Proteger aplicações através de políticas de gestão de aplicações móveis no System Center Configuration ManagerProtect apps using mobile application management policies in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Políticas de gestão de aplicações do System Center Configuration Manager permitem-lhe modificar a funcionalidade das aplicações que implementa para ajudar a colocá-los em linha com a sua empresa políticas de conformidade e segurança.System Center Configuration Manager application management policies let you modify the functionality of apps that you deploy to help bring them in line with your company compliance and security policies. Por exemplo, pode restringir operações de corte, cópia e colagem numa aplicação restrita ou configurar uma aplicação para abrir todos os URLs dentro de um browser gerido.For example, you can restrict cut, copy, and paste operations within a restricted app, or configure an app to open all URLs inside a managed browser. Suporte para políticas de gestão de aplicações:App management policies support:

  • Dispositivos a executar o Android 4 e posteriorDevices that run Android 4 and later

  • Dispositivos que executam o iOS 9 e posterioresDevices that run iOS 9 and later

Também pode utilizar políticas de gestão de aplicações móveis para proteger as aplicações em dispositivos que não são geridos pelo Intune.You can also use mobile app management policies to protect apps on devices that are not managed by Intune. Através desta nova funcionalidade, pode aplicar políticas de gestão de aplicações móveis para aplicações que se ligam aos serviços do Office 365.Using this new capability, you can apply mobile app management policies to apps that connect to Office 365 services. Não é suportada para aplicações que ligam à local no Exchange ou do SharePoint.This is not supported for apps that connect to on-premises Exchange or SharePoint.

Para utilizar esta nova capacidade, terá de utilizar o portal de pré-visualização do Azure.To use this new capability, you need to use the Azure preview portal. Os tópicos seguintes podem ajudá-lo a familiarizar-se:The following topics can help you get started:

Para aplicar restrições a uma aplicação, a aplicação tem de incorporar o Microsoft Intune App Software Development Kit (SDK).To apply restrictions to an app, the app must incorporate the Microsoft Intune App Software Development Kit (SDK). Existem dois métodos para obter este tipo de aplicação:There are two methods of obtaining this type of app:

Criar e implementar uma aplicação com uma política de gestão de aplicações móveisCreate and deploy an app with a mobile application management policy

Passo 2: Criar uma aplicação do Configuration Manager que contenha uma aplicaçãoStep 2: Create a Configuration Manager application that contains an app

O procedimento para criar a aplicação do Configuration Manager difere dependendo se está a utilizar uma aplicação gerida por política (ligação externa) ou uma aplicação que foi criada utilizando a ferramenta de encapsulamento de aplicações do Microsoft Intune para iOS (pacote de aplicação para iOS).The procedure to create the Configuration Manager application differs depending on whether you are using a policy managed app (external link), or an app that was created by using the Microsoft Intune App Wrapping Tool for iOS (App package for iOS). Utilize um dos seguintes procedimentos para criar a aplicação do Configuration Manager.Use one of the following procedures to create the Configuration Manager application.

  1. Na consola do Configuration Manager, escolha biblioteca de Software > gestão de aplicações > aplicações.In the Configuration Manager console, choose Software Library > Application Management > Applications.

  2. No home page separador o criar grupo, escolha Criar aplicação para abrir o Criar aplicação assistente.In the Home tab, in the Create group, choose Create Application to open the Create Application Wizard.

  3. Na página Geral , selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.On the General page, select Automatically detect information about this application from installation files.

  4. Na lista pendente Tipo, selecione Pacote de aplicação para iOS (ficheiro *.ipa).In the Type drop-down list, select App package for iOS (*.ipa file).

  5. Escolha procurar para selecionar o pacote de aplicação que pretende importar e, em seguida, escolha seguinte.Choose Browse to select the app package you want to import, and then choose Next.

  6. Na página Informações Gerais , introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.On the General Information page, enter the descriptive text and category information that you want users to see in the company portal.

  7. Conclua o assistente.Complete the wizard.

    A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software .The new application is displayed in the Applications node of the Software Library workspace.

  1. Na consola do Configuration Manager, escolha biblioteca de Software > gestão de aplicações > aplicações.In the Configuration Manager console, choose Software Library > Application Management > Applications.

  2. No home page separador o criar grupo, escolha Criar aplicação para abrir o Criar aplicação assistente.In the Home tab, in the Create group, choose Create Application to open the Create Application Wizard.

  3. Na página Geral , selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.On the General page, select Automatically detect information about this application from installation files.

  4. Na lista pendente Tipo , selecione um dos seguintes:In the Type drop-down, select one of the following:

    • Para iOS: Pacote de aplicação para iOS da App StoreFor iOS: App Package for iOS from App Store

    • Para Android: Pacote de aplicação para Android no Google PlayFor Android: App Package for Android on Google Play

  5. Introduza o URL da aplicação (a partir do passo 1) e, em seguida, escolha seguinte.Enter the URL for the app (from step 1), and then choose Next.

  6. Na página Informações Gerais , introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.On the General Information page, enter the descriptive text and category information that you want users to see in the company portal.

  7. Conclua o assistente.Complete the wizard.

    A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software .The new application is displayed in the Applications node of the Software Library workspace.

Passo 3: Criar uma política de gestão de aplicaçõesStep 3: Create an application management policy

Em seguida, crie uma política de gestão de aplicações que associar à aplicação.Next, create an application management policy that you associate with the application. Pode criar uma política de browser gerido ou geral.You can create a general or managed browser policy.

1) Na consola do Configuration Manager, escolha biblioteca de Software > gestão de aplicações > políticas de gestão de aplicações.In the Configuration Manager console, choose Software Library > Application Management > Application Management Policies.

2) No home page separador o criar grupo, escolha criar política de gestão de aplicações.In the Home tab, in the Create group, choose Create Application Management Policy.

3) No geral página, introduza o nome e descrição para a política e, em seguida, escolha seguinte.On the General page, enter the name and description for the policy, and then choose Next.

4) No tipo de política página, selecione a plataforma e o tipo de política para esta política e, em seguida, escolha seguinte.On the Policy Type page, select the platform and the policy type for this policy, and then choose Next. Estão disponíveis os seguintes tipos de política:The following policy types are available:

  • Geral: O tipo de política geral permite-lhe modificar a funcionalidade das aplicações que implementa para ajudar a colocá-los em linha com a sua conformidade da empresa e as políticas de segurança.General: The General policy type lets you modify the functionality of apps that you deploy to help bring them in line with your company compliance and security policies. Por exemplo, pode restringir as operações de corte, cópia e colagem numa aplicação restrita.For example, you can restrict cut, copy, and paste operations within a restricted app.

  • Browser gerido: A política de Browser gerido permite-lhe decidir se pretende permitir ou bloquear o browser gerido de abrir uma lista dos URLs.Managed Browser: The Managed Browser policy lets you decide whether to allow or block the managed browser from opening a list of URLs. A política de Browser Gerido permite modificar a funcionalidade da aplicação Intune Managed Browser.The Managed Browser policy type lets you modify the functionality of the Intune Managed Browser app. É um browser que lhe permite gerir as ações que os utilizadores podem realizar, incluindo os sites que podem visitar e como são abertas as ligações para conteúdo no browser.This is a web browser that lets you manage the actions that users can perform, including the sites they can visit, and how links to content within the browser are opened. Saiba mais sobre a aplicação Intune Managed Browser para iOS e a aplicação Intune Managed Browser para Android.Learn more about the Intune Managed Browser app for iOS and the Intune Managed Browser app for Android.

5) No política iOS ou política para Android página, configure os seguintes valores conforme necessário e, em seguida, escolha seguinte.On the iOS Policy or Android Policy page, configure the following values as required, and then choose Next. As opções podem variar dependendo do tipo de dispositivo para o qual está a configurar a política.The options might differ depending on the device type for which you are configuring the policy.

ValorValue Mais informaçõesMore information
Restringir o conteúdo Web a apresentar num browser gerido pela empresaRestrict web content to display in a corporate managed browser Permite que todas as ligações na aplicação para abrir num Browser gerido.Enables all links in the app to open in the Managed Browser. Para esta opção funcionar, esta aplicação tem de estar implementada em dispositivos.You must have deployed this app to devices in order for this option to work.
Impedir cópias de segurança de Android ou Impedir cópias de segurança de iTunes e iCloudPrevent Android backups or Prevent iTunes and iCloud backups Desativa a cópia de segurança de informações da aplicação.Disables the backup of any information from the app.
Permitir que a aplicação transfira dados para outras aplicaçõesAllow app to transfer data to other apps Especifica as aplicações para as quais esta aplicação pode enviar dados.Specifies the apps that this app can send data to. Pode optar por não permitir a transferência de dados para qualquer aplicação, apenas permitir a transferência para outras aplicações restritas ou permitir a transferência para qualquer aplicação.You can choose to not allow data transfer to any app, to only allow transfer to other restricted apps, or to allow transfer to any app.

Em dispositivos iOS, para impedir a transferência de documentos entre aplicações geridas e não geridas, também tem de configurar e implementar uma política de segurança de dispositivos móveis que desativa a definição Permitir documentos geridos noutras aplicações não geridas.For iOS devices, to prevent document transfer between managed and unmanaged apps, you must also configure and deploy a mobile device security policy that disables the setting Allow managed documents in other unmanaged apps.

Se selecionar para apenas permitir a transferência para outras aplicações restritas, os Intune PDF e imagem visualizadores (se estiverem implementados) serão utilizados para abrir conteúdos dos respetivos tipos.If you select to only allow transfer to other restricted apps, the Intune PDF and image viewers (if deployed) are used to open content of the respective types.
Permitir que a aplicação receba dados de outras aplicaçõesAllow app to receive data from other apps Especifica de que aplicações esta aplicação pode receber dados.Specifies the apps that this app can receive data from. Pode optar por não permitir a transferência de dados a partir de qualquer aplicação, apenas permitir a transferência de outras aplicações restritas ou permitir a transferência de qualquer aplicação.You can choose to not allow data transfer from any app, to only allow transfer from other restricted apps, or to allow transfer from any app.
Impedir "Guardar Como"Prevent “Save As” Desativa a utilização do guardar como opção em qualquer aplicação que utiliza esta política.Disables the use of the Save As option in any app that uses this policy.
Restringir as operações de corte, cópia e colagem com outras aplicaçõesRestrict cut, copy and paste with other apps Especifica como as operações de corte, cópia e colagem podem ser utilizadas com a aplicação.Specifies how cut, copy, and paste operations can be used with the app. Escolha entre:Choose from:

Bloqueado – não permitir operações de corte, cópia e colagem entre esta aplicação e outras aplicações.Blocked – Doesn't allow cut, copy, and paste operations between this app and other apps.

Aplicações geridas por política – permite cortar, copiar e colar operações entre apenas esta aplicação e outras aplicações restritas.Policy Managed Apps – Allows cut, copy, and paste operations between only this app and other restricted apps.

Aplicações geridas por políticas com colar em – permite que os dados cortados ou copiados desta aplicação apenas sejam colados noutras aplicações restritas.Policy Managed Apps with Paste In – Allows data that's cut or copied from this app only to be pasted into other restricted apps. Permite que os dados cortados ou copiados de qualquer aplicação sejam colados nesta aplicação.Allows data that is cut or copied from any app to be pasted into this app.

Qualquer aplicação – não existem restrições de cortar, copiar e colar operações para ou desta aplicação.Any App – No restrictions to cut, copy, and paste operations to or from this app.
Exigir PIN simples para acessoRequire simple PIN for access Exige que o utilizador introduzir um PIN que especifica para utilizar esta aplicação.Requires the user to enter a PIN that they specify to use this app. É pedido ao utilizador para definir esta opção da primeira vez que executar a aplicação.The user is asked to set this up the first time they run the app.
Número de tentativas antes de redefinição do PINNumber of attempts before PIN reset Especifica o número de tentativas de introdução do PIN que podem ser efetuadas antes do utilizador ter de redefinir o PIN.Specifies the number of PIN entry attempts that can be made before the user must reset the PIN.
Exigir credenciais da empresa para obter acessoRequire corporate credentials for access Requer que o utilizador tem de introduzir as respetivas informações de início de sessão empresariais antes de poderem aceder a aplicação.Requires that the user must enter their corporate sign-in information before they can access the app.
Exigir a conformidade do dispositivo com a política empresarial para acessoRequire device compliance with corporate policy for access Permite que a aplicação a ser utilizado apenas quando o dispositivo não tem jailbreak nem Root.Allows the app to be used only when the device is not jailbroken or rooted.
Verificar novamente os requisitos de acesso após (minutos)Recheck the access requirements after (minutes) Especifica o período de tempo antes dos requisitos de acesso da aplicação serem novamente verificados após a aplicação for iniciada (no tempo limite campo).Specifies the time period before the access requirements for the app are rechecked after the app is launched (in the Timeout field).

No período de tolerância Offline campo, se o dispositivo estiver offline, especifica o período de tempo antes dos requisitos de acesso da aplicação serem novamente verificados.In the Offline grace period field, if the device is offline, specifies the time period before the access requirements for the app are rechecked.
Encriptar dados da aplicaçãoEncrypt app data Especifica que todos os dados que está associados esta aplicação são encriptados, incluindo dados armazenados externamente, como os dados armazenados em cartões SD.Specifies that all data that is associated with this app is encrypted, including data that's stored externally, such as data stored on SD cards.

Encriptação para iOSEncryption for iOS

Para aplicações que estão associadas uma política de gestão de aplicações móveis do Configuration Manager, os dados são encriptados em descanso ao utilizar a encriptação ao nível do dispositivo fornecida pelo sistema operativo.For apps that are associated with a Configuration Manager mobile application management policy, data is encrypted at rest using device-level encryption that's provided by the OS. Isto é ativado através de um dispositivo de política de PIN tem de ser definida pelo administrador de TI. Quando for necessário um PIN, os dados são encriptados de acordo com as definições na política de gestão de aplicações móveis.This is enabled through a device PIN policy that must be set by the IT admin. When a PIN is required, the data is encrypted per the settings in the mobile application management policy. Conforme indicado na documentação da Apple, os módulos utilizados pelo iOS 7 têm certificação FIPS 140-2.As stated in Apple documentation, the modules that are used by iOS 7 are FIPS 140-2 certified.

Encriptação para AndroidEncryption for Android

Para aplicações que estão associadas uma política de gestão de aplicações móveis do Configuration Manager, a encriptação é fornecida pela Microsoft.For apps that are associated with a Configuration Manager mobile application management policy, encryption is provided by Microsoft. Os dados são encriptados em sincronia durante operações de E/S de ficheiros, de acordo com a definição na política de gestão de aplicações móveis.Data is encrypted synchronously during file I/O operations according to the setting in the mobile application management policy. As aplicações geridas no Android utilizam encriptação AES-128 no modo CBC ao utilizar as bibliotecas de criptografia da plataforma.Managed apps on Android use AES-128 encryption in CBC mode utilizing the platform cryptography libraries. O método de encriptação não tem certificação FIPS 140-2.The encryption method is not FIPS 140-2 certified. O conteúdo no armazenamento do dispositivo é sempre encriptado.Content on the device storage is always encrypted.
Bloquear captura de ecrã (apenas dispositivos Android)Block screen capture (Android devices only) Especifica que as funcionalidades de captura de ecrã do dispositivo estão bloqueadas durante a utilização desta aplicação.Specifies that the screen capture capabilities of the device are blocked when using this app.
Desativar a sincronização de contactosDisable contact sync A partir da versão 1710, esta opção impede que a aplicação guardar os dados para a aplicação de contactos nativa no dispositivo.Beginning with version 1710, this option prevents the app from saving data to the native Contacts app on the device. Se selecionar não, a aplicação pode guardar os dados para a aplicação de contactos nativa no dispositivo.If you choose No, the app can save data to the native Contacts app on the device.
Desativar a impressãoDisable printing A partir da versão 1710, esta opção impede que a aplicação de trabalho de impressão ou dados escola.Beginning with version 1710, this option prevents the app from printing work or school data.

6) No Managed Browser página, selecione se é permitido ao browser gerido abra apenas URLs na lista ou para bloquear o browser gerido abra os URLs na lista e, em seguida, escolha seguinte.On the Managed Browser page, select whether the managed browser is allowed to open only URLs in the list or to block the managed browser from opening the URLs in the list, and then choose Next.
Para obter mais informações, consulte Internet gerir o acesso através de políticas de browser gerido.For more information, see Manage Internet access using managed browser policies.

7) Conclua o assistente.Complete the wizard.

A nova política é apresentada no nó Políticas de Gestão de Aplicações da área de trabalho Biblioteca de Software .The new policy is displayed in the Application Management Policies node of the Software Library workspace.

Passo 4: Associar a política de gestão de aplicações com um tipo de implementaçãoStep 4: Associate the application management policy with a deployment type

Quando é criado um tipo de implementação para uma aplicação que necessita de uma política de gestão de aplicações, o Configuration Manager reconhece esta e pede-lhe para associar uma política de gestão de aplicações.When a deployment type is created for an app that requires an application management policy, Configuration Manager recognizes this and prompts you to associate an app management policy. Para o Managed Browser, são necessárias para associar a política de um Browser gerido e geral.For the Managed Browser, you are required to associate both a General and Managed Browser policy. Para obter mais informações, consulte criar aplicações.For more information, see Create applications.

Importante

Se a aplicação já está implementada, em seguida, a implementação para o novo tipo de implementação irá falhar até que esta associação é efetuada.If the application is already deployed, then the deployment for the new deployment type fails until this association is made. Pode fazer a associação em Propriedades da aplicação, no separador Gestão de Aplicações .You can make the association in Properties for the application, on the Application Management tab.

Importante

Para dispositivos que executam sistemas operativos anteriores ao iOS 7.1, as políticas associadas não são removidas quando a aplicação é desinstalada.For devices that run operating systems earlier than iOS 7.1, associated policies aren't removed when the app is uninstalled.

Se o dispositivo não estiver inscrito do Configuration Manager, as políticas não são removidas das aplicações.If the device is unenrolled from Configuration Manager, polices are not removed from the apps. As aplicações que tinham as políticas aplicadas manter as definições de política, mesmo depois da aplicação é desinstalada e reinstalada.Apps that had policies applied retain the policy settings even after the app is uninstalled and reinstalled.

Passo 5: Monitorizar a implementação da aplicaçãoStep 5: Monitor the app deployment

Depois de criar e implementar uma aplicação que está associada a uma política de gestão de aplicações móveis, pode monitorizar a aplicação e resolver eventuais conflitos de política.Once you have created and deployed an app that's associated with a mobile application management policy, you can monitor the app and resolve any policy conflicts.

  1. Na consola do Configuration Manager, escolha biblioteca de Software > descrição geral > implementações.In the Configuration Manager console, choose Software Library > Overview > Deployments.

  2. Selecione a implementação que criou.Select the deployment that you created. Em seguida, no home page separador, escolha propriedades.Then, on the Home tab, choose Properties.

  3. No painel de detalhes para a implementação em objetos relacionados, escolha políticas de gestão de aplicações.In the details pane for the deployment, under Related Objects, choose Application Management Policies.

    Para obter mais informações sobre a monitorização de aplicações, consulte monitorizar aplicações.For more information about monitoring applications, see Monitor applications.

Saiba como são resolvidos os conflitos de políticasLearn how policy conflicts are resolved

Quando existe um conflito de política de gestão de aplicações móveis na primeira implementação para o utilizador ou dispositivo, o valor de definição específico em conflito é removido da política que é implementada na aplicação.When there is a mobile application management policy conflict on the first deployment to the user or device, the specific setting value that's in conflict is removed from the policy that's deployed to the app. Em seguida, a aplicação utiliza um valor de conflito incorporado.Then the app uses a built-in conflict value.

Quando existe um conflito de política de gestão de aplicações móveis em implementações posteriores na aplicação ou utilizador, o valor de definição específico em conflito não for atualizado na política de gestão de aplicações móveis que é implementada na aplicação e a aplicação utiliza o valor existente para essa definição.When there is a mobile app management policy conflict on later deployments to the app or user, the specific setting value that's in conflict is not updated on the mobile app management policy that's deployed to the app, and the app uses the existing value for that setting.

Nos casos em que o dispositivo ou o utilizador recebe duas políticas em conflito, aplica-se o comportamento seguinte:In cases where the device or user receives two conflicting policies, the following behavior applies:

  • Se ainda tiver sido implementada uma política para o dispositivo, as definições de política existentes não serão substituídas.If a policy has yet been deployed to the device, the existing policy settings are not overwritten.

  • Se já não foi implementada nenhuma política para o dispositivo e são implementadas duas definições em conflito, é utilizada a predefinição que está incorporada no dispositivo.If no policy has already been deployed to the device, and two conflicting settings are deployed, the default setting that's built into the device is used.

Ver uma lista de aplicações geridas por políticas disponíveisSee a list of available policy managed apps

Para obter uma lista da política de aplicações geridas que estão disponíveis para dispositivos iOS e Android, consulte parceiros de aplicações do Microsoft Intune.For a list of the policy managed apps that are available for iOS and Android devices, see Microsoft Intune application partners.