedirá que os usuários abram dados de locais externos.

Serviços com suporte:
  • OneDrive for Business
  • SharePoint Online
  • Câmera
Observação: a câmera não inclui fotos ou acesso à galeria de fotos.
Todos selecionados
Restringir recortar, copiar e colar com outros aplicativos Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Selecione entre:
  • Bloqueado: não permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos.
  • Aplicativos gerenciados por política: permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política com Colar Em: permita o recorte ou a cópia entre esse aplicativo e outros aplicativos gerenciados por política. Permita que dados de qualquer aplicativo sejam colados nesse aplicativo.
  • Qualquer aplicativo: sem restrições para recortar, copiar e colar para e desse aplicativo.
Qualquer aplicativo
    Limite de caracteres de recorte e cópia para qualquer aplicativo
Especifique o número de caracteres que pode ser cortado ou copiado de dados e contas da organização. Isso possibilita o compartilhamento do número de caracteres especificado para qualquer aplicativo, independentemente da configuração Restringir recortar, copiar e colar com outros aplicativos.

Valor padrão = 0

Observação: É necessário que o aplicativo tenha o SDK do Intune versão 9.0.14 ou superior.

0
Bloquear teclados de terceiros Escolha Bloquear para impedir o uso de teclados de terceiros em aplicativos gerenciados.

Quando essa configuração está habilitada, o usuário recebe uma mensagem avulsa informando que o uso de teclados de terceiros está bloqueado. Essa mensagem aparece na primeira vez que o usuário interage com os dados organizacionais que exigem o uso de um teclado. Somente o teclado padrão do iOS/iPadOS está disponível para usar aplicativos gerenciados. Todas as outras opções de teclado estão desabilitadas. Essa configuração afetará as contas pessoais e da organização de aplicativos de várias identidades. Essa configuração não afeta o uso de teclados de terceiros em aplicativos não gerenciados.

Observação: Este recurso exige que o aplicativo use o SDK do Intune versão 12.0.16 ou posterior. Aplicativos com SDK nas versões 8.0.14 até 12.0.15 (inclusive) não terão esse recurso aplicado corretamente aos aplicativos com várias identidades. Para mais detalhes, confira: Problema conhecido: os teclados de terceiros não são bloqueados no iOS/iPadOS para contas pessoais.

Permitir

Observação

Uma política de proteção de aplicativo é necessária com o IntuneMAMUPN para dispositivos gerenciados.

Criptografia

Setting Como usar Valor padrão
Criptografar dados da organização Escolha Exigir para habilitar a criptografia de dados corporativos ou de estudante nesse aplicativo. Enquanto o dispositivo está bloqueado, o Intune impõe a criptografia no nível do dispositivo iOS/iPadOS para proteger dados de aplicativo. Os aplicativos podem ainda, opcionalmente, criptografar os dados de aplicativo usando a criptografia do Intune App SDK. O SDK do aplicativo do Intune usa métodos de criptografia do iOS/iPadOS para aplicar a criptografia AES de 256 bits a dados de aplicativo.

Quando você habilita essa configuração, talvez o usuário tenha que configurar e usar um PIN do dispositivo para acessá-lo. Se não houver nenhum PIN de dispositivo e a criptografia for necessária, o usuário deverá definir um PIN com a mensagem: "Para acessar este aplicativo, sua organização exige primeiro a habilitação de um PIN de dispositivo".

Acesse a documentação oficial da Apple para ver quais módulos de criptografia do iOS/iPadOS são validados por FIPS 140-2.
Exigir

Funcionalidade

Setting Como usar Valor padrão
Sincronizar os dados do aplicativo gerenciado por política com os aplicativos nativos Escolha Bloquear para impedir que os aplicativos gerenciados por política salvem dados do aplicativo nativo de Contatos no dispositivo. Se você escolher Permitir, o aplicativo poderá salvar dados no aplicativo nativo de Contatos no dispositivo, quando esses recursos estiverem habilitados no aplicativo gerenciado por política.

Ao realizar um apagamento seletivo para remover dados corporativos ou de estudantes do aplicativo, os dados de contatos sincronizados diretamente do aplicativo para o aplicativo nativo de Contatos são removidos. Todos os dados de contatos sincronizados do aplicativo nativo de Contatos para outra fonte externa não podem ser apagados. Atualmente, isso se aplica somente ao aplicativo do Outlook para iOS; para obter mais informações, confira Implantando as definições de configuração do aplicativo do Outlook para iOS e Android.
Permitir
Imprimindo dados da organização Selecione Bloquear para impedir que o aplicativo imprima dados corporativos ou de estudante. Se você mantiver essa configuração como Permitir, o valor padrão, os usuários poderão exportar e imprimir todos os dados da Organização. Permitir
Restringir a transferência de conteúdo Web com outros aplicativos Especifique como o conteúdo da Web (links http/https) é aberto por meio de aplicativos gerenciados por uma política. Opte entre:
  • Qualquer aplicativo: permitir links da Web em qualquer aplicativo.
  • Navegador Gerenciado do Intune: permitir que o conteúdo da Web seja aberto somente no Navegador Gerenciado do Intune.
  • Microsoft Edge: Permita que o conteúdo da Web seja aberto somente no Microsoft Edge. Esse navegador é um navegador gerenciado por política.
  • Browser não-gerenciado:Permita que o conteúdo da Web abra somente no navegador não gerenciado definido pela configuração Protocolo do navegador não gerenciado. O conteúdo da Web não será gerenciado no navegador de destino.
    Observação: é necessário que o aplicativo tenha o SDK do Intune versão 11.0.9 ou superior.
Se estiver usando o Intune para gerenciar seus dispositivos, confira Gerenciar o acesso à Internet usando políticas do navegador gerenciado com o Microsoft Intune.

Se um navegador gerenciado por política for obrigatório, mas não estiver instalado, os usuários finais precisarão instalar o Microsoft Edge.

Se um navegador gerenciado por política for necessário, os Links Universais do iOS/iPadOS serão gerenciados pela política de configuração Permitir que o aplicativo transfira dados para outros aplicativos.

Registro do dispositivo do Intune
Se estiver usando o Intune para gerenciar seus dispositivos, confira Gerenciar o acesso à Internet usando políticas do navegador gerenciado com o Microsoft Intune.

Microsoft Edge gerenciado por política
O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) agora é compatível com políticas de proteção de aplicativo do Intune. Os usuários que entrarem com suas contas corporativas do Azure AD no aplicativo de navegador Microsoft Edge estarão protegidos pelo Intune. O navegador Microsoft Edge integra o SDK do Intune e é compatível com a todas as suas políticas de proteção de dados, com exceção de prevenir:

  • Salvar-como: o navegador Microsoft Edge não permite que um usuário adicione conexões diretas no aplicativo para provedores de armazenamento em nuvem (como OneDrive).
  • Sincronização de contatos: o navegador Microsoft Edge não salva em listas de contatos nativas.

Observação: O SDK do Intune não pode determinar se um aplicativo de destino é um navegador. Em dispositivos iOS/iPadOS, nenhum outro aplicativo de navegador gerenciado é permitido.
Não configurado
    Protocolo do navegador não gerenciado
Insira o protocolo para um único navegador não gerenciado. O conteúdo da Web (links http/https) de aplicativos gerenciados por políticas será aberto em qualquer aplicativo que aceite esse protocolo. O conteúdo da Web não será gerenciado no navegador de destino.

Esse recurso só deverá ser usado se você quiser compartilhar o conteúdo protegido com um navegador específico que não estiver habilitado por meio de políticas de proteção de aplicativo do Intune. Você deve entrar em contato com o fornecedor do navegador para determinar o protocolo compatível no navegador desejado.

Observação: Inclua apenas o prefixo de protocolo. Se o navegador exigir links do formulário mybrowser://www.microsoft.com, insira mybrowser.
Os links serão convertidos como:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Notificações de dados da organização Especifique como os dados da organização são compartilhados por meio de notificações do sistema operacional para as contas da organização. Essa configuração de política afetará o dispositivo local e todos os dispositivos conectados, como dispositivos vestíveis e alto-falantes inteligentes. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de notificação ou podem optar por não respeitar todos os valores. Selecione:
  • Bloqueado: Não compartilhe notificações.
    • Se não forem compatíveis com o aplicativo, as notificações serão permitidas.
  • Bloquear dados da organização: Não compartilhe dados da organização em notificações, por exemplo.
    • "Você tem um novo email"; "Você tem uma reunião".
    • Se não forem compatíveis com o aplicativo, as notificações serão bloqueadas.
  • Permitir: Compartilha dados da organização nas notificações.

Observação: Essa configuração requer suporte ao aplicativo:

  • Outlook para iOS 4.34.0 ou posterior
  • Teams para iOS 2.0.22 ou posterior.
Permitir

Observação

Em dispositivos iOS/iPadOS, nenhuma das configurações de proteção de dados controla o recurso "Abrir em" gerenciado pela Apple. Para usar o recurso "Abrir em" gerenciado pela Apple, confira Gerenciar a transferência de dados entre aplicativos iOS/iPadOS com o Microsoft Intune.

Isenções de transferência de dados

Há algumas isenções de aplicativos e serviços de plataforma em que a política de proteção de aplicativo do Intune pode permitir a transferência de dados de/para determinados cenários. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.

Aplicativos não gerenciados de terceiros podem ser adicionados à lista de isenções, o que pode permitir exceções de transferência de dados. Para ver detalhes e exemplos adicionais, confira Como criar exceções para a política de transferência de dados da APP (Política de Proteção de Aplicativo) do Intune. O aplicativo não gerenciado isento deve ser invocado com base no protocolo de URL do iOS. Por exemplo, quando uma isenção de transferência de dados é adicionada para um aplicativo não gerenciado, ela ainda impede os usuários de executar operações de recortar, copiar e colar se elas forem restritas pela política. Esse tipo de isenção também impede que os usuários usem a ação Abrir em dentro de um aplicativo gerenciado para compartilhar ou salvar dados no aplicativo isento, já que ele não se baseia no protocolo de URL do iOS. Para saber mais sobre Abrir em, confira Usar a proteção de aplicativo com aplicativos iOS.

Nomes do aplicativo/serviço Descrição
skype Skype
app-settings Configurações do dispositivo
itms; itmss; itms-apps; itms-appss; itms-services Loja de aplicativos
calshow Calendário nativo

Importante

As políticas de Proteção de Aplicativo criadas antes de 15 de junho de 2020 incluem os esquemas de URL tel e telprompt como parte das isenções de transferência de dados padrão. Esses esquemas de URL permitem que aplicativos gerenciados iniciem o discador. A configuração da política de Proteção de Aplicativo Transferir dados de telecomunicação para substituiu essa funcionalidade. Os administradores devem remover tel;telprompt; das isenções de transferência de dados e contar com a configuração da política de Proteção de Aplicativo, desde que os aplicativos gerenciados que iniciam a funcionalidade do discador incluam o SDK do Intune 12.7.0 ou posterior.

Importante

No SDK do Intune 14.5.0 ou posterior, incluindo os esquemas de URL de SMS e de mailto nas isenções de transferência de dados também permitirá o compartilhamento de dados Org para os controladores de exibição MFMessageCompose (para SMS) e MFMailCompose (para mailto) nos aplicativos gerenciados pela política.

Os links universais permitem que o usuário inicie diretamente um aplicativo associado ao link em vez de um navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Você deve entrar em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.

Ao adicionar Links Universais aos aplicativos não gerenciados, você pode iniciar o aplicativo especificado. Para adicionar o aplicativo, você deve adicionar o link à lista de isenções.

Cuidado

Os aplicativos de destino para esses Links Universais não são gerenciados e adicionar uma isenção pode resultar em vazamentos de segurança de dados.

As isenções de Link Universal do aplicativo padrão são as seguintes:

Link universal isento Descrição
http://maps.apple.com; https://maps.apple.com Aplicativo Mapas
http://facetime.apple.com; https://facetime.apple.com Aplicativo FaceTime

Se você não quiser permitir as isenções de Link Universal padrão, poderá excluí-las. Você também pode adicionar Links Universais para aplicativos LOB ou de terceiros. Os links universais isentos permitem curingas como http://*.sharepoint-df.com/*.

Ao adicionar Links Universais aos aplicativos gerenciados, você pode iniciar o aplicativo especificado com segurança. Para adicionar o aplicativo, você deve adicionar o link à lista gerenciada. Se o aplicativo de destino tiver uma política de Proteção de Aplicativo aplicada, selecionar o link iniciará o aplicativo. Se o aplicativo de destino não tiver uma política de Proteção de Aplicativo aplicada, selecionar o link iniciará o navegador protegido.

Os Links Universais gerenciados padrão são os seguintes:

Link Universal do Aplicativo Gerenciado Descrição
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Yammer
http://*.zoom.us/*; https://*.zoom.us/*; Zoom

Se você não quiser permitir os Links Universais gerenciados padrão, poderá excluí-los. Você também pode adicionar Links Universais para aplicativos LOB ou de terceiros.

Requisitos de acesso

Setting Como usar Valor padrão
PIN para acesso Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante. O PIN é aplicado ao trabalhar online ou offline.

Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso.
Exigir
    Tipo de PIN
Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial.

**Observação:**Para configurar o tipo de senha, é necessário que o aplicativo tenha o SDK do Intune versão 7.1.12 ou superior. O tipo numérico não tem nenhuma restrição de versão do SDK do Intune. Caracteres especiais permitidos incluem caracteres especiais e símbolos no teclado do idioma inglês do iOS/iPadOS.
Numérica
    PIN simples
Selecione Permitir para permitir que os usuários usem sequências de PIN simples como 1234, 1111, abcd ou aaaa. Selecione Bloquear para impedi-los de usar sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Bloquear estiver configurado, 1235 ou 1112 não serão aceitos como um PIN definido pelo usuário final, mas 1122 terá permissão.

Observação: Se o PIN do tipo senha estiver configurado e Permitir PIN simples estiver definido como Sim, o usuário precisará de pelo menos 1 letra ou pelo menos 1 caractere especial em seu PIN. Se o tipo de senha PIN estiver configurado e Permitir PIN simples estiver definido como Não, o usuário precisará de pelo menos 1 número e 1 letra e pelo menos 1 caractere especial em seu PIN.
Permitir
    Escolher tamanho mínimo do PIN
Especifique o número mínimo de dígitos em uma sequência de PIN. 4
    Touch ID em vez de PIN para acesso (iOS 8 +)
Selecione Permitir para permitir que o usuário use o Touch ID em vez de um PIN para acesso ao aplicativo. Permitir
      Substituir o Touch ID com PIN após o tempo limite
Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade. Exigir
        Tempo limite (minutos de inatividade)
Especifique um tempo em minutos após o qual uma senha ou PIN numérico (conforme configurado) substituirá o uso de uma impressão digital ou detecção facial como método de acesso. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)". 30
      Face ID em vez de PIN para acesso (iOS 11+)
Selecione Permitir para permitir que o usuário use a tecnologia de reconhecimento facial para autenticar usuários em dispositivos iOS/iPadOS. Se permitido, o Face ID deve ser usado para acessar o aplicativo em um dispositivo compatível com o Face ID. Permitir
    Redefinir PIN após número de dias
Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias.

Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária.
Não
      Número de dias
Configure o número de dias antes que a redefinição do PIN seja necessária. 90
    PIN do aplicativo quando o PIN do dispositivo for gerenciado
Selecione Desabilitar para desabilitar o PIN do aplicativo quando um bloqueio de dispositivo for detectado em um dispositivo registrado com o Portal da Empresa configurado.

Observação: exige que o aplicativo tenha a versão 7.0.1 ou superior do SDK do Intune.

Em dispositivos iOS/iPadOS, é possível permitir que o usuário prove sua identidade usando um Touch ID ou Face ID em vez de um PIN. O Intune usa a API LocalAuthentication para autenticar usuários usando o Touch ID e o Face ID. Para saber mais sobre o Touch ID e o Face ID, consulte o Guia de segurança do iOS.

Quando o usuário tenta usar esse aplicativo com sua conta corporativa ou de estudante, ele é solicitado a fornecer a identidade de impressão digital ou a identidade facial em vez de inserir um PIN. Quando essa configuração for habilitada, a imagem de visualização do alternador de aplicativo será indefinida enquanto usar uma conta corporativa ou escolar.
Enable
Credenciais de conta corporativa ou de estudante para acesso Selecione Exigir para exigir que o usuário entre com sua conta corporativa ou de estudante em vez de inserir um PIN para acesso ao aplicativo. Se você definir isso como Exigir e prompts de PIN ou biometria estiverem ativados, tanto as credenciais corporativas quanto os prompts de PIN ou biometria serão exibidos. Não obrigatório
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure o número de minutos de inatividade que deve decorrer antes de o aplicativo requisitar ao usuário que especifique novamente os requisitos de acesso.

Por exemplo, se um administrador ativar o PIN e bloquear dispositivos com raiz na política, se um usuário abrir um aplicativo gerenciado pelo Intune, deverá inserir um PIN e usar o aplicativo em um dispositivo sem raiz. Ao usar essa configuração, o usuário não precisaria inserir um PIN nem se submeter a outra verificação de detecção de raiz em qualquer aplicativo gerenciado pelo Intune por um período de tempo igual ao valor configurado.

**Observação:**no iOS/iPadOS, o PIN é compartilhado entre todos os aplicativos gerenciados pelo Intune do mesmo editor. O temporizador de PIN para um PIN específico é redefinido depois que o aplicativo deixa o primeiro plano no dispositivo. O usuário não teria que inserir um PIN em nenhum aplicativo gerenciado pelo Intune que compartilha seu PIN durante o tempo limite definido nessa configuração. Esse formato de configuração de política dá suporte a um número inteiro positivo.
30

Observação

Para saber mais sobre como diversas configurações de Proteção de Aplicativo do Intune configuradas na seção Acesso para o mesmo conjunto de usuários e aplicativos funcionam no iOS/iPadOS, confira Perguntas frequentes sobre o MAM e a proteção do aplicativo e Apagar dados seletivamente usando ações de acesso da política de Proteção de Aplicativo no Intune.

Inicialização condicional

Defina as configurações de inicialização condicional para definir os requisitos de segurança de entrada para sua política de proteção de acesso.

Por padrão, várias configurações são fornecidas com ações e valores previamente configurados. Você pode excluir alguns deles, como a versão mínima do sistema operacional. Você também pode selecionar configurações adicionais na lista suspensa Selecionar um.

Setting Como usar
Versão máxima do sistema operacional Especifique um sistema operacional iOS/iPadOS máximo para usar este aplicativo. As ações incluem:
  • Avisar – o usuário verá uma notificação se a versão do iOS/iPadOS no dispositivo não cumprir o requisito. Essa notificação pode ser ignorada.
  • Bloquear acesso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o acesso do usuário será bloqueado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Observação: exige que o aplicativo tenha a versão 14.4.0 ou superior do SDK do Intune.
Versão mínima do sistema operacional Especifique um sistema operacional iOS/iPadOS mínimo para usar esse aplicativo. As ações incluem:
  • Avisar – o usuário verá uma notificação se a versão do iOS/iPadOS no dispositivo não cumprir o requisito. Essa notificação pode ser ignorada.
  • Bloquear acesso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o acesso do usuário será bloqueado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Observação: exige que o aplicativo tenha a versão 7.0.1 ou superior do SDK do Intune.
Máximo de tentativas de PIN Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o usuário não conseguir inserir o PIN com êxito após as tentativas máximas de PIN, ele deverá redefinir o PIN após fazer logon com êxito em sua conta e concluir um desafio de MFA (Autenticação Multifator), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo. Ações incluem:
  • Redefinir o PIN – o usuário precisa redefinir o PIN.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Valor padrão = 5
Período de cortesia offline O número de minutos que aplicativos gerenciados por políticas podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Ações incluem:
  • Bloquear acesso (minutos) – o número de minutos que aplicativos gerenciados por políticas podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Quando o período configurado expirar, o aplicativo bloqueará o acesso aos dados da escola ou do trabalho, até que o acesso à rede esteja disponível. O temporizador do período de cortesia offline para bloquear o acesso é compartilhado por todos os aplicativos no conjunto de chaves do editor do aplicativo. Esse formato de configuração de política é compatível com um número inteiro positivo.

    Valor padrão = 720 minutos (12 horas)
  • Limpar dados (dias) – após este número de dias (definido pelo administrador) de execução offline, o aplicativo exigirá que o usuário se conecte à rede e realize a autenticação novamente. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se a autenticação do usuário falhar, o aplicativo realizará um apagamento seletivo dos dados e da conta do usuário. Consulte Como apagar somente dados corporativos de aplicativos gerenciados pelo Intune para obter mais informações sobre quais dados são removidos com um apagamento seletivo. O temporizador do período de cortesia offline para apagar dados é calculado individualmente para cada aplicativo com base no último check-in com o serviço do Intune. Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 90 dias
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Dispositivos com jailbreak/desbloqueados por rooting Não há valor a ser definido para essa configuração. Ações incluem:
  • Bloquear o acesso – evitar que esse aplicativo seja executado em dispositivos submetidos ao jailbreak ou enraizados: o usuário continuará podendo usar esse aplicativo para tarefas pessoais, mas deverá usar um dispositivo diferente para acessar dados corporativos ou de estudante nesse aplicativo.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Conta desabilitada Não há valor a ser definido para essa configuração. Ações incluem:
  • Bloquear acesso – Quando confirmarmos que o usuário foi desabilitado no Azure Active Directory, o aplicativo bloqueará o acesso a dados corporativos ou de estudante.
  • Apagar dados – Quando confirmarmos que o usuário foi desabilitado no Azure Active Directory, o aplicativo executará um apagamento seletivo da conta e dos dados dos usuários.
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo. As ações incluem:
  • Avisar – o usuário verá uma notificação se a versão do aplicativo no dispositivo não cumprir o requisito. Essa notificação pode ser ignorada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de controle de versão diferentes entre si, crie uma política com uma versão mínima de aplicativo que direciona um aplicativo (por exemplo, política de versão do Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Observação: exige que o aplicativo tenha a versão 7.0.1 ou superior do SDK do Intune.

Além disso, configure em que local os usuários finais podem obter uma versão atualizada de um aplicativo LOB (linha de negócios). Os usuários finais verão isso na caixa de diálogo de inicialização condicional Versão mínima do aplicativo, que solicitará que os usuários finais façam a atualização para uma versão mínima do aplicativo LOB. No iOS/iPadOS, esse recurso requer que o aplicativo seja integrado (ou encapsulado usando a ferramenta de encapsulamento) ao SDK do Intune para iOS v. 10.0.7 ou versão posterior. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define de qual repositório o usuário final baixará o aplicativo. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa.
Versão mínima do SDK Especifique um valor mínimo para a versão do SDK do Intune. As ações incluem:
  • Bloquear acesso – o usuário terá o acesso bloqueado se a versão do SDK da política de Proteção de Aplicativo do Intune do aplicativo não atender ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para saber mais sobre o SDK de política de proteção de aplicativo do Intune, veja Visão geral do SDK de aplicativo do Intune. Como os aplicativos geralmente têm versões diferentes do SDK do Intune entre si, crie uma política com uma versão mínima do SDK do Intune direcionada a um aplicativo (por exemplo, política de versão do SDK do Intune para Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Modelos de dispositivo Especifique uma lista de identificadores de modelo separados por ponto e vírgula. Esses valores não diferenciam maiúsculas de minúsculas. Ações incluem:
  • Permitir dispositivos especificados (bloquear os não especificados) – somente dispositivos que correspondam ao modelo de dispositivo especificado podem usar o aplicativo. Todos os outros modelos serão bloqueados.
  • Permitir especificado (apagamento não especificado) – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como aplicar essa configuração, confira o tópico Ações de inicialização condicional.
Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD. Ações incluem:
  • Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Observação: exige que o aplicativo tenha a versão 12.0.15 ou superior do SDK do Intune.

Para obter mais informações sobre como usar essa configuração, confira Habilitar MTD para dispositivos não registrados.

Saiba mais