Descrição geral das políticas de proteção de aplicações
As políticas de proteção de aplicações (APP) são regras que garantem a segurança e o armazenamento de dados organizacionais numa aplicação gerida. Uma política pode ser uma regra que é aplicada quando o utilizador tenta aceder ou mover dados "empresariais" ou um conjunto de ações que são proibidas ou monitorizadas quando um utilizador utiliza a aplicação. Uma aplicação gerida é uma aplicação que tem políticas de proteção de aplicações aplicadas à mesma e pode ser gerida pelo Intune.
As políticas de proteção de aplicações de Gestão de Aplicações Móveis (MAM) permitem-lhe gerir e proteger os dados da sua organização numa aplicação. Com o MAM sem inscrição (MAM-WE), uma aplicação de trabalho ou relacionada com a escola que contenha dados sensíveis pode ser gerida em quase todos os dispositivos, incluindo dispositivos pessoais em cenários de bring-your-your-own-device (BYOD). Muitas aplicações de produtividade, como as aplicações do Microsoft Office, podem ser geridas pela MAM do Intune. Consulte a lista oficial de Microsoft Intune aplicações protegidas disponíveis para uso público.
Como pode proteger dados de aplicações
Os seus empregados utilizam dispositivos móveis para tarefas pessoais e profissionais. Se, por um lado, quer garantir que os seus funcionários são produtivos, por outro, quer evitar a perda de dados, intencional e não intencional. Também irá querer proteger os dados da empresa que são acedidos a partir de dispositivos que não são geridos por si.
Pode utilizar as políticas de proteção de aplicações do Intune independentemente de qualquer solução de gestão de dispositivos móveis (MDM). Esta independência ajuda-o a proteger os dados da sua empresa com ou sem inscrever dispositivos numa solução de gestão de dispositivos. Ao implementar políticas ao nível da aplicação, pode restringir o acesso aos recursos da empresa e manter os dados sob a alçada do seu departamento de TI.
Políticas de proteção de aplicações em dispositivos
As políticas de proteção de aplicações podem ser configuradas para aplicações executadas em dispositivos que estão:
Inscritos no Microsoft Intune: estes dispositivos pertencem, normalmente, à empresa.
Inscritos numa solução de gestão de dispositivos móveis (MDM) de terceiros: estes dispositivos pertencem, normalmente, à empresa.
Nota
As políticas de gestão de aplicações móveis não devem ser utilizadas com soluções de gestão de aplicações móveis ou de contentores seguros de terceiros.
Não inscrito em nenhuma solução de gestão de dispositivos móveis: Estes dispositivos são normalmente dispositivos de propriedade de empregados que não são geridos ou matriculados em Intune ou outras soluções MDM.
Importante
Pode criar políticas de gestão de aplicações móveis para Office aplicações móveis que se conectam a serviços Microsoft 365. Também pode proteger o acesso a caixas de correio Exchange no local, criando políticas de proteção de aplicações Intune para Outlook para iOS/iPadOS e Android ativados com a autenticação moderna híbrida. Antes de utilizar esta funcionalidade, certifique-se de que cumpre as Outlook para os requisitos iOS/iPadOS e Android. As políticas de proteção de aplicações não são suportadas para outras aplicações que se ligam aos serviços do SharePoint ou do Exchange no local.
Benefícios da utilização de políticas de proteção de aplicações
Os benefícios importantes da utilização das políticas de proteção de aplicações são os seguintes:
Proteger os dados da sua empresa ao nível da aplicação. Como a gestão de aplicações móveis não requer a gestão de dispositivos, pode proteger os dados da empresa nos dispositivos geridos e não geridos. A gestão centra-se na identidade do utilizador, o que elimina a necessidade de gestão de dispositivos.
A produtividade do utilizador final não é afetada e as políticas não são aplicadas quando a aplicação for utilizada num contexto pessoal. As políticas são aplicadas apenas num contexto profissional, o que lhe permite proteger os dados da empresa sem afetar os dados pessoais.
As políticas de proteção de aplicações garantem que as proteções da camada de aplicação estão em vigor. Pode, por exemplo:
- Exigir um PIN para abrir uma aplicação num contexto de trabalho
- Controlar a partilha de dados entre aplicações
- Impedir a gravação de dados empresariais da aplicação numa localização de armazenamento pessoal
O MDM, além do MAM, assegura-se de que o dispositivo está protegido. Por exemplo, pode exigir um PIN para aceder ao dispositivo ou pode implementar aplicações geridas no mesmo. Também pode implementar aplicações em dispositivos através da sua solução de MDM, para obter maior controlo sobre a gestão de aplicações.
A utilização da MDM com políticas de proteção de aplicações tem outras vantagens e as empresas podem utilizar as políticas de proteção de aplicações com ou sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que utiliza os um telemóvel atribuído pela empresa e o seu próprio tablet pessoal. O telemóvel da empresa está inscrito na MDM e protegido por políticas de proteção de aplicações, ao passo que o dispositivo pessoal está protegido apenas por políticas de proteção de aplicações.
Se aplicar uma política MAM ao utilizador sem definir o estado do dispositivo, o utilizador obterá a política MAM tanto no dispositivo BYOD como no dispositivo gerido pelo Intune. Também pode aplicar uma política de MAM com base no estado gerido. Assim, quando criar uma política de proteção de aplicações, ao lado do Target para todos os tipos de aplicações, seleciona O. Em seguida, faça qualquer um dos seguintes:
- Aplique uma política de MAM menos rigorosa aos dispositivos geridos pela Intune e aplique uma política de MAM mais restritiva a dispositivos não matriculados com MDM.
- Aplicar uma política de MAM apenas para dispositivos não enrolados.
Plataformas suportadas das políticas de proteção de aplicações
O Intune oferece várias funcionalidades para o ajudar a obter as aplicações de que precisa, nos dispositivos nos quais quer executá-las. Para obter mais informações, consulte as capacidades de gestão da App por plataforma.
O suporte da plataforma de políticas de proteção de aplicações Intune alinha-se com Office suporte da plataforma de aplicações móveis para dispositivos Android e iOS/iPadOS. Para obter detalhes, veja a secção Aplicações móveis de Requisitos de Sistema do Office.
Importante
O Portal da Empresa do Intune é necessário no dispositivo para receber políticas de proteção de aplicações no Android. Para obter mais informações, veja os Requisitos das aplicações de acesso ao Portal da Empresa do Intune.
Quadro de proteção de dados da política de proteção de aplicações
As escolhas disponíveis nas políticas de proteção de aplicações (APP) permitem às organizações adaptar a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais as definições políticas necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar o endurecimento do ponto final do cliente móvel, a Microsoft introduziu a taxonomia para o seu quadro de proteção de dados APP para a gestão de aplicações móveis iOS e Android.
O quadro de proteção de dados da APP está organizado em três níveis distintos de configuração, com cada nível a construir fora do nível anterior:
- A proteção de dados básica de Empresas (Nível 1) garante que as aplicações são protegidas e encriptadas e desempenha operações de limpeza seletiva. Para dispositivos Android, este nível valida o atestado de dispositivo Android. Esta é uma configuração de nível de entrada que fornece um controlo semelhante de proteção de dados em políticas Exchange Online caixa de correio e introduz a TI e a população utilizadora à APP.
- A proteção de dados melhorada da empresa (Nível 2) introduz mecanismos de prevenção de fugas de dados da APP e requisitos mínimos de SO. Trata-se da configuração que é aplicável à maioria dos utilizadores móveis que acedem a dados profissionais ou escolares.
- A alta proteção de dados da empresa (Nível 3) introduz mecanismos avançados de proteção de dados, configuração PIN melhorada e APP Mobile Threat Defense. Esta configuração é recomendada para utilizadores que estão a aceder a dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e as aplicações mínimas que devem ser protegidas, reveja o quadro de proteção de dados utilizando políticas de proteção de aplicações.
Como as políticas de proteção de aplicações protegem os dados das aplicações
Aplicações sem políticas de proteção de aplicações
Quando as aplicações são utilizadas sem restrições, os dados pessoais e da empresa podem confundir-se. Os dados da empresa podem acabar em localizações como um armazenamento pessoal ou ser transferidos para aplicações fora da sua competência e que resulta em perda de dados. As setas do diagrama seguinte mostram movimento de dados ilimitado entre aplicações corporativas e pessoais, e locais de armazenamento.
Proteção de dados com políticas de proteção de aplicações (APP)
Pode utilizar as políticas de proteção da App para evitar que os dados da empresa sejam guardados para o armazenamento local do dispositivo (ver a imagem abaixo). Também pode restringir o movimento de dados para outras aplicações que não estão protegidas pelas Políticas de proteção de aplicações. As definições de políticas de proteção de aplicações incluem:
- Políticas de deslocalização de dados como Guardar cópias de dados org, e restringir o corte, cópia e pasta.
- Definições de política de acesso, como Exigir PIN simples para o acesso e Bloquear execução de aplicações geridas em dispositivos desbloqueados por jailbreak ou rooting.
Proteção de dados com APP em dispositivos geridos por uma solução MDM
A ilustração abaixo mostra as camadas de proteção que as políticas de proteção do MDM e da App oferecem em conjunto.
A solução MDM acrescenta valor, fornecendo o seguinte:
- Inscreve o dispositivo
- Implementa as aplicações no dispositivo
- Fornece gestão e conformidade dos dispositivos contínuas
As políticas de proteção da App acrescentam valor, fornecendo o seguinte:
- Ajude a proteger os dados da empresa de fugas de informação para aplicações e serviços de consumo
- Aplicar restrições como save-as, clipboard, ou PIN, para aplicações de clientes
- Limpe os dados da empresa quando necessário de apps sem remover essas aplicações do dispositivo
Proteção de dados com APP para dispositivos sem inscrição
O diagrama seguinte ilustra como as políticas de proteção de dados funcionam ao nível da aplicação sem MDM.
Nos dispositivos BYOD não inscritos em nenhuma solução de MDM, as políticas de proteção de aplicações podem ajudar a proteger os dados da empresa ao nível da aplicação. No entanto, existem algumas limitações a ter em conta, tais como:
- Não pode implementar aplicações no dispositivo. O utilizador final tem de obter as aplicações na loja.
- Não pode aprovisionar perfis de certificado nestes dispositivos.
- Não pode aprovisionar definições de Wi-Fi nem de VPN da empresa nestes dispositivos.
Aplicações que pode gerir com as políticas de proteção de aplicações
Qualquer aplicação que tenha sido integrada com o Intune SDK ou embrulhada pelo Intune App Wrapping Tool pode ser gerida usando políticas de proteção de aplicações Intune. Consulte a lista oficial de Microsoft Intune aplicações protegidas que foram construídas usando estas ferramentas e estão disponíveis para uso público.
A equipa de desenvolvimento intune SDK testa e mantém suporte para aplicações construídas com as plataformas nativas Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Embora alguns clientes tenham tido sucesso com a integração do Intune SDK com outras plataformas, como React Native e NativeScript, não fornecemos orientações explícitas ou plugins para desenvolvedores de aplicações usando qualquer outra coisa que não as nossas plataformas suportadas.
Requisitos do utilizador final para usar políticas de proteção de aplicações
A lista que se segue fornece os requisitos do utilizador final para utilizar as políticas de proteção de aplicações numa aplicação gerida pelo Intune:
O utilizador final deve ter uma conta Azure Ative Directory (Azure AD). Veja Adicionar utilizadores e conceder permissões administrativas no Intune para saber como criar utilizadores do Intune no Azure Active Directory.
O utilizador final tem de ter uma licença para o Microsoft Intune atribuída à conta do Azure Active Directory dele. Veja Gerir licenças do Intune para saber como atribuir licenças do Intune aos utilizadores finais.
O utilizador final tem de pertencer a um grupo de segurança visado por uma política de proteção de aplicações. A mesma política de proteção de aplicações tem de abranger a aplicação específica em utilização. As políticas de proteção de aplicações podem ser criadas e implementadas no centro de administração Microsoft Endpoint Manager. Atualmente, os grupos de segurança podem ser criadosno centro de administração do Microsoft 365 .
O utilizador final deve inscrever-se na aplicação utilizando a sua conta Azure AD.
Políticas de proteção de aplicativos para aplicações Microsoft Office
Existem alguns requisitos adicionais que pretende estar atento ao utilizar as políticas de proteção de Aplicações com aplicações Microsoft Office.
Outlook aplicativo móvel
Os requisitos adicionais para a utilização da aplicação móvel Outlook incluem:
O utilizador final tem de ter a aplicação Outlook para dispositivos móveis instalada no dispositivo dele.
O utilizador final deve ter uma caixa de correio Microsoft 365 Exchange Online e uma licença ligada à sua conta Azure Ative Directory.
Nota
Atualmente, a aplicação Outlook para dispositivos móveis só suporta a Proteção de Aplicações do Intune para o Microsoft Exchange Online e o Exchange Server com autenticação moderna híbrida e não suporta o Exchange no Office 365 Dedicated.
Palavra, Excel e PowerPoint
Os requisitos adicionais para a utilização das aplicações Word, Excel e PowerPoint incluem os seguintes:
O utilizador final deve ter uma licença para Microsoft 365 Apps para Pequenas e Médias Empresas ou empresa ligada à sua conta Azure Ative Directory. A subscrição tem de incluir as aplicações do Office para dispositivos móveis e pode incluir uma conta de armazenamento na cloud com o OneDrive para Empresas. Microsoft 365 licenças podem ser atribuídas no centro de administração do Microsoft 365 seguindo estas instruções.
O utilizador final deve ter uma localização gerida configurada utilizando a poupança granular como funcionalidade sob a definição da política de proteção de aplicações "Guardar cópias de dados org". Por exemplo, se a localização gerida for o OneDrive, a aplicação OneDrive deverá ser configurada na aplicação Word, Excel ou PowerPoint do utilizador final.
Se a localização gerida for o OneDrive, a aplicação terá de ser visada pela política de proteção de aplicações implementada para o utilizador final.
Nota
Atualmente, as aplicações do Office para dispositivos móveis só suportam o SharePoint Online e não o SharePoint no local.
Localização gerida necessária para Office
Para Office é necessária uma localização gerida (isto é, OneDrive). A Intune marca todos os dados da app como "corporativos" ou "pessoais". Os dados são considerados "empresariais" quando provêm de uma localização empresarial. Para as aplicações do Office, o Intune considera as seguintes localizações como localizações empresariais: e-mail (Exchange) ou armazenamento da cloud (aplicação OneDrive com uma conta do OneDrive para Empresas).
Skype para Empresas
Existem requisitos adicionais para utilizar Skype para Empresas. Veja os requisitos de licença do Skype para Empresas. Para configurações híbridas e on-prem Skype para Empresas (SfB), consulte Hybrid Modern Auth for SfB e Exchange vai GA e Modern Auth para SfB OnPrem com Ad AD,respectivamente.
Política Global de proteção de aplicações
Se um administrador OneDrive navegar para admin.onedrive.com e selecionar o acesso ao Dispositivo, podem definir os controlos de gestão de aplicações móveis nas aplicações de clientes OneDrive e SharePoint.
As definições, disponibilizadas para a consola de administração do OneDrive, configuram uma política de proteção de aplicações do Intune especial denominada política Global. Esta política global aplica-se a todos os utilizadores no seu inquilino e não existe nenhuma forma de controlar a segmentação da política.
Uma vez ativadas, as aplicações OneDrive e SharePoint para iOS/iPadOS e Android estão protegidas com as definições selecionadas por padrão. Um profissional de TI pode editar esta política na consola do Intune para adicionar mais aplicações segmentadas e para modificar qualquer definição de política.
Por predefinição, só pode existir uma política Global por inquilino. No entanto, pode utilizar Graph APIs do Intune para criar políticas globais adicionais por inquilino, mas não é recomendado. A criação de políticas globais extra não é recomendada porque a resolução de problemas da implementação de tal política pode tornar-se complicada.
Embora a política Global se aplique a todos os utilizadores no seu inquilino, qualquer política de proteção de aplicações padrão do Intune substituirá estas definições.
Nota
As definições de política no OneDrive Centro de Administração já não estão a ser atualizadas. Em vez disso, o Microsoft Enpoint Manager pode ser utilizado. Para obter mais informações, consulte o Controlo de acesso às funcionalidades nas aplicações móveis OneDrive e SharePoint.
Funcionalidades de proteção de aplicações
Várias identidades
O suporte multi-identidade permite que uma aplicação suporte vários públicos. Estes públicos são utilizadores "corporativos" e utilizadores "pessoais". O trabalho e as contas escolares são utilizados por públicos "corporativos", enquanto as contas pessoais seriam utilizadas para o público dos consumidores, como Microsoft Office utilizadores. Uma aplicação que suporte multi-identidade pode ser lançada publicamente, onde as políticas de proteção de aplicações só se aplicam quando a app é usada no contexto do trabalho e da escola ("corporate"). O suporte multi-identidade utiliza o Intune SDK para aplicar apenas políticas de proteção de aplicações ao trabalho ou conta escolar assinada na app. Se uma conta pessoal tiver sessão iniciada na aplicação, os dados permanecem inalterados. As políticas de proteção de aplicações podem ser usadas para impedir a transferência de dados de contas de trabalho ou de conta escolar para contas pessoais dentro da app multi-identidade, contas pessoais dentro de outras apps ou aplicações pessoais.
Para um exemplo de contexto "pessoal", considere um utilizador que inicia um novo documento no Word, este é considerado um contexto pessoal para que as políticas de Proteção de Aplicações Intune não sejam aplicadas. Uma vez que o documento é guardado na conta de OneDrive "corporativa", então é considerado o contexto "corporativo" e as políticas de Proteção de Aplicações Intune são aplicadas.
Considere os seguintes exemplos para o contexto de trabalho ou "corporativo":
- Um utilizador inicia a aplicação OneDrive utilizando a sua conta de trabalho. No contexto de trabalho, não pode mover ficheiros para uma localização de armazenamento pessoal. Posteriormente, quando utiliza o OneDrive com a sua conta pessoal, pode copiar e mover dados dos seus OneDrive pessoais, sem restrições.
- Um utilizador começa a escrever um e-mail na aplicação Outlook. Uma vez que o sujeito ou o corpo de mensagens são povoados, o utilizador não pode mudar o endereço FROM do contexto de trabalho para o contexto pessoal, uma vez que o sujeito e o corpo de mensagens estão protegidos pela política de Proteção de Aplicações.
Nota
Outlook tem uma visão combinada de e-mails tanto "pessoais" como "corporativos". Nesta situação, a aplicação Outlook solicita o INTUNE PIN no lançamento.
Importante
Embora edge esteja em contexto "corporativo", os utilizadores podem mover-se intencionalmente OneDrive ficheiros de contexto "corporativos" para um local de armazenamento de nuvem pessoal desconhecido. Para evitar isto, consulte Gerir sites restritos e configurar a lista de sites permitido/bloqueado para Edge.
Intune app PIN
O Número de Identificação Pessoal (PIN) é um código de acesso utilizado para verificar que o utilizador certo está a aceder aos dados da organização numa aplicação.
Pedido PIN
O Intune só pede ao utilizador para introduzir o PIN da aplicação quando o mesmo quiser aceder aos dados "empresariais". Em aplicações multi-identidade como o Word, Excel ou PowerPoint, o utilizador é solicitado para o seu PIN quando tenta abrir um documento ou ficheiro "corporativo". Em aplicações de identidade única, como aplicações de linha de negócio geridas através do Intune App Wrapping Tool,o PIN é solicitado no lançamento, porque o Intune SDK sabe que a experiência do utilizador na app é sempre "corporativa".
Pontuação PIN, ou solicitação de credencial corporativa, frequência
O administrador de TI pode definir a definição da política de proteção de aplicações Intune Rever verificar os requisitos de acesso após (minutos) na consola de administração Intune. Esta definição especifica o tempo antes de os requisitos de acesso serem verificados no dispositivo, e o ecrã PIN da aplicação, ou a solicitação de credencial corporativa, é novamente mostrado. Contudo, os detalhes importantes sobre o PIN que afetam a frequência de solicitação do utilizador incluem:
- O PIN é partilhado entre aplicações da mesma editora para melhorar a usabilidade:
No iOS/iPadOS, uma aplicação PIN é partilhada entre todas as aplicações da mesma editora de aplicações. Por exemplo, todas as aplicações da Microsoft partilham o mesmo PIN. No Android, um PIN da aplicação é partilhado entre todas as aplicações. - Rever os requisitos de acesso após (minutos) comportamento após o reboot do dispositivo:
Um temporizador rastreia o número de minutos de inatividade que determinam quando mostrar o PIN da aplicação Intune, ou o pedido de credencial corporativa a seguir. No iOS/iPadOS, o temporizador não é afetado pelo reboot do dispositivo. Assim, o reboot do dispositivo não tem qualquer efeito no número de minutos que o utilizador esteve inativo a partir de uma aplicação iOS/iPadOS com a política Intune PIN (ou credencial corporativa) direcionada. No Android, o temporizador é reiniciado no reboot do dispositivo. Como tal, as aplicações Android com a política Intune PIN (ou credencial corporativa) provavelmente solicitarão um PIN de aplicação, ou uma solicitação de credencial corporativa, independentemente do valor de definição de 'Recheck' após (minutos)' de definição de valor após o reboot do dispositivo . - A natureza ondulante do temporizador associado ao PIN:
Uma vez introduzido um PIN para aceder a uma aplicação (app A), e a aplicação deixa o primeiro plano (foco principal de entrada) no dispositivo, o temporizador é reiniciado para esse PIN. Não será pedido nenhum PIN às aplicações (aplicação B) que partilhem este PIN, uma vez que o temporizador foi reposto. O pedido aparecerá novamente depois de o valor “Reverificar os requisitos de acesso após (minutos)” ter sido atingido.
No caso dos dispositivos iOS/iPadOS, mesmo que o PIN seja partilhado entre aplicações de diferentes editoras, a solicitação voltará a aparecer quando o recheck os requisitos de acesso após (minutos) o valor for novamente cumprido para a app que não é o principal foco de entrada. Por exemplo, um utilizador tem a aplicação A do publicador X e a aplicação B do publicador Y e essas duas aplicações partilham o mesmo PIN. O utilizador está concentrado na aplicação A (primeiro plano) e a aplicação B está minimizada. O PIN seria necessário depois de o valor Reverificar os requisitos de acesso após (minutos) ser alcançado e de o utilizador mudar para a aplicação B.
Nota
Para verificar os requisitos de acesso do utilizador com mais frequência (ou seja, o pedido de PIN), especialmente para uma aplicação utilizada com frequência, é recomendado reduzir o valor da definição “Reverificar os requisitos de acesso após (minutos)”.
APLICATIVOS incorporados PARA Outlook e OneDrive
O INTUNe PIN funciona com base num temporizador baseado em inatividade (o valor de rever os requisitos de acesso após (minutos)). Como tal, os pedidos de PIN do Intune são apresentados de forma independente dos pedidos de PIN de aplicação incorporados para o Outlook e OneDrive, que normalmente estão associados à inicialização da aplicação por predefinição. Se o utilizador receber ambos os pedidos de PIN ao mesmo tempo, o comportamento esperado deverá ser o de que o PIN do Intune tem precedência.
Segurança PIN intune
O PIN serve para garantir que só o utilizador correto consegue aceder aos dados da respetiva organização na aplicação. Por conseguinte, o utilizador final tem de iniciar sessão com a conta profissional ou escolar para poder definir ou repor o PIN da aplicação Intune. Esta autenticação é tratada por Azure Ative Directory através de troca de fichas seguras e não é transparente para o Intune SDK. No que diz respeito à segurança, a melhor forma de proteger os seus dados profissionais ou escolares é encriptá-los. A encriptação não está relacionada com o PIN da aplicação, mas é a própria política de proteção da aplicação.
Proteção contra ataques de força bruta e o PIN Intune
Como parte da política de PIN da aplicação, o administrador de TI pode definir o número máximo de vezes que um utilizador pode tentar autenticar o respetivo PIN antes de bloquear a aplicação. Após o número de tentativas ter sido atingido, o Intune SDK pode eliminar os dados "corporativos" na aplicação.
PIN intune e uma limpeza seletiva
No iOS/iPadOS, a informação PIN de nível de aplicação é armazenada no chaveiro que é partilhado entre aplicações com o mesmo editor, como todas as aplicações da Microsoft de primeira parte. Esta informação PIN também está ligada a uma conta de utilizador final. Uma limpeza seletiva de uma aplicação não deve afetar uma aplicação diferente.
Por exemplo, um conjunto PIN para Outlook para o utilizador assinado no utilizador é armazenado num porta-chaves partilhado. Quando o utilizador entrar em OneDrive (também publicado pela Microsoft), verá o mesmo PIN que Outlook uma vez que utiliza o mesmo porta-chaves partilhado. Ao assinar Outlook ou limpar os dados do utilizador em Outlook, o Intune SDK não esclarece que o chaveiro porque OneDrive ainda pode estar a usar esse PIN. Por isso, as toalhetes seletivas não limpam o chaveiro partilhado, incluindo o PIN. Este comportamento permanece o mesmo mesmo se existir apenas uma aplicação de uma editora no dispositivo.
Uma vez que o PIN é partilhado entre apps com a mesma editora, se a limpeza for para uma única aplicação, o Intune SDK não sabe se existem outras aplicações no dispositivo com a mesma editora. Assim, o Intune SDK não limpa o PIN, uma vez que ainda pode ser usado para outras aplicações. A expectativa é que o PIN da aplicação seja eliminado quando a última aplicação daquele editor for eventualmente removida como parte de alguma limpeza de SO.
Se observar o PIN a ser limpo em alguns dispositivos, é provável que o PIN esteja ligado a uma identidade, se o utilizador assinar com uma conta diferente após uma limpeza, será solicitado que introduza um novo PIN. No entanto, se iniciarem scontabilidade com uma conta anteriormente existente, um PIN armazenado no chaveiro já pode ser usado para iniciar sing.
Definir um PIN duas vezes em aplicações da mesma editora?
Atualmente, o MAM (no iOS/iPadOS) permite que PIN de nível de aplicação com caracteres alfanuméricos e especiais (chamado 'código de acesso') que requer a participação de aplicações (isto é, WXP, Outlook, Navegador Gerido, Yammer) para integrar o SDK Intune para iOS. Caso contrário, as definições do código de acesso não são impostas corretamente nas aplicações visadas. Esta funcionalidade foi lançada com o SDK do Intune para iOS v. 7.1.12.
Para suportar esta funcionalidade e garantir a retrocompatibilidade com as versões anteriores do Intune SDK para iOS/iPadOS, todas as PINs (ou numéricas ou códigos de acesso) em 7.1.12+ são manuseadas separadamente do PIN numérico em versões anteriores do SDK. Como tal, se um dispositivo tiver aplicações com o SDK do Intune para versões do iOS anteriores à 7.1.12 E posteriores à 7.1.12 do mesmo publicador, terá de configurar dois PINs. As duas PINs (para cada app) não estão de forma alguma relacionadas (ou seja, devem aderir à política de proteção de aplicações que é aplicada à app). Como tal, só se as aplicações A e B tiverem as mesmas políticas aplicadas (no que diz respeito ao PIN), o utilizador pode configurar o mesmo PIN duas vezes.
Este comportamento é específico do PIN nas aplicações iOS/iPadOS que são ativadas com a Intune Mobile App Management. Com o passar do tempo, à medida que as aplicações adotam versões posteriores do Intune SDK para iOS/iPadOS, ter de definir um PIN duas vezes em apps da mesma editora torna-se menos um problema. Veja a nota abaixo para obter um exemplo.
Nota
Por exemplo, se a aplicação A for construída com uma versão anterior a 7.1.12 e a aplicação B for construída com uma versão superior ou igual a 7.1.12 da mesma editora, o utilizador final terá de configurar piNs separadamente para A e B se ambos forem instalados num dispositivo iOS/iPadOS.
Se uma aplicação C que tenha a versão SDK 7.1.9 for instalada no dispositivo, partilhará o mesmo PIN que a aplicação A. Uma aplicação D construída com 7.1.14 partilhará o mesmo PIN que a aplicação B.
Se apenas as aplicações A e C estiverem instaladas num dispositivo, será preciso definir um PIN. O mesmo se aplica se apenas as aplicações B e D estiverem instaladas num dispositivo.
Encriptação de dados de aplicativos
Os administradores de TI podem implementar uma política de proteção de aplicações que exija a encriptação dos dados da aplicação. Como parte da política, o administrador de TI também pode especificar a altura em que os conteúdos são encriptados.
Como é que o processo de encriptação de dados do Intune é o processo de encriptação dos dados
Consulte as definições da política de proteção de aplicações android e as definições da política de proteção de aplicações iOS/iPadOS para obter informações detalhadas sobre a definição da política de proteção de aplicações de encriptação.
Dados encriptados
Só os dados marcados como "empresariais" são encriptados de acordo com a política de proteção de aplicações do administrador de TI. Os dados são considerados "empresariais" quando provêm de uma localização empresarial. Para as Office aplicações, a Intune considera os seguintes locais de negócio:
- E-mail (Exchange)
- Armazenamento em nuvem (OneDrive app com uma conta OneDrive para Empresas)
Para aplicações de linha de negócio geridas pelo Intune App Wrapping Tool, todos os dados da aplicação são considerados "corporativos".
Eliminação seletiva
Limpar remotamente dados
Intune pode limpar dados de aplicativos de três maneiras diferentes:
- Limpeza completa do dispositivo
- Limpeza seletiva para MDM
- Limpeza seletiva do MAM
Para obter mais informações sobre a limpeza remota da MDM, veja Remove devices by using wipe or retire (Remover dispositivos através da limpeza ou extinção). Para obter mais informações sobre a limpeza seletiva através da MAM, veja a ação Extinguir e Como eliminar apenas dados empresariais de aplicações.
A limpeza completa do dispositivo remove todos os dados e configurações do utilizador do dispositivo, devolvendo o dispositivo às definições predefinidas da sua fábrica. O dispositivo é removido do Intune.
Nota
A limpeza total do dispositivo e a limpeza seletiva para o MDM só podem ser alcançadas em dispositivos matriculados com a gestão de dispositivos móveis Intune (MDM).
Limpeza seletiva para MDM
Veja a secção Remover dispositivos – extinguir para ler mais sobre a remoção dos dados da empresa.
Limpeza seletiva para MAM
A eliminação seletiva para MAM simplesmente remove os dados da aplicação da empresa de uma aplicação. O pedido é iniciado com o Intune. Para saber como iniciar um pedido de eliminação, veja o artigo Como eliminar apenas os dados empresariais das aplicações.
Se o utilizador estiver a utilizar a aplicação quando for iniciada uma limpeza seletiva, o Intune SDK verifica a cada 30 minutos um pedido de limpeza seletiva do serviço Intune MAM. Também verifica a existência de pedidos de eliminação seletiva quando o utilizador inicia a aplicação pela primeira vez e inicia sessão com a conta profissional ou escolar.
Quando os serviços on-in-prem (on-prem) não funcionam com aplicações protegidas intune
A proteção da aplicação Intune depende da identidade do utilizador para ser consistente entre a aplicação e o Intune SDK. A única forma de o garantir é através da autenticação moderna. Existem cenários onde aplicações podem funcionar com uma configuração no local, mas não é garantido e nem consistente.
Forma segura de abrir links web a partir de apps geridas
O administrador de TI pode implementar e definir a política de proteção de aplicações para Microsoft Edge,um navegador web que pode ser gerido facilmente com o Intune. O administrador de TI pode exigir que todas as ligações web em aplicações geridas pelo Intune sejam abertas usando um navegador gerido.
Experiência de proteção de aplicações para dispositivos iOS
Impressão digital do dispositivo ou identificação facial
As políticas de proteção de aplicações do Intune permitem o controlo sobre o acesso da aplicação apenas ao utilizador licenciado do Intune. Uma das formas de controlar o acesso à aplicação é exigir o Touch ID ou o Face ID da Apple nos dispositivos suportados. O Intune implementa um comportamento em que se houver qualquer alteração à base de dados biométricos do dispositivo, o Intune pede ao utilizador um PIN quando atingir o valor do tempo limite de inatividade seguinte. As alterações a dados biométricos incluem a adição ou remoção de uma impressão digital ou de um rosto. Se o utilizador do Intune não tiver um PIN definido, este é direcionado para configurar um PIN do Intune.
A intenção deste processo é continuar a manter os dados da sua organização dentro da app seguros e protegidos ao nível da aplicação. Esta funcionalidade está disponível apenas para iOS/iPadOS, e requer a participação de aplicações que integrem o Intune SDK para iOS/iPadOS, versão 9.0.1 ou posterior. Precisa da integração do SDK para que o comportamento possa ser imposto nas aplicações de destino. Esta integração decorre de forma gradual e está dependente das equipas específicas da aplicação. Algumas aplicações participantes incluem: WXP, Outlook, Managed Browser e Yammer.
extensão de partilha do iOS
Pode utilizar a extensão de partilha iOS/iPadOS para abrir dados de trabalho ou escola em aplicações não geridas, mesmo com o conjunto de políticas de transferência de dados apenas para aplicações geridas ou sem aplicações. A política de proteção de aplicações Intune não pode controlar a extensão de partilha iOS/iPadOS sem gerir o dispositivo. Por isso, o Intune encripta os dados "empresariais" antes de estes serem partilhados fora da aplicação. Pode validar este comportamento de encriptação tentando abrir um ficheiro "corporativo" fora da aplicação gerida. O ficheiro deve estar encriptado e não deve ser possível abri-lo fora da aplicação gerida.
Suporte de links universais
Por predefinição, as políticas de proteção de aplicações Intune impedirão o acesso a conteúdos de aplicações não autorizados. No iOS/iPadOS, existe funcionalidade para abrir conteúdo ou aplicações específicas utilizando Links Universais.
Os utilizadores podem desativar as Ligações Universais de uma aplicação visitando-as no Safari e selecionando Open in New Tab ou Open. Para o utilizador Universal Links com políticas de proteção de aplicações Intune, é importante ree capacitar os links universais. O utilizador final teria de fazer um Open em nome da < aplicação> no Safari depois de ter pressionado um link correspondente. Isto deve levar qualquer aplicação protegida adicional a encaminhar todas as Ligações Universais para a aplicação protegida no dispositivo.
Várias definições de acesso à proteção de aplicações Intune para o mesmo conjunto de apps e utilizadores
As políticas de proteção de aplicações Intune para acesso serão aplicadas numa ordem específica em dispositivos de utilizador final, uma vez que tentam aceder a uma aplicação direcionada a partir da sua conta corporativa. Em geral, uma limpeza teria precedência, seguida de um bloqueio e de um aviso que pode ser dispensado. Por exemplo, se aplicável ao utilizador/app específico, uma definição mínima do sistema operativo iOS/iPadOS que avisa um utilizador para atualizar a sua versão iOS/iPadOS será aplicada após a definição mínima do sistema operativo iOS/iPadOS que bloqueia o acesso do utilizador. Portanto, no cenário em que o administrador de TI configura o sistema operativo iOS mínimo para 11.0.0.0 e o sistema operativo iOS mínimo (apenas Aviso) para 11.1.0.0, embora o dispositivo que tentava aceder à aplicação tivesse o iOS 10, o utilizador final seria bloqueado com base na definição mais restrita de versão mínima de sistema operativo iOS que resulta num bloqueio do acesso.
Ao lidar com diferentes tipos de configurações, um requisito de versão Intune SDK teria precedência, em seguida, um requisito de versão de aplicação, seguido do requisito de versão do sistema operativo iOS/iPadOS. Em seguida, são verificados os avisos de todos os tipos de definições na mesma ordem. Recomendamos que o requisito da versão Intune SDK seja configurado apenas mediante orientação da equipa de produtos Intune para cenários essenciais de bloqueio.
Experiência de proteção de aplicativos para dispositivos Android
Nota
As políticas de proteção de aplicações não são suportadas em dispositivos dedicados android enterprise geridos pela Intune. Se os seus utilizadores em dispositivos dedicados android Enterprise tiverem políticas de APP aplicadas a outro dispositivo, então você vai querer dar os seguintes passos:
Certifique-se de que os dispositivos que pretende serem apenas dispositivos dedicados geridos pela Intune. A política do bloco não faz efeito se o dispositivo for gerido por um provedor de MDM de 3ª parte.
Certifique-se de que Portal da Empresa está instalado no dispositivo dedicado. Isto é necessário para que a política de blocos app entre em vigor. Não é necessária qualquer interação com o utilizador final na Portal da Empresa aplicação em dispositivos dedicados para bloquear a funcionalidade APP, pelo que não existe qualquer requisito para tornar a Portal da Empresa aplicação lançada pelos utilizadores finais. A Portal da Empresa simplesmente precisa de ser instalada no dispositivo. Por exemplo, não precisa de permitir a lista no topo do Ecrã Principal Gerido.
Note que os utilizadores direcionados com políticas de APP em dispositivos não dedicados não serão afetados.
Autenticação biométrica do dispositivo
Para dispositivos Android que suportem a autenticação biométrica, é possível permitir que os utilizadores finais utilizem impressões digitais ou Face Unlock, dependendo do suporte do seu dispositivo Android. Pode configurar se todos os tipos biométricos além da impressão digital podem ser usados para autenticar. Note que as impressões digitais e o Face Unlock só estão disponíveis para dispositivos fabricados para suportar estes tipos biométricos e estão a executar a versão correta do Android. O Android 6 e superior é necessário para impressão digital, e o Android 10 e superior é necessário para o Face Unlock.
Portal da Empresa app e proteção de aplicativos Intune
Uma grande parte da funcionalidade de proteção de aplicações está incorporada na aplicação Portal da Empresa. A inscrição no dispositivo não é necessária, mesmo que a aplicação Portal da Empresa seja sempre necessária. Para a gestão de aplicações móveis sem inscrição (MAM-WE), o utilizador final apenas precisa de ter a Portal da Empresa aplicação instalada no dispositivo.
Várias definições de acesso à proteção de aplicações Intune para o mesmo conjunto de apps e utilizadores
As políticas de proteção de aplicações Intune para acesso serão aplicadas numa ordem específica em dispositivos de utilizador final, uma vez que tentam aceder a uma aplicação direcionada a partir da sua conta corporativa. Em geral, um bloqueio teria precedência, seguido de um aviso que pode ser dispensado. Por exemplo, se aplicável ao utilizador/aplicação específico, uma definição mínima de versão de patch do Android que avisa um utilizador para atualizar o patch será aplicada após a definição mínima de versão de patch do Android bloquear o acesso do utilizador. Portanto, no cenário em que o administrador de TI configura a versão mínima de patch do Android para 2018-03-01 e a versão mínima de patch do Android (apenas Aviso) para 2018-02-01, embora o dispositivo que tentava aceder à aplicação tivesse a versão de patch 2018-01-01, o utilizador final seria bloqueado com base na definição mais restrita de versão mínima de patch do Android que resulta num bloqueio do acesso.
Ao lidar com diferentes tipos de definições, um requisito de versão de aplicação teria precedência, seguido do requisito de versão de sistema operativo Android e do requisito de versão de patch do Android. Em seguida, são verificados os avisos de todos os tipos de definições na mesma ordem.
Políticas de proteção de aplicações intune e atestado safetyNet da Google para dispositivos Android
As políticas de proteção de aplicações Intune fornecem a capacidade para os administradores exigirem dispositivos de utilizador final para passar em Atestado SafetyNet da Google para dispositivos Android. Uma nova determinação do serviço Google Play será reportada ao administrador de TI num intervalo determinado pelo serviço Intune. A frequência com que a chamada de serviço é feita é acelerada devido à carga, pelo que este valor é mantido internamente e não é configurável. Qualquer ação configurada de TI para a definição de Atestado Google SafetyNet será tomada com base no último resultado reportado ao serviço Intune no momento do lançamento condicional. Se não houver dados, o acesso será permitido dependendo de nenhuma outra falha condicional de verificação de lançamento, e o Google Play Service "ida e volta" para determinar os resultados da estação de atestação começará no backend e solicitará ao utilizador assíncronamente se o dispositivo tiver falhado. Se houver dados antigos, o acesso será bloqueado ou permitido dependendo do último resultado reportado, e da mesma forma, começará uma "ida e volta" do Google Play Service para determinar os resultados do atestado e solicitará ao utilizador assíncronamente se o dispositivo tiver falhado.
Intune apps protection policies and Google's Check Apps API for Android devices
As Políticas de Proteção de Aplicações Intune fornecem a capacidade para os administradores exigirem que os dispositivos do utilizador final enviem sinais através da API de Aplicações de Verificação da Google para dispositivos Android. As instruções sobre como fazê-lo variam ligeiramente por dispositivo. O processo geral envolve ir à Google Play Store, clicando depois nas minhas aplicações & jogos, clicando no resultado da última aplicação que o levará ao menu Play Protect. Certifique-se de que o dispositivo de verificação para ameaças de segurança está ligado.
API de Attestation SafetyNet da Google
Intune aproveita o Google Play Protect SafetyNet APIs para adicionar às nossas verificações de deteção de raiz existentes para dispositivos não enrolados. A Google desenvolveu e manteve este conjunto de API para que as aplicações android adotassem caso não quisessem que as suas apps fossem executadas em dispositivos enraizados. A aplicação Android Pay incorporou esta, por exemplo. Embora a Google não partilhe publicamente a totalidade das verificações de deteção de raiz que ocorrem, esperamos que estas APIs detetem utilizadores que tenham enraizado os seus dispositivos. Estes utilizadores podem então ser impedidos de aceder, ou as suas contas corporativas eliminadas das suas aplicações habilitadas para a política. Verifique se a integridade básica lhe diz sobre a integridade geral do dispositivo. Dispositivos enraizados, emuladores, dispositivos virtuais e dispositivos com sinais de adulteração falham na integridade básica. Verifique a integridade básica & dispositivos certificados lhe diz sobre a compatibilidade do dispositivo com os serviços da Google. Apenas dispositivos não modificados que tenham sido certificados pela Google podem passar esta verificação. Os dispositivos que falharão incluem o seguinte:
- Dispositivos que falham integridade básica
- Dispositivos com um bootloader desbloqueado
- Dispositivos com uma imagem/ROM do sistema personalizado
- Dispositivos para os quais o fabricante não se candidatou, ou passou, certificação google
- Dispositivos com uma imagem do sistema construído diretamente a partir dos ficheiros de origem do Programa Android Open Source
- Dispositivos com uma imagem do sistema de pré-visualização beta/desenvolvedor
Consulte a documentação da Google no Atesstation SafetyNet para obter detalhes técnicos.
Definição de atestado de dispositivo SafetyNet e a definição de "dispositivos de jailbroken/rooted"
As verificações de API da SafetyNet do Google Play Protect exigem que o utilizador final esteja online, pelo menos durante o período em que a "ida e volta" para determinar os resultados do atestado é executada. Se o utilizador final estiver offline, a administração de TI pode ainda esperar que um resultado seja aplicado a partir da definição de dispositivos quebrados/enraizados da cadeia. Dito isto, se o utilizador final estiver offline por muito tempo, o valor do período de graça offline entra em jogo, e todo o acesso ao trabalho ou dados escolares é bloqueado uma vez que o valor do temporizador é atingido, até que o acesso à rede esteja disponível. Ligar ambas as definições permite uma abordagem em camadas para manter os dispositivos de utilizador final saudáveis, o que é importante quando os utilizadores finais acedem ao trabalho ou aos dados escolares em dispositivos móveis.
Google Play Protect APIs e Google Play Services
As definições de política de proteção de aplicações que alavancam as APIs do Google Play Protect exigem que os Serviços de Jogo da Google funcionem. Tanto o atestado de dispositivo SafetyNet como a verificação de ameaças nas definições de apps requerem que a versão determinada da Google dos Serviços google Play funcione corretamente. Uma vez que estas são configurações que caem na área de segurança, o utilizador final será bloqueado se tiver sido alvo destas definições e não estiver a cumprir a versão adequada dos Serviços google Play ou não tiver acesso aos Serviços de Jogo da Google.
Passos seguintes
Como criar e implementar políticas de proteção de aplicações com o Microsoft Intune
Definições de política de proteção de aplicativos Android disponíveis com Microsoft Intune
Definições disponíveis da política de proteção de aplicações iOS/iPadOS com Microsoft Intune