Etapa 2 – Adicionar, configurar e proteger aplicativos com o Intune

  • Artigo

A próxima etapa ao implantar o Intune é adicionar e proteger aplicativos que acessam dados da organização.

Diagrama que mostra como começar a Microsoft Intune com a etapa 2, que é adicionar e proteger aplicativos usando Microsoft Intune.

Gerenciar aplicativos em dispositivos em sua organização é uma parte central para um ecossistema empresarial seguro e produtivo. Você pode usar Microsoft Intune para gerenciar os aplicativos que a força de trabalho da sua empresa usa. Ao gerenciar aplicativos, você ajuda a controlar quais aplicativos sua empresa usa, bem como a configuração e a proteção dos aplicativos. Essa funcionalidade é chamada de MAM (gerenciamento de aplicativos móveis). O MAM no Intune foi projetado para proteger os dados da organização no nível do aplicativo, incluindo aplicativos personalizados e aplicativos de armazenamento. O gerenciamento de aplicativos pode ser usado em dispositivos de propriedade da organização e dispositivos pessoais. Quando ele é usado com dispositivos pessoais, somente o acesso e os dados relacionados à organização são gerenciados. Esse tipo de gerenciamento de aplicativos é chamado de MAM sem registro (MAM-WE) ou, do ponto de vista do usuário final, traga seu próprio dispositivo (BYOD).

Configurações de MAM

Quando os aplicativos são usados sem restrições, os dados corporativos e pessoais podem se misturar. Os dados corporativos podem acabar em locais como um armazenamento pessoal ou podem ser transferidos para aplicativos fora do seu alcance, resultando na perda de dados. Um dos principais motivos para usar o MAM sem registro de dispositivo ou o MDM + MAM do Intune é ajudar a proteger os dados da sua organização.

Microsoft Intune dá suporte a duas configurações de MAM:

MAM sem gerenciamento de dispositivo

Essa configuração permite que os aplicativos da sua organização sejam gerenciados pelo Intune, mas não registra os dispositivos a serem gerenciados pelo Intune. Essa configuração é comumente chamada de MAM sem registro de dispositivo ou MAM-WE. Os administradores de TI podem gerenciar aplicativos usando o MAM usando políticas de configuração e proteção do Intune em dispositivos não registrados com o MDM (gerenciamento de dispositivo móvel) do Intune.

Observação

Essa configuração inclui o gerenciamento de aplicativos com o Intune em dispositivos registrados com provedores emM (gerenciamento de mobilidade corporativa) de terceiros. Você pode usar políticas de proteção de aplicativo do Intune independentemente de qualquer solução MDM. Essa independência ajuda você a proteger os dados de sua empresa com ou sem o registro de dispositivos em uma solução de gerenciamento de dispositivos. Ao implementar as políticas de nível de aplicativos, é possível restringir o acesso aos recursos da empresa e manter os dados dentro do âmbito do seu departamento de TI.

O MAM (Gerenciamento de Aplicativos Móveis) é ideal para ajudar a proteger os dados da organização em dispositivos móveis usados por membros da sua organização para tarefas pessoais e de trabalho. Ao garantir que seus membros da sua organização possam ser produtivos, você deseja evitar perda de dados, intencional e não intencional. Você também deseja proteger os dados da empresa acessados de dispositivos que não são gerenciados por você. O MAM permite que você gerenciar e proteger os dados de sua organização dentro de um aplicativo.

Dica

Muitos aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo MAM do Intune. Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.

Para dispositivos BYOD não registrados em nenhuma solução MDM, as políticas de proteção de aplicativo podem ajudar a proteger os dados da empresa no nível do aplicativo. No entanto, existem algumas limitações a serem consideradas, como:

  • Não é possível implantar aplicativos no dispositivo. O usuário final precisa obter os aplicativos na loja.
  • Não é possível provisionar perfis de certificado nesses dispositivos.
  • Não é possível provisionar as configurações de Wi-Fi e VPN da empresa nesses dispositivos.

Para obter mais informações sobre a proteção de aplicativos no Intune, consulte Proteção de aplicativos visão geral das políticas.

MAM com gerenciamento de dispositivo

Essa configuração permite que os aplicativos e dispositivos da sua organização sejam gerenciados. Essa configuração é comumente chamada de MAM + MDM. Os administradores de TI podem gerenciar aplicativos usando o MAM em dispositivos registrados com o MDM do Intune.

O MDM juntamente com o MAM verificam se o aplicativo está protegido. Por exemplo, você pode exigir um PIN acessar o dispositivo ou pode implantar aplicativos gerenciados para o dispositivo. Você também pode implantar aplicativos em dispositivos por meio da solução MDM, para conferir mais controle sobre o gerenciamento de aplicativo.

Há benefícios adicionais ao usar MDM com políticas de proteção de aplicativo e as empresas podem usar as políticas de proteção de aplicativo com e sem MDM ao mesmo tempo. Por exemplo, um membro da sua organização pode ter um telefone emitido pela empresa e seu próprio tablet pessoal. O telefone da empresa pode ser registrado no MDM e protegido por políticas de proteção de aplicativo, enquanto o dispositivo pessoal é protegido apenas por políticas de proteção de aplicativo.

Em dispositivos registrados que usam um serviço MDM, as políticas de proteção de aplicativo podem adicionar uma camada extra de proteção. Por exemplo, um usuário entra em um dispositivo com suas respectivas credenciais da organização. À medida que os dados da organização são usados, as políticas de proteção de aplicativo controlam como os dados são salvos e compartilhados. Quando os usuários entrarem com sua identidade pessoal, essas mesmas proteções (acesso e restrições) não são aplicadas. Dessa forma, o setor de TI tem controle dos dados da organização, enquanto os usuários finais mantêm o controle e a privacidade de seus dados pessoais.

A solução de MDM agrega valor fornecendo o seguinte:

  • Registra o dispositivo
  • Implanta os aplicativos no dispositivo
  • Fornece gerenciamento e a conformidade contínuos no dispositivo

As políticas de proteção do aplicativo agregam valor fornecendo o seguinte:

  • Ajudam a proteger os dados da empresa contra vazamento de serviços e aplicativos de consumidor
  • Aplicam restrições, como salvar como, área de transferência ou PIN, aos aplicativos cliente
  • Apagam os dados da empresa dos aplicativos, quando necessário, sem remover esses aplicativos do dispositivo

Benefícios do MAM com o Intune

Quando os aplicativos são gerenciados no Intune, os administradores podem fazer o seguinte:

  • Proteja os dados da empresa no nível do aplicativo. Você pode adicionar e atribuir aplicativos móveis a grupos de usuários e dispositivos. Isso permite que os dados da sua empresa sejam protegidos no nível do aplicativo. Você pode proteger os dados da empresa em dispositivos gerenciados e não gerenciados porque o gerenciamento de aplicativos móveis não requer gerenciamento de dispositivos. O gerenciamento concentra-se na identidade do usuário, o que elimina a necessidade de gerenciar dispositivos.
  • Configure aplicativos para iniciar ou executar com configurações específicas habilitadas. Além disso, você pode atualizar aplicativos existentes já no dispositivo.
  • Atribua políticas para limitar o acesso e impedir que os dados sejam usados fora de sua organização. Você escolhe a configuração dessas políticas com base nos requisitos da sua organização. Por exemplo, você pode:
    • Exigir um PIN para abrir um aplicativo em um contexto de trabalho.
    • Bloquear a execução de aplicativos gerenciados em dispositivos com jailbreak ou com acesso raiz
    • Controlar o compartilhamento de dados entre aplicativos.
    • Evite a economia de dados do aplicativo da empresa em um local de armazenamento pessoal usando políticas de realocação de dados, como Salvar cópias de dados da organização, e Restringir corte, cópia e colagem.
  • Suporte a aplicativos em uma variedade de plataformas e sistemas operacionais. Cada plataforma é diferente. O Intune fornece configurações disponíveis especificamente para cada plataforma com suporte.
  • Consulte relatórios sobre quais aplicativos são usados e acompanhe seu uso. Além disso, o Intune fornece análise de ponto de extremidade para ajudá-lo a avaliar e resolve problemas.
  • Faça um apagamento seletivo removendo somente os dados da organização dos aplicativos.
  • Verifique se os dados pessoais são mantidos separados dos dados gerenciados. A produtividade do usuário final não é afetada e as políticas não são aplicadas ao usar o aplicativo em um contexto pessoal. As políticas são aplicadas somente em um contexto corporativo, que proporciona a capacidade de proteger dados da empresa sem tocar em dados pessoais.

Adicionar aplicativos ao Intune

A primeira etapa ao fornecer aplicativos à sua organização é adicionar os aplicativos ao Intune antes de atribuí-los a dispositivos ou usuários do Intune. Embora você possa trabalhar com muitos tipos de aplicativo diferentes, os procedimentos básicos são os mesmos. Com o Intune, você pode adicionar diferentes tipos de aplicativo, incluindo aplicativos gravados internamente (linha de negócios), aplicativos da loja, aplicativos integrados e aplicativos na Web.

Os usuários de aplicativos e dispositivos na empresa (a força de trabalho da empresa) podem ter vários requisitos de aplicativo. Antes de adicionar aplicativos ao Intune e disponibilizá-los à sua força de trabalho, talvez seja útil avaliar e entender alguns conceitos básicos sobre os aplicativos. Há vários tipos de aplicativos disponíveis para o Intune. Você deve determinar os requisitos de aplicativo necessários para os usuários em sua empresa, como as plataformas e os recursos de que sua equipe precisa. Você precisa determinar se vai usar o Intune para gerenciar os dispositivos (incluindo aplicativos) ou se o próprio Intune gerenciará os aplicativos sem gerenciar os dispositivos. Além disso, você deve determinar os aplicativos e recursos de que a sua força de trabalho precisa e quem precisa deles. As informações neste artigo ajudarão você a começar.

Antes de adicionar aplicativos ao Intune, considere examinar os tipos de aplicativo de suporte e avaliar os requisitos do aplicativo. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.

Dica

Para entender melhor os tipos de aplicativo, as compras de aplicativos e as licenças de aplicativo para o Intune, consulte a solução Comprar e adicionar aplicativos para Microsoft Intune. Esse conteúdo da solução também fornece etapas recomendadas para avaliar os requisitos do aplicativo, criar categorias de aplicativo, comprar aplicativos e adicionar aplicativos. Além disso, esse conteúdo da solução explica como gerenciar aplicativos e licenças de aplicativo.

Adicionar aplicativos microsoft

O Intune inclui vários aplicativos da Microsoft com base na licença da Microsoft que você usa para o Intune. Para saber mais sobre as diferentes licenças empresariais da Microsoft disponíveis que incluem o Intune, consulte Microsoft Intune licenciamento. Para comparar os diferentes aplicativos da Microsoft disponíveis com o Microsoft 365, confira as opções de licenciamento disponíveis com o Microsoft 365. Para ver todas as opções de cada plano (incluindo os aplicativos disponíveis da Microsoft), baixe a tabela completa de comparação de assinaturas da Microsoft e localize os planos que incluem Microsoft Intune.

Um dos tipos de aplicativos disponíveis é o Microsoft 365 Apps para dispositivos Windows 10. Ao selecionar esse tipo de aplicativo no Intune, você pode atribuir e instalar aplicativos do Microsoft 365 em dispositivos que você gerencia que executam Windows 10. Você também pode atribuir e instalar aplicativos para o cliente da área de trabalho Microsoft Project Online e o Plano 2 do Microsoft Visio Online, se você possui licenças para eles. Os aplicativos disponíveis do Microsoft 365 são exibidos como uma única entrada na lista de aplicativos no console do Intune no Azure.

Adicione os seguintes aplicativos principais da Microsoft ao Intune:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word

Para obter mais informações sobre como adicionar aplicativos microsoft ao Intune, acesse os seguintes tópicos:

Adicionar aplicativos de loja (opcional)

Muitos dos aplicativos de repositório padrão exibidos no console do Intune estão disponíveis gratuitamente para você adicionar e implantar em membros da sua organização. Além disso, você pode comprar aplicativos de loja para cada plataforma de dispositivo.

A tabela a seguir fornece as diferentes categorias disponíveis para aplicativos de loja:

Categoria de aplicativo de armazenamento Descrição
Aplicativos de repositório gratuitos Você pode adicionar esses aplicativos gratuitamente ao Intune e implantá-los nos membros da sua organização. Esses aplicativos não exigem nenhum custo adicional a ser usado.
Aplicativos comprados Você deve comprar licenças para esses aplicativos antes de adicionar ao Intune. Cada plataforma de dispositivo (Windows, iOS, Android) oferece um método padrão para comprar licenças para esses aplicativos. O Intune fornece métodos para gerenciar a licença de aplicativo para cada usuário final.
Aplicativos que exigem uma conta, assinatura ou licença do desenvolvedor de aplicativos Você pode adicionar e implantar gratuitamente esses aplicativos no Intune, no entanto, o aplicativo pode exigir uma conta, assinatura ou licença do fornecedor do aplicativo. Para obter uma lista de aplicativos que dão suporte à funcionalidade de gerenciamento do Intune, consulte Aplicativos de produtividade de parceiros e aplicativos UEM parceiros. NOTA: Para aplicativos que podem exigir uma conta, assinatura ou licença, você deve entrar em contato com o fornecedor do aplicativo para obter detalhes específicos do aplicativo.
Aplicativos incluídos com sua licença do Intune A licença que você usa com Microsoft Intune pode incluir as licenças de aplicativo necessárias.

Observação

Além de comprar licenças de aplicativo, você pode criar políticas do Intune que permitem que os usuários finais adicionem contas pessoais aos seus dispositivos para comprar aplicativos não gerenciados.

Para obter mais informações sobre como adicionar aplicativos microsoft ao Intune, acesse os seguintes tópicos:

Configurar aplicativos usando o Intune

As políticas de configuração do aplicativo podem ajudá-lo a eliminar problemas de instalação do aplicativo, permitindo que você selecione configurações para uma política. Essa política é então atribuída aos usuários finais antes de executar um aplicativo específico. As configurações são fornecidas automaticamente quando o aplicativo é configurado no dispositivo do usuário final. Os usuários finais não precisam agir. As definições de configuração são exclusivas para cada aplicativo.

Você pode criar e usar políticas de configuração de aplicativo para fornecer configurações para aplicativos iOS/iPadOS ou Android. Essas definições de configuração permitem que um aplicativo seja personalizado usando a configuração e o gerenciamento do aplicativo. As definições de política de configuração são usadas quando o aplicativo verifica essas configurações, normalmente na primeira vez que o aplicativo é executado.

Uma configuração de aplicativo, por exemplo, pode exigir que você especifique qualquer um dos seguintes detalhes:

  • Um número de porta personalizado
  • Opções de linguagem
  • Configurações de segurança
  • Configurações de marca, como um logotipo da empresa

Se os usuários finais inserissem essas configurações, eles poderiam fazer isso incorretamente. As políticas de configuração de aplicativo podem ajudar a fornecer consistência em uma empresa e reduzir as chamadas auxiliares de usuários finais que tentam configurar as configurações por conta própria. Ao usar políticas de configuração de aplicativos, a adoção de novos aplicativos pode ser mais fácil e rápida.

Os parâmetros de configuração disponíveis são finalmente decididos pelos desenvolvedores do aplicativo. A documentação do fornecedor de aplicativos deve ser revisada para ver se um aplicativo dá suporte à configuração e quais configurações estão disponíveis. Para alguns aplicativos, o Intune preencherá as definições de configuração disponíveis.

Para obter mais informações sobre a configuração do aplicativo, acesse os seguintes tópicos:

Configurar o Microsoft Outlook

O aplicativo Outlook para iOS e Android foi projetado para permitir que os usuários em sua organização façam mais em seus dispositivos móveis, reunindo email, calendário, contatos e outros arquivos.

Os recursos de proteção mais avançados e mais amplos para dados do Microsoft 365 estão disponíveis quando você assina o pacote de Enterprise Mobility + Security, que inclui recursos Microsoft Intune e Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, você deseja implantar uma política de acesso condicional que permita a conectividade com o Outlook para iOS e Android de dispositivos móveis e uma política de proteção de aplicativo do Intune que garante que a experiência de colaboração seja protegida.

Para obter mais informações sobre como configurar o Microsoft Outlook, acesse o seguinte tópico:

Configurar o Microsoft Edge

O Edge para iOS e Android foi projetado para permitir que os usuários naveguem na Web e oferece suporte a múltiplas identidades. Os usuários podem adicionar uma conta corporativa, bem como uma conta pessoal, para navegação. Há uma separação completa entre as duas identidades, que é como o que é oferecido em outros aplicativos móveis da Microsoft.

Para obter mais informações sobre como configurar o Microsoft Edge, acesse o seguinte tópico:

Configurar VPN

As VPN (redes virtuais privadas) permitem que os usuários acessem recursos da organização remotamente, incluindo de casa, hotéis, cafés e muito mais. Em Microsoft Intune, você pode configurar aplicativos cliente VPN em dispositivos Android Enterprise usando uma política de configuração de aplicativo. Em seguida, implante essa política com sua configuração vpn em dispositivos em sua organização.

Você também pode criar políticas de VPN que são usadas por aplicativos específicos. Esse recurso é chamado de VPN por aplicativo. Quando o aplicativo está ativo, ele pode se conectar à VPN e acessar recursos por meio da VPN. Quando o aplicativo não está ativo, a VPN não é usada.

Para obter mais informações sobre como configurar o email, acesse o seguinte tópico:

Proteger aplicativos usando o Intune

As políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permaneçam seguros ou armazenados em um aplicativo gerenciado. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo. Um aplicativo gerenciado é um aplicativo que tem políticas de proteção de aplicativo aplicadas e que pode ser gerenciado pelo Intune.

As políticas de proteção do aplicativo para MAM (gerenciamento de aplicativo móvel) permitem gerenciar e proteger os dados da organização em um aplicativo. Muitos aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo MAM do Intune. Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.

Uma das principais maneiras pelas quais o Intune fornece segurança de aplicativo móvel é por meio de políticas. Proteção de aplicativos políticas permitem que você faça as seguintes ações:

  • Use Microsoft Entra identidade para isolar dados da organização de dados pessoais. Portanto, as informações pessoais são isoladas do reconhecimento de TI organizacional. Os dados acessados usando as credenciais da organização recebem proteção de segurança adicional.
  • Ajude a proteger o acesso em dispositivos pessoais restringindo as ações que os usuários podem tomar com dados organizacionais, como copiar e colar, salvar e exibir.
  • Crie e implante em dispositivos registrados no Intune, registrados em outro serviço de MDM (gerenciamento de dispositivo móvel) ou não registrados em nenhum serviço MDM.

Observação

Proteção de aplicativos políticas são projetadas para aplicar uniformemente em um grupo de aplicativos, como aplicar uma política em todos os aplicativos móveis do Office.

As organizações podem usar políticas de proteção de aplicativo com e sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que usa um tablet emitido pela empresa e seu próprio telefone pessoal. O tablet da empresa está registrado no MDM e protegido por políticas de proteção de aplicativo, enquanto seu telefone pessoal é protegido apenas por políticas de proteção de aplicativo.

Para obter mais informações sobre a proteção de aplicativos no Intune, acesse os seguintes tópicos:

Níveis de proteção de aplicativo

À medida que mais organizações implementam estratégias de dispositivo móvel para acessar dados escolares ou de trabalho, a proteção contra o vazamento de dados torna-se primordial. A solução de gerenciamento de aplicativos móveis do Intune para proteger contra vazamento de dados é o APP (App Protection Policies). O APP são regras que garantem que os dados de uma organização permaneçam seguros ou contidos em um aplicativo gerenciado, independentemente de o dispositivo estar registrado.

Ao configurar as Políticas de Proteção de Aplicativo, as diferentes configurações e opções disponíveis permitem que as organizações personalizem a proteção às suas necessidades específicas. Devido a essa flexibilidade, pode não ser óbvio qual permutação das configurações de política é necessária para implementar um cenário completo. Para ajudar as organizações a priorizar os esforços de endurecimento do ponto de extremidade do cliente, a Microsoft introduziu uma nova taxonomia para configurações de segurança no Windows 10, e o Intune está aproveitando uma taxonomia semelhante para sua estrutura de proteção de dados app para gerenciamento de aplicativos móveis.

A estrutura de configuração de proteção de dados do APP é organizada em três cenários de configuração distintos:

  • Proteção de dados básica empresarial de nível 1 – a Microsoft recomenda essa configuração como a configuração mínima de proteção de dados para um dispositivo corporativo.

  • Proteção de dados aprimorada da empresa de nível 2 – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados de trabalho ou escola. Alguns dos controles poderão afetar a experiência do usuário.

  • Proteção de dados alta corporativa de nível 3 – a Microsoft recomenda essa configuração para dispositivos executados por uma organização com uma equipe de segurança maior ou mais sofisticada, ou para usuários ou grupos específicos que estejam em risco exclusivamente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização que provavelmente será alvo de adversários bem financiados e sofisticados deve aspirar a essa configuração.

Proteção básica do aplicativo (nível 1)

A proteção básica do aplicativo no Intune (nível 1) é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Essa configuração substitui a necessidade de políticas básicas de acesso ao dispositivo Exchange Online, exigindo que um PIN acesse dados de trabalho ou escola, criptografando os dados da conta corporativa ou escolar e fornecendo a capacidade de apagar seletivamente os dados escolares ou de trabalho. No entanto, ao contrário Exchange Online políticas de acesso ao dispositivo, as configurações abaixo da Política de Proteção de Aplicativo se aplicam a todos os aplicativos selecionados na política, garantindo assim que o acesso a dados seja protegido além dos cenários de mensagens móveis.

As políticas no nível 1 impõem um nível razoável de acesso a dados, minimizando o impacto aos usuários e espelho as configurações padrão de proteção de dados e requisitos de acesso ao criar uma Política de Proteção de Aplicativo dentro de Microsoft Intune.

Para proteção de dados específica, requisitos de acesso e configurações de inicialização condicional para proteção básica do aplicativo, acesse o seguinte tópico:

Proteção aprimorada do aplicativo (nível 2)

A proteção aprimorada do aplicativo no Intune (nível 2) é a configuração de proteção de dados recomendada como padrão para dispositivos em que os usuários acessam informações mais confidenciais. Atualmente, esses dispositivos são um alvo natural nas empresas. Essas recomendações não assumem uma grande equipe de profissionais de segurança altamente qualificados e, portanto, devem estar acessíveis à maioria das organizações empresariais. Essa configuração se expande após a configuração no Nível 1 restringindo cenários de transferência de dados e exigindo uma versão mínima do sistema operacional.

As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1, mas lista apenas as configurações abaixo que foram adicionadas ou alteradas para implementar mais controles e uma configuração mais sofisticada do que o nível 1. Embora essas configurações possam ter um impacto um pouco maior para os usuários ou para aplicativos, elas impõem um nível de proteção de dados mais proporcional aos riscos enfrentados pelos usuários com acesso a informações confidenciais em dispositivos móveis.

Para proteção de dados específica e configurações de inicialização condicional para proteção aprimorada do aplicativo, acesse o seguinte tópico:

Alta proteção de aplicativo (nível 3)

A alta proteção de aplicativos para o Intune (nível 3) é a configuração de proteção de dados recomendada como padrão para organizações com organizações de segurança grandes e sofisticadas, ou para usuários e grupos específicos que serão direcionados exclusivamente por adversários. Essas organizações normalmente são alvo de adversários bem financiados e sofisticados e, como tal, merecem as restrições e controles adicionais descritos. Essa configuração se expande após a configuração no Nível 2 restringindo cenários adicionais de transferência de dados, aumentando a complexidade da configuração de PIN e adicionando a detecção de ameaças móveis.

As configurações de política impostas no nível 3 incluem todas as configurações de política recomendadas para o nível 2, mas lista apenas as configurações abaixo que foram adicionadas ou alteradas para implementar mais controles e uma configuração mais sofisticada do que o nível 2. Essas configurações de política podem ter um impacto potencialmente significativo para os usuários ou para aplicativos, impondo um nível de segurança proporcional aos riscos enfrentados pelas organizações de destino.

Para proteção de dados específica, requisitos de acesso e configurações de inicialização condicional para proteção básica do aplicativo, acesse o seguinte tópico:

Proteger o email do Exchange Online em dispositivos gerenciados

Você pode usar políticas de conformidade do dispositivo com o Acesso Condicional para garantir que os dispositivos da sua organização possam acessar Exchange Online email somente se eles forem gerenciados pelo Intune e usarem um aplicativo de email aprovado. Você pode criar uma política de conformidade de dispositivo do Intune para definir as condições que um dispositivo deve atender para ser considerado compatível. Você também pode criar uma política de acesso condicional Microsoft Entra que exige que os dispositivos se registrem no Intune, cumpram as políticas do Intune e usem o aplicativo móvel aprovado do Outlook para acessar Exchange Online email.

Para obter mais informações sobre como proteger Exchange Online, acesse o seguinte tópico:

Requisitos do usuário final para usar políticas de proteção do aplicativo

A lista a seguir fornece os requisitos do usuário final para usar políticas de proteção de aplicativo em aplicativos gerenciados pelo Intune incluem o seguinte:

  • O usuário final deve ter uma conta Microsoft Entra. Consulte Adicionar usuários e dê permissão administrativa ao Intune para saber como criar usuários do Intune no Microsoft Entra ID.
  • O usuário final deve ter uma licença para Microsoft Intune atribuída à sua conta Microsoft Entra. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.
  • O usuário final deve pertencer a um grupo de segurança que esteja sob uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implantadas no centro de administração Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.
  • O usuário final deve entrar no aplicativo usando sua conta Microsoft Entra.
  1. Configurar o Microsoft Intune
  2. 🡺 Adicionar, configurar e proteger aplicativos (você está aqui)
  3. Planejar políticas de conformidade
  4. Configurar recursos do dispositivo
  5. Registrar dispositivos