Acesso Condicional baseado no aplicativo com o Intune

As políticas de proteção de aplicativo do Intune funcionam com Acesso Condicional, um recurso do Azure Active Directory, para ajudar a proteger seus dados organizacionais em dispositivos que seus funcionários usam. Essas políticas funcionam em dispositivos que se registram com o Intune em dispositivos de propriedade do funcionário que não se registram.

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado.

  • Uma política de proteção de aplicativo pode ser uma regra imposta quando o usuário tenta acessar ou mover dados "corporativos" ou um conjunto de ações que são proibidas ou monitoradas quando o usuário está dentro do aplicativo.
  • Um aplicativo gerenciado é um aplicativo que possui políticas de proteção de aplicativo aplicadas e que pode ser gerenciado pelo Intune.
  • Você também pode bloquear os aplicativos de email internos no iOS/iPadOS e no Android quando permitir que apenas o aplicativo Microsoft Outlook acesse o Exchange Online. Além disso, você pode bloquear aplicativos que não possuem políticas de proteção de aplicativo do Intune aplicadas para acessar o SharePoint Online.

O Acesso Condicional baseado no aplicativo e o gerenciamento de aplicativo cliente adicionam uma camada de segurança, garantindo que apenas os aplicativos cliente que são compatíveis com as políticas de proteção do Intune possam acessar o Exchange Online e outros serviços do Microsoft 365.

Pré-requisitos

Antes de criar uma política de Acesso Condicional baseado no aplicativo é necessário ter:

  • Enterprise Mobility + Security (EMS) ou uma Assinatura Premium do Azure Active Directory (AD)
  • Os usuários devem estar licenciados para usar o EMS ou o Azure AD

Para saber mais, confira os preços do Enterprise Mobility ou os preços do Azure Active Directory.

Aplicativos com suporte

Uma lista de aplicativos que oferecem suporte ao Acesso Condicional baseado em aplicativo pode ser encontrada em Acesso Condicional: Condições na documentação do Azure Active Directory.

O Acesso Condicional baseado no aplicativo também é compatível com aplicativos de linha de negócios (LOB), mas esses aplicativos precisam usar a autenticação moderna do Microsoft 365.

Como funciona o Acesso Condicional baseado no aplicativo

Nesse exemplo, o administrador aplicou políticas de proteção de aplicativo ao aplicativo Outlook, seguidas por uma regra de Acesso Condicional que adiciona o aplicativo Outlook a uma lista aprovada de aplicativos que podem ser usados ao acessar o e-mail corporativo.

Observação

O fluxograma abaixo pode ser usado para outros aplicativos gerenciados.

Processo de Acesso Condicional baseado no aplicativo ilustrado em um fluxograma

  1. O usuário tenta autenticar no Azure AD pelo aplicativo Outlook.

  2. O usuário é redirecionado para a loja de aplicativos para instalar um aplicativo agente ao tentar se autenticar pela primeira vez. O aplicativo do agente pode ser o Microsoft Authenticator para iOS ou o portal da Empresa da Microsoft dos dispositivos Android.

    Se os usuários tentarem usar um aplicativo de email nativo, eles serão redirecionados para a loja de aplicativos para, em seguida, instalarem o Outlook.

  3. O aplicativo agente é instalado no dispositivo.

  4. O aplicativo agente inicia o processo de registro do Azure AD que cria um registro de dispositivo no Azure AD. Esse processo não é o mesmo que o do registro de MDM (gerenciamento de dispositivo móvel), mas esse registro é necessário para que as políticas de Acesso Condicional possam ser aplicadas no dispositivo.

  5. O aplicativo do agente confirma o usuário, o aplicativo e a ID do dispositivo do Azure AD. Essas informações são passadas para os servidores de entrada do Azure AD para validar o acesso ao serviço solicitado.

  6. O aplicativo do agente envia a ID do Cliente do Aplicativo ao Azure AD como parte do processo de autenticação do usuário para verificar se ele está na lista aprovada das políticas.

  7. O Azure AD permite que o usuário autentique e use o aplicativo com base na lista aprovada das políticas. Se o aplicativo não estiver na lista, o Azure AD negará o acesso ao aplicativo.

  8. O aplicativo Outlook se comunica com o Serviço de Nuvem do Outlook para iniciar a comunicação com o Exchange Online.

  9. O Serviço de Nuvem do Outlook se comunica com o Azure AD para recuperar o token de acesso do serviço Exchange Online do usuário.

  10. O aplicativo Outlook se comunica com o Exchange Online para recuperar o email corporativo do usuário.

  11. O e-mail corporativo é entregue à caixa de correio do usuário.

Próximas etapas