Proteção de aplicativos configurações de política para Windows

  • Artigo

Este artigo descreve as configurações de APP (política de proteção de aplicativo) para Windows. As configurações de política descritas podem ser configuradas para uma política de proteção de aplicativo no painel Configurações no centro de administração do Intune quando você faz uma nova política.

Você pode habilitar o acesso protegido do MAM aos dados da organização por meio do Microsoft Edge em dispositivos Windows pessoais. Essa funcionalidade é conhecida como MAM do Windows e fornece funcionalidades usando o Intune Application Configuration Policies (ACP), o Intune Application Protection Policies (APP), Segurança do Windows Center client threat defense e o Application Protection Conditional Access. Para obter mais informações sobre o Windows MAM, consulte Proteção de dados para Windows MAM, Criar uma política de proteção de aplicativo MTD para Windows e Configurar o Microsoft Edge para Windows com o Intune.

Há duas categorias de configurações de política de proteção de aplicativo para Windows:

Importante

O MAM do Intune no Windows dá suporte a dispositivos não gerenciados. Se um dispositivo já estiver gerenciado, o registro do MAM do Intune será bloqueado e as configurações do APP não serão aplicadas. Se um dispositivo se tornar gerenciado após o registro do MAM, as configurações do APP não serão mais aplicadas.

Proteção de dados

As configurações de proteção de dados afetam os dados e o contexto da organização. Como administrador, você pode controlar a movimentação de dados dentro e fora do contexto de proteção da organização. O contexto da organização é definido por documentos, serviços e sites acessados pela conta da organização especificada. As configurações de política a seguir ajudam a controlar os dados externos recebidos no contexto da organização e nos dados da organização enviados do contexto da organização.

Transferência de dados

Setting Como usar Valor padrão
Receber dados de Selecione uma das seguintes opções para especificar as fontes das quais os usuários da organização podem receber dados de:
  • Todas as fontes: os usuários da organização podem abrir dados de qualquer conta, documento, local ou aplicativo no contexto da organização.
  • Nenhuma fonte: os usuários da organização não podem abrir dados de contas externas, documentos, locais ou aplicativos no contexto da organização. OBSERVAÇÃO: Para o Microsoft Edge, nenhuma fonte controla o comportamento de carregamento de arquivos por meio de arrastar e soltar ou abrir a caixa de diálogo. A exibição e o compartilhamento de arquivos de arquivos locais entre sites/guias serão bloqueados.


 Todas as fontes
Enviar dados da organização para Selecione uma das seguintes opções para especificar os destinos para os quais os usuários da organização podem enviar dados:
  • Todos os destinos: os usuários da organização podem enviar dados da organização para qualquer conta, documento, local ou aplicativo.
  • Nenhum destino: os usuários da organização não podem enviar dados da organização para contas externas, documentos, locais ou aplicativos do contexto da organização. OBSERVAÇÃO: Para o Microsoft Edge, nenhum destino bloqueia o download de arquivos. Isso significa que o compartilhamento de arquivos entre sites/guias será bloqueado.


 Todos os destinos
Permitir corte, cópia e colar para Selecione uma das seguintes opções para especificar as fontes e destinos que os usuários da organização podem cortar ou copiar ou colar dados da organização:
  • Qualquer destino e qualquer fonte: os usuários da organização podem colar dados de e cortar/copiar dados para qualquer conta, documento, local ou aplicativo.
  • Nenhum destino ou fonte: os usuários da organização não podem cortar, copiar ou colar dados de ou para contas externas, documentos, locais ou aplicativos do ou para o contexto da organização. OBSERVAÇÃO: Para o Microsoft Edge, nenhum destino ou blocos de origem cortam, copiam e colam o comportamento somente no conteúdo da Web. Cortar, copiar e colar são desabilitados de todo o conteúdo da Web, mas não de controles de aplicativo, incluindo a barra de endereços.


 Qualquer destino e qualquer fonte

Funcionalidade

Setting Como usar Valor padrão
Imprimindo dados da organização Selecione Bloquear para impedir a impressão de dados da organização. Selecione Permitir permitir a impressão de dados da organização. Dados pessoais ou não gerenciados não são afetados. Permitir

Verificações de integridade

Defina as condições de marcar de integridade para sua política de proteção de aplicativo. Selecione uma Configuração e insira o Valor que os usuários devem atender para acessar seus dados da organização. Em seguida, selecione a Ação que você deseja tomar se os usuários não atenderem às suas condicionales. Em alguns casos, várias ações podem ser configuradas para uma única configuração. Para obter mais informações, consulte Ações de verificação de integridade.

Condições do aplicativo

Configure as seguintes configurações de marcar de integridade para verificar a configuração do aplicativo antes de permitir o acesso a contas e dados da organização.

Observação

O termo aplicativo gerenciado por políticas refere-se a aplicativos configurados com políticas de proteção de aplicativo.

Setting Como usar Valor padrão
Período de cortesia offline O número de minutos que o aplicativo gerenciado por políticas pode ser executado offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente.

Ações incluem:

  • Bloquear o acesso (minutos): o número de minutos que os aplicativos gerenciados por políticas podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Quando o período configurado expirar, o aplicativo bloqueará o acesso aos dados da escola ou do trabalho, até que o acesso à rede esteja disponível. O temporizador de período de carência offline para bloquear o acesso a dados é calculado com base no último marcar com o serviço do Intune. Esse formato de configuração de política é compatível com um número inteiro positivo.
  • Apagar dados (dias): após esses muitos dias (definidos pelo administrador) de execução offline, o aplicativo exigirá que o usuário se conecte à rede e reautenticar. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se a autenticação do usuário falhar, o aplicativo realizará um apagamento seletivo dos dados e da conta do usuário. Consulte Como apagar somente dados corporativos de aplicativos gerenciados pelo Intune para obter mais informações sobre quais dados são removidos com um apagamento seletivo. O temporizador de período de carência offline para limpar dados é calculado pelo aplicativo com base no último marcar com o serviço do Intune. Esse formato de configuração de política dá suporte a um número inteiro positivo.
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

 Bloquear o acesso (minutos): 720 minutos (12 horas)

Apagar dados (dias): 90 dias
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo.

Ações incluem:

  • Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de versão distintos entre eles, crie uma política com uma versão mínima do aplicativo direcionada a um aplicativo.

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Essa configuração de política dá suporte a formatos de versão do pacote de aplicativos do Windows correspondentes (major.minor ou major.minor.patch).		 Nenhum valor padrão
Versão mínima do SDK Especifique um valor mínimo para a versão do SDK do Intune.

Ações incluem:

  • Bloquear acesso – o usuário terá o acesso bloqueado se a versão do SDK da política de Proteção de Aplicativo do Intune do aplicativo não atender ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.		 Nenhum valor padrão
Conta desabilitada Especifique uma ação automatizada se a conta Microsoft Entra para o usuário estiver desabilitada. Administração pode especificar apenas uma Ação. Não há valor a ser definido para essa configuração. Ações incluem:
  • Bloquear o acesso – Quando confirmarmos que o usuário foi desabilitado em Microsoft Entra ID, o aplicativo bloqueia o acesso a dados de trabalho ou escola.
  • Apagar dados – Quando confirmarmos que o usuário foi desabilitado em Microsoft Entra ID, o aplicativo executará um apagamento seletivo da conta e dos dados dos usuários.
NOTA: Se o usuário status não puder ser confirmado devido à conectividade, autenticação ou qualquer outro motivo, essas ações (Bloquear acesso e apagar dados) não serão impostas.		 Nenhum valor padrão

Condições do dispositivo

Configure as seguintes configurações de marcar de integridade para verificar a configuração do dispositivo antes de permitir o acesso a contas e dados da organização. Configurações semelhantes baseadas em dispositivo podem ser configuradas para dispositivos registrados. Saiba mais sobre como configurar as configurações de conformidade do dispositivo para dispositivos registrados.

Setting Como usar Valor padrão
Versão mínima do sistema operacional Especifique um sistema operacional Windows mínimo para usar este aplicativo.

Ações incluem:

  • Avisar – o usuário verá uma notificação se a versão do Windows no dispositivo não atender ao requisito. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a versão do Windows no dispositivo não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Versão máxima do sistema operacional Especifique um sistema operacional Windows máximo para usar este aplicativo.

Ações incluem:

  • Avisar – o usuário verá uma notificação se a versão do Windows no dispositivo não atender ao requisito. Essa notificação pode ser descartada.
  • Bloquear o acesso – o usuário será impedido de acessar se a versão do Windows no dispositivo não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.
Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD.

Ações incluem:

  • Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Para obter mais informações sobre como usar essa configuração, confira Habilitar MTD para dispositivos não registrados.

Informações adicionais

Para obter mais informações sobre o APP para dispositivos Windows, confira os seguintes recursos: