Somente políticas de proteção de aplicativos

As políticas de proteção de aplicações do Intune garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida. Estas políticas permitem-lhe controlar a forma como os dados são acedidos e partilhados por aplicações em dispositivos móveis. Uma política pode impor regras quando o utilizador tenta aceder ou mover dados "empresariais". Também pode proibir ou monitorizar ações quando o utilizador está dentro da aplicação. Uma aplicação gerida no Intune é uma aplicação protegida onde o Intune aplica políticas de proteção de aplicações e gere a aplicação.

As políticas de proteção de aplicações do Intune proporcionam várias vantagens. Estes benefícios incluem proteger dados empresariais em dispositivos móveis sem exigir a inscrição de dispositivos e controlar a forma como os dados são acedidos e partilhados por aplicações em dispositivos móveis.

Exemplos de utilização de políticas de proteção de aplicações com o Microsoft Intune incluem:

• Exigir um PIN ou impressão digital para aceder ao e-mail empresarial num dispositivo móvel
• Impedir que os utilizadores copiem e colem dados empresariais em aplicações pessoais
• Restringir o acesso a dados empresariais apenas a aplicações aprovadas

A MAM do Intune gere muitas aplicações de produtividade, como as aplicações do Microsoft 365 (Office). Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.

Como proteger os dados do aplicativo

Seus funcionários usam dispositivos móveis para tarefas pessoais e de trabalho. Ao mesmo tempo que garante que os seus funcionários podem ser produtivos, evite a perda de dados. Isto inclui perda de dados intencional e não intencional. Proteja também os dados da empresa que são acedidos a partir de dispositivos que não são geridos por si.

Você pode usar políticas de proteção de aplicativo do Intune independentemente de qualquer solução de MDM (gerenciamento de dispositivo móvel). Essa independência ajuda você a proteger os dados de sua empresa com ou sem o registro de dispositivos em uma solução de gerenciamento de dispositivos. Ao implementar políticas ao nível da aplicação, pode restringir o acesso aos recursos da empresa e manter os dados dentro da alçada do seu departamento de TI.

Políticas de proteção do aplicativo em dispositivos

Configure políticas de proteção de aplicações para aplicações executadas em dispositivos que são:

• Registrados no Microsoft Intune: esses dispositivos normalmente são corporativos.

• Inscrito numa solução de gestão de dispositivos móveis (MDM) não Microsoft: Normalmente, estes dispositivos pertencem à empresa.

  Observação

  As políticas de gestão de aplicações móveis não devem ser utilizadas com soluções de gestão de aplicações móveis ou contentores seguros que não sejam da Microsoft.

• Não registrados em nenhuma solução de gerenciamento de dispositivo móvel: esses dispositivos normalmente são dispositivos de funcionários que não são gerenciados ou registrados no Intune nem em outras soluções de MDM.

Benefícios do uso de políticas de proteção de aplicativos

As vantagens importantes da utilização de políticas de proteção de aplicações são as seguintes:

• Protege os dados da sua empresa no nível do aplicativo. Uma vez que a gestão de aplicações móveis não requer gestão de dispositivos, proteja os dados da empresa em dispositivos geridos e não geridos. O gerenciamento concentra-se na identidade do usuário, o que elimina a necessidade de gerenciar dispositivos.

• A produtividade do utilizador não é afetada e as políticas não se aplicam ao utilizar a aplicação num contexto pessoal. O Intune aplica políticas apenas num contexto profissional, o que lhe permite proteger os dados da empresa sem tocar nos dados pessoais.

• Proteção de aplicativos políticas garantem que as proteções de camada da aplicação estão implementadas. Por exemplo:

  • Exigir um PIN para abrir um aplicativo em um contexto de trabalho
  • Controlar o compartilhamento de dados entre aplicativos
  • Impedir a gravação de dados de aplicativos da empresa em um local de armazenamento pessoal

• A MDM com MAM garante que o dispositivo está protegido. Por exemplo, exigir um PIN para aceder ao dispositivo ou implementar aplicações geridas no dispositivo. Implemente também aplicações em dispositivos através da sua solução mdm, para dar mais controlo sobre a gestão de aplicações.

Existem mais vantagens em utilizar a MDM com políticas de proteção de aplicações e as empresas podem utilizar políticas de proteção de aplicações com e sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que utiliza um telemóvel emitido pela empresa e o seu próprio tablet pessoal. O telefone da empresa é registrado no MDM e protegido por políticas de proteção de aplicativo. O dispositivo pessoal está protegido apenas por políticas de proteção de aplicações.

Se aplicar uma política de MAM ao utilizador sem definir o estado do dispositivo, o utilizador obtém a política de MAM no BYOD (traga o seu próprio dispositivo) e no dispositivo gerido pelo Intune. Aplique também políticas de MAM com base no estado de gestão de dispositivos. Para obter mais informações, veja Políticas de proteção de aplicações de destino com base no estado de gestão de dispositivos. Quando criar uma política de proteção de aplicações, selecione Não junto a Destino para todos os tipos de aplicações. Em seguida, efetue um dos seguintes procedimentos:

• Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.
• Aplique uma política de MAM apenas a dispositivos não registrados.

Plataformas com suporte para as políticas de proteção de aplicativo

O Intune oferece uma variedade de recursos que podem ajudar você a obter os aplicativos necessários nos dispositivos em que deseja executá-los. Para saber mais, confira Recursos de gerenciamento de aplicativo por plataforma.

O suporte da plataforma de políticas de proteção de aplicativo do Intune está alinhado ao suporte da plataforma de aplicativo móvel do Office para dispositivos com Android e iOS/iPadOS. Para obter detalhes, confira a seção Aplicativos móveis dos Requisitos de sistema do Office.

Além disso, crie políticas de proteção de aplicações para dispositivos Windows. Para obter detalhes, consulte Proteção de aplicativos experiência para dispositivos Windows.

Estrutura de proteção de dados da política de proteção do aplicativo

As opções disponíveis nas políticas de proteção de aplicações permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio que definições de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção do ponto final do cliente móvel, a Microsoft introduz a taxonomia para as políticas de proteção de aplicações estrutura de proteção de dados para gestão de aplicações móveis iOS e Android.

A arquitetura de proteção de dados das políticas de proteção de aplicações está organizada em três níveis de configuração distintos, com cada nível a aumentar para o nível anterior:

• A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. A configuração de Nível 1 é uma configuração de nível de entrada que fornece um controlo de proteção de dados semelhante no Exchange Online políticas de caixa de correio e introduz as TI e a população de utilizadores na APP.
• A proteção de dados melhorada para empresas (Nível 2) introduz mecanismos de prevenção de fuga de dados de políticas de proteção de aplicações e requisitos mínimos do SO. A configuração de Nível 2 é aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais.
• A proteção de dados elevada (Nível 3) empresarial introduz mecanismos avançados de proteção de dados, configuração de PIN melhorada e políticas de proteção de aplicações Defesa Contra Ameaças para Dispositivos Móveis. A configuração de Nível 3 é desejável para os utilizadores que estão a aceder a dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Como as políticas de proteção de aplicativo protegem dados do aplicativo

Aplicativos sem políticas de proteção de aplicativo

Quando utiliza aplicações sem restrições, os dados pessoais e da empresa podem ser intercalados. Os dados corporativos podem acabar em locais como um armazenamento pessoal ou podem ser transferidos para aplicativos fora do seu alcance, resultando na perda de dados. As setas no diagrama a seguir mostram a movimentação de dados irrestrita entre aplicativos corporativos e pessoais, além de locais de armazenamento.

Proteção de dados com políticas de proteção de aplicativos

Utilize Proteção de aplicativos políticas para impedir que os dados da empresa sejam guardados no armazenamento local do dispositivo (veja a imagem seguinte).) Restrinja também o movimento de dados para outras aplicações que não estão protegidas por políticas de Proteção de aplicativos. As configurações de política de proteção de aplicativo incluem:

• Políticas de reposicionamento de dados como Guardar cópias de dados da organização e Restringir cortar, copiar e colar.
• As configurações de política de acesso como Exigir PIN simples para acesso e Bloquear a execução de aplicativos gerenciados em dispositivos com jailbreak ou raiz.

Proteção de dados com políticas de proteção do aplicativo em dispositivos gerenciados por uma solução de MDM

A ilustração seguinte mostra as camadas de proteção que as políticas mdm e Proteção de aplicativos oferecem em conjunto.

A solução de MDM agrega valor fornecendo o seguinte:

• Registra o dispositivo
• Implanta os aplicativos no dispositivo
• Fornece gerenciamento e a conformidade contínuos no dispositivo

As políticas de proteção do aplicativo agregam valor fornecendo o seguinte:

• Ajudam a proteger os dados da empresa contra vazamento de serviços e aplicativos de consumidor
• Aplicam restrições, como salvar como, área de transferência ou PIN, aos aplicativos cliente
• Apagam os dados da empresa dos aplicativos, quando necessário, sem remover esses aplicativos do dispositivo

Proteção de dados com políticas de proteção do aplicativo para dispositivos sem registro

O diagrama a seguir ilustra como as políticas de proteção de dados funcionam no nível do aplicativo sem MDM.

Para dispositivos BYOD não registrados em nenhuma solução MDM, as políticas de proteção de aplicativo podem ajudar a proteger os dados da empresa no nível do aplicativo. No entanto, existem algumas limitações a serem consideradas, como:

• As aplicações não são implementadas no dispositivo. O utilizador obtém as aplicações a partir da loja.
• Os perfis de certificado não são aprovisionados nestes dispositivos.
• As definições de Wi-Fi e VPN da empresa não são aprovisionadas nestes dispositivos.

Aplicativos que podem ser gerenciados com políticas de proteção do aplicativo

Qualquer aplicação que se integre com o SDK do Intune ou encapsulada pelo intune App Wrapping Tool pode ser gerida através de políticas de proteção de aplicações do Intune. Veja a lista oficial de aplicações protegidas do Microsoft Intune que utilizam estas ferramentas e estão disponíveis para utilização pública.

A equipa de desenvolvimento do SDK do Intune testa e mantém ativamente o suporte para aplicações criadas com as plataformas android e iOS/iPadOS (Obj-C, Swift) nativas. Embora alguns clientes tenham tido êxito com a integração do SDK do Intune com outras plataformas, como React Native e NativeScript, não são fornecidas orientações explícitas ou plug-ins para programadores de aplicações que utilizem outras plataformas que não sejam as plataformas suportadas.

Requisitos do utilizador para utilizar políticas de proteção de aplicações

A lista seguinte fornece os requisitos de utilizador para utilizar políticas de proteção de aplicações numa aplicação gerida pelo Intune:

• O utilizador tem de ter uma conta Microsoft Entra. Veja Adicionar utilizadores e conceder permissão administrativa ao Intune para saber como criar utilizadores do Intune no Microsoft Entra ID.

• O utilizador tem de ter uma licença do Microsoft Intune atribuída à respetiva conta Microsoft Entra. Veja Gerir licenças do Intune para saber como atribuir licenças do Intune a utilizadores.

• O utilizador tem de pertencer a um grupo de segurança visado por uma política de proteção de aplicações. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implementadas no centro de administração do Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.

• O utilizador tem de iniciar sessão na aplicação com a respetiva conta Microsoft Entra.

Proteção de aplicativos políticas para aplicações do Microsoft 365 (Office)

Existem mais alguns requisitos que pretende ter em conta ao utilizar Proteção de aplicativos políticas com aplicações do Microsoft 365 (Office).

Aplicativo Outlook Mobile

Os requisitos para utilizar a aplicação Outlook para dispositivos móveis incluem o seguinte:

• O utilizador tem de ter a aplicação Outlook para dispositivos móveis instalada no respetivo dispositivo.

• O utilizador tem de ter uma caixa de correio e uma licença do Microsoft 365 Exchange Online associadas à respetiva conta de Microsoft Entra.

  Observação

  Atualmente, a aplicação Outlook para dispositivos móveis só suporta a Proteção de Aplicações do Intune para Microsoft Exchange Online e Exchange Server com autenticação moderna híbrida e não suporta o Exchange no Office 365 Dedicado.

Word, Excel e PowerPoint

Os requisitos para utilizar as aplicações Word, Excel e PowerPoint incluem o seguinte:

• O utilizador tem de ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa associada à respetiva conta Microsoft Entra. A subscrição tem de incluir as aplicações do Microsoft 365 em dispositivos móveis e pode incluir uma conta de armazenamento na nuvem com o Microsoft OneDrive. As licenças do Microsoft 365 podem ser atribuídas no Centro de Administração do Microsoft 365 seguindo estas instruções.

• O utilizador tem de ter uma localização gerida configurada com a funcionalidade granular guardar como na definição de política de proteção de aplicações "Guardar cópias dos dados da organização". Por exemplo, se a localização gerida for o OneDrive, a aplicação OneDrive deve ser configurada na aplicação Word, Excel ou PowerPoint do utilizador.

• Se a localização gerida for o OneDrive, a aplicação tem de ser alvo da política de proteção de aplicações implementada para o utilizador.

  Observação

  No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

Local gerenciado necessário para o Office

É necessária uma localização gerida (ou seja, o OneDrive) para o Office. O Intune marca todos os dados na aplicação como "empresariais" ou "pessoais". Os dados são considerados "empresariais" quando têm origem numa localização empresarial. Para as aplicações do Microsoft 365, o Intune considera o seguinte como localizações empresariais: e-mail (Exchange) ou armazenamento na nuvem (aplicação OneDrive com uma conta escolar ou profissional do OneDrive).

Skype for Business

Existem mais requisitos para utilizar Skype for Business. Consulte os requisitos de licença do Skype for Business. Para configurações híbridas e no local do Skype for Business (SfB), veja Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID (Autenticação Moderna Híbrida para SfB e Exchange goes GA) e Modern Auth para SfB no local com Microsoft Entra ID, respetivamente.

Política Global de proteção de aplicativo

Se um administrador do OneDrive navegar até admin.onedrive.com e escolher Acesso a dispositivo, ele poderá definir os controles de Gerenciamento de aplicativo móvel para os aplicativos de cliente do OneDrive e do SharePoint.

As definições disponibilizadas para a consola do OneDrive Administração, configure uma política especial de proteção de aplicações do Intune denominada Política global. Essa política global é aplicável a todos os usuários em seu locatário e não tem como controlar o direcionamento de política.

Uma vez habilitada, os aplicativos OneDrive e SharePoint para iOS/iPadOS e Android são protegidos com as configurações selecionadas por padrão. Um Profissional de TI pode editar esta política no centro de administração do Microsoft Intune para adicionar mais aplicações direcionadas e modificar qualquer definição de política.

Por padrão, só pode haver uma política Global por locatário. No entanto, você pode usar as APIs do Graph do Intune para criar políticas extras globais por locatário, mas isso não é recomendado. Criar políticas globais extras não é recomendado porque a solução de problemas da implementação dessas políticas pode se tornar complicada.

Embora a política Global se aplique a todos os utilizadores no seu inquilino, qualquer política de proteção de aplicações padrão do Intune substitui estas definições.

Recursos de proteção do aplicativo

Várias identidades

O suporte para várias identidades permite que um aplicativo forneça suporte a vários públicos. Esses públicos são formados por usuários "corporativos" e "pessoais". As audiências "empresariais" utilizam contas escolares e profissionais, enquanto as audiências dos consumidores, como os utilizadores do Microsoft 365 (Office), utilizariam contas pessoais. Um aplicativo com suporte para várias identidades pode ser lançado publicamente, caso em que as políticas de proteção do aplicativo se aplicam somente quando o aplicativo é usado no contexto profissional e escolar ("corporativo"). O suporte a várias identidades usa o SDK do Intune para aplicar políticas de proteção de aplicativo somente à conta corporativa ou de estudante conectada ao aplicativo. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados. As políticas de proteção do aplicativo podem ser usadas para impedir a transferência de dados da conta corporativa ou de estudante para contas pessoais dentro do aplicativo de várias identidades, contas pessoais em outros aplicativos ou aplicativos pessoais.

Para obter um exemplo de contexto "pessoal", considere um utilizador que inicia um novo documento no Word, este é considerado contexto pessoal para que as políticas de Proteção de Aplicações do Intune não sejam aplicadas. Assim que o documento for guardado na conta "empresarial" do OneDrive, é considerado contexto "empresarial" e as políticas de Proteção de Aplicações do Intune são aplicadas.

Considere os seguintes exemplos para o contexto de trabalho ou "corporativo":

• Um usuário inicia o aplicativo OneDrive usando a conta corporativa dele. No contexto de trabalho, ele não pode mover arquivos para um local de armazenamento pessoal. Mais tarde, quando ele usa o OneDrive com sua conta pessoal, pode copiar e mover dados do seu OneDrive pessoal sem restrições.
• Um usuário inicia o rascunho de um email no aplicativo Outlook. Depois que o assunto ou o corpo da mensagem for preenchido, o usuário não poderá alternar o endereço DE do contexto de trabalho para o contexto pessoal, pois o assunto e o corpo da mensagem serão protegidos pela política de Proteção do Aplicativo.

PIN do aplicativo do Intune

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.

Solicitação de PIN
O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos". Em aplicativos de várias identidades, como o Word, Excel ou PowerPoint, o usuário é solicitado a inserir o respectivo PIN ao tentar abrir um arquivo ou documento "corporativo". Em aplicações de identidade única, como aplicações de linha de negócio geridas com a App Wrapping Tool do Intune, o PIN é pedido no início, porque o SDK do Intune sabe que a experiência do utilizador na aplicação é sempre "empresarial".

Solicitação de PIN, solicitação de credenciais corporativas, frequência
O administrador de TI pode definir a definição de política de proteção de aplicações do Intune Verificar novamente os requisitos de acesso após (minutos) no centro de administração do Microsoft Intune. Essa configuração especifica o tempo necessário para a verificação dos requisitos de acesso no dispositivo e até a tela do PIN do aplicativo ou as solicitação de credenciais corporativas ser exibida novamente. No entanto, detalhes importantes sobre o PIN que afetam a frequência com que o utilizador é solicitado:

• O PIN é compartilhado entre aplicativos do mesmo editor para melhorar a usabilidade:
  No iOS/iPadOS, um PIN da aplicação é partilhado entre todas as aplicações do mesmo editor de aplicações. Por exemplo, todos os aplicativos da Microsoft compartilham o PIN. No Android, um PIN de aplicação é partilhado entre todas as aplicações.
• O comportamento do recurso Verificar novamente os requisitos de acesso após (minutos), após uma reinicialização do dispositivo:
  Um temporizador rastreia o número de minutos de inatividade que determinam quando mostrar o PIN do aplicativo do Intune ou a solicitação de credenciais corporativas em seguida. No iOS/iPadOS, o temporizador não é afetado pela reinicialização do dispositivo. Assim, o reinício do dispositivo não afeta o número de minutos em que o utilizador permanece inativo a partir de uma aplicação iOS/iPadOS com a política de PIN (ou credencial empresarial) do Intune direcionada. No Android, o temporizador é redefinido na reinicialização do dispositivo. Como tal, é provável que as aplicações Android com a política de PIN (ou credenciais empresariais) do Intune indiquem um PIN da aplicação ou um pedido de credencial empresarial, independentemente do valor de definição "Verificar novamente os requisitos de acesso após (minutos)" após o reinício do dispositivo.
• A natureza em constante movimento do temporizador associada ao PIN:
  Depois que um PIN é inserido para acessar um aplicativo (aplicativo A) e o aplicativo deixa o primeiro plano (foco de entrada principal) no dispositivo, o temporizador é redefinido para esse PIN. Qualquer aplicação (aplicação B) que partilhe este PIN não pedirá ao utilizador a entrada de PIN porque o temporizador foi reposto. O pedido aparece novamente assim que o valor "Verificar novamente os requisitos de acesso após (minutos)" for novamente cumprido.

Para dispositivos iOS/iPadOS, mesmo que o PIN seja partilhado entre aplicações de fabricantes diferentes, o pedido aparece novamente quando o valor Reverificar os requisitos de acesso após (minutos) é novamente cumprido para a aplicação que não é o foco de entrada principal. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado. Depois de o valor Verificar novamente os requisitos de acesso após (minutos) ser cumprido e o utilizador mudar para a aplicação B, é necessário o PIN.

PINs de aplicativos internos para Outlook e OneDrive
O PIN do Intune funciona com base num temporizador baseado na inatividade (o valor de Reverificar os requisitos de acesso após (minutos)). Como tal, os pedidos de PIN do Intune são apresentados independentemente dos pedidos de PIN da aplicação incorporados para o Outlook e o OneDrive, que muitas vezes estão associados ao lançamento da aplicação por predefinição. Se o utilizador receber ambos os pedidos de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.

Segurança de PIN do Intune
O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo. Por conseguinte, um utilizador tem de iniciar sessão com a respetiva conta escolar ou profissional antes de poder definir ou repor o PIN da aplicação do Intune. Microsoft Entra ID processa esta autenticação através da troca de tokens segura e o SDK do Intune não a vê. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los. A encriptação não está relacionada com o PIN da aplicação, mas é a sua própria política de proteção de aplicações.

Proteção contra ataques de força bruta e o PIN do Intune
Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo. Depois de o número de tentativas ser cumprido, o SDK do Intune pode apagar os dados "empresariais" na aplicação.

PIN do Intune e um apagamento seletivo
No iOS/iPadOS, as informações de PIN no nível de aplicativo são armazenadas no conjunto de chaves que é compartilhado entre aplicativos com o mesmo editor, como todos os aplicativos internos da Microsoft. Estas informações do PIN também estão associadas a uma conta de utilizador. Uma eliminação seletiva de uma aplicação não afeta uma aplicação diferente.

Por exemplo, um PIN definido no Outlook para o usuário conectado é armazenado em um conjunto de chaves compartilhado. Quando o utilizador inicia sessão no OneDrive (também publicado pela Microsoft), vê o mesmo PIN que o Outlook, uma vez que utiliza o mesmo keychain partilhado. Ao terminar sessão no Outlook ou eliminar os dados de utilizador no Outlook, o SDK do Intune não limpa esse porta-chaves porque o OneDrive ainda pode utilizar esse PIN. Por este motivo, as eliminações seletivas não limpam essa keychain partilhada, incluindo o PIN. Esse comportamento permanece inalterado, mesmo se há apenas um aplicativo de um editor no dispositivo.

Uma vez que o PIN é partilhado entre aplicações com o mesmo publicador, se a eliminação for para uma única aplicação, o SDK do Intune não sabe se existem outras aplicações no dispositivo com o mesmo publicador. Assim, o SDK do Intune não limpa o PIN, uma vez que ainda pode ser utilizado para outras aplicações. A expectativa é que o PIN da aplicação seja apagado quando a última aplicação desse fabricante for removida eventualmente como parte de alguma limpeza do SO.

Se observar o PIN a ser apagado em alguns dispositivos, é provável que esteja a ocorrer o seguinte comportamento: uma vez que o PIN está associado a uma identidade, se o utilizador iniciar sessão com uma conta diferente após uma eliminação, ser-lhe-á pedido para introduzir um novo PIN. No entanto, se iniciarem sessão com uma conta anteriormente existente, pode ser utilizado um PIN armazenado no porta-chaves para iniciar sessão.

Definir um PIN duas vezes em aplicativos do mesmo editor?
Atualmente, a MAM (no iOS/iPadOS) permite pin ao nível da aplicação com carateres alfanuméricos e especiais (denominado "código de acesso") que requer a participação de aplicações (ou seja, WXP, Outlook, Managed Browser, Viva Engage) para integrar o SDK do Intune para iOS. Sem isto, as definições de código de acesso não são impostas corretamente para as aplicações de destino. Esta foi uma funcionalidade lançada no SDK do Intune para iOS v. 7.1.12.

Para suportar esta funcionalidade e garantir a retrocompatibilidade com versões anteriores do SDK do Intune para iOS/iPadOS, todos os PINs (numéricos ou códigos de acesso) na versão 7.1.12 ou superior são processados separadamente do PIN numérico em versões anteriores do SDK. Outra alteração foi introduzida no SDK do Intune para iOS v 14.6.0. Isso faz com que todos os PINs na versão 14.6.0+ sejam tratados separadamente de quaisquer PINs em versões anteriores do SDK.

Por conseguinte, se um dispositivo tiver aplicações com o SDK do Intune para versões iOS antes da versão 7.1.12 E depois da 7.1.12 do mesmo fabricante (ou versões antes da versão 14.6.0 E depois da 14.6.0), tem de configurar dois PINs. Os dois PINs (para cada aplicação) não estão relacionados de forma alguma (ou seja, têm de cumprir a política de proteção de aplicações aplicada à aplicação). Como tal, se as aplicações A e B tiverem as mesmas políticas aplicadas (relativamente ao PIN), o utilizador poderá configurar o mesmo PIN duas vezes.

Esse comportamento é específico ao PIN em aplicativos do iOS/iPadOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS/iPadOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo.

Criptografia de dados do aplicativo

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.

Como funciona o processo de criptografia de dados do Microsoft Intune
Consulte Android app protection policy settings (Configurações da política de proteção do aplicativo Android) e iOS/iPadOS app protection policy settings (Configurações da política de proteção do aplicativo iOS) para obter informações detalhadas sobre a configuração da política de proteção do aplicativo para criptografia.

Dados criptografados
Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI. Os dados são considerados “corporativos” quando tem como origem um local da empresa. Para as aplicações do Microsoft 365, o Intune considera o seguinte como localizações empresariais:

• Email (Exchange)
• Armazenamento na nuvem (aplicação OneDrive com uma conta escolar ou profissional do OneDrive)

Para aplicações de linha de negócio geridas pela App Wrapping Tool do Intune, todos os dados da aplicação são considerados "empresariais".

Apagamento seletivo

Apagar dados remotamente
O Microsoft Intune pode apagar dados de aplicativos de três maneiras diferentes:

• Apagamento completo do dispositivo
• Apagamento seletivo para MDM
• Apagamento seletivo de MAM

Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.

O apagamento completo do dispositivo remove do dispositivo todos os dados e todas as configurações do usuário, restaurando o dispositivo para as configurações padrão de fábrica. O dispositivo é removido do Intune.

Apagamento seletivo para MDM
Confira Remover dispositivos – desativar para saber mais sobre a remoção de dados da empresa.

Apagamento seletivo para MAM
A eliminação seletiva da MAM remove os dados da aplicação da empresa de uma aplicação. A solicitação é iniciada usando o Intune. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.

Se o usuário estiver usando o aplicativo quando o apagamento seletivo for iniciado, o SDK do Intune verificará, a cada 30 minutos, se há uma solicitação de apagamento seletivo do serviço MAM do Intune. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.

Quando os serviços locais não funcionam com os aplicativos protegidos do Intune
A proteção de aplicativo do Intune depende da consistência da identidade do usuário entre o aplicativo e o SDK do Intune. A única maneira de assegurar isso é por meio da autenticação moderna. Existem cenários em que as aplicações podem funcionar com uma configuração no local, mas não são consistentes ou garantidas.

Maneira segura de abrir links da Web em aplicativos gerenciados
O administrador de TI pode implantar e definir a política de proteção de aplicativo para o Microsoft Edge, um navegador da Web que pode ser gerenciado de maneira fácil com o Intune. O administrador de TI pode exigir que todos os links da Web em aplicativos gerenciados pelo Intune sejam abertos usando um navegador gerenciado.

Experiência de proteção de aplicativo para dispositivos iOS

Face ID ou impressão digital no dispositivo

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte. O Intune implementa um comportamento em que, se houver alguma alteração na base de dados biométrica do dispositivo, o Intune pede ao utilizador um PIN quando o próximo valor de tempo limite de inatividade for cumprido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o utilizador do Intune não tiver um conjunto de PIN, será levado a configurar um PIN do Intune.

A intenção desse processo é continuar a manter os dados da organização dentro do aplicativo, seguros e protegidos no nível do aplicativo. Esse recurso só está disponível para o iOS/iPadOS e exige a participação de aplicativos que integram o SDK do Intune para iOS/iPadOS, versão 9.0.1 ou posterior. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico. Algumas aplicações que participam incluem WXP, Outlook, Managed Browser e Viva Engage.

Extensão de compartilhamento do iOS

Utilize a extensão de partilha iOS/iPadOS para abrir dados escolares ou profissionais em aplicações não geridas, mesmo com a política de transferência de dados definida apenas para aplicações geridas ou sem aplicações. A política de proteção de aplicações do Intune não consegue controlar a extensão de partilha iOS/iPadOS sem gerir o dispositivo. Portanto, o Intune criptografa os dados “corporativos” antes que eles sejam compartilhados fora do aplicativo. Valide este comportamento de encriptação ao tentar abrir um ficheiro "empresarial" fora da aplicação gerida. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.

Suporte a Links Universais

Por predefinição, as políticas de proteção de aplicações do Intune impedem o acesso a conteúdos de aplicações não autorizados. No iOS/iPadOS, existe uma funcionalidade para abrir conteúdos ou aplicações específicos através de Ligações Universais.

Os usuários podem desabilitar os Links Universais de um aplicativo visitando-os no Safari e selecionando Abrir em uma Nova Guia ou Abrir. Para utilizar Ligações Universais com políticas de proteção de aplicações do Intune, é importante reativar as ligações universais. O utilizador teria de efetuar uma ação Abrir no< nome > daaplicação no Safari depois de premir uma ligação correspondente durante muito tempo. Isto deve pedir a qualquer aplicação protegida para encaminhar todas as Ligações Universais para a aplicação protegida no dispositivo.

Várias configurações de acesso de proteção de aplicativo do Microsoft Intune para o mesmo conjunto de aplicativos e usuários

As políticas de proteção de aplicações do Intune para acesso são aplicadas por uma ordem específica em dispositivos de utilizador, à medida que tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, um apagamento teria precedência, seguido por um bloqueio e então um aviso ignorável. Por exemplo, se aplicável ao utilizador/aplicação específico, é aplicada uma definição mínima do sistema operativo iOS/iPadOS que avisa um utilizador para atualizar a versão do iOS/iPadOS após a definição mínima do sistema operativo iOS/iPadOS que bloqueia o acesso do utilizador. Assim, no cenário em que o administrador de TI configura o sistema operativo iOS mínimo para 11.0.0.0 e o sistema operativo iOS mínimo (apenas aviso) para 11.1.0.0, enquanto o dispositivo que tenta aceder à aplicação estava no iOS 10, o utilizador seria bloqueado com base na definição mais restritiva para a versão mínima do sistema operativo iOS que resulta num acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do SDK do Intune tem precedência, em seguida, um requisito de versão do aplicativo, seguido pelo requisito de versão do sistema operacional iOS/iPadOS. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados. Configure o requisito de versão do SDK do Intune apenas após a orientação da equipa de produtos do Intune para cenários de bloqueio essenciais.

Experiência de proteção de aplicativo para dispositivos Android

Dispositivos Android do Microsoft Teams

A aplicação Teams em dispositivos Android do Microsoft Teams não suporta políticas de proteção de aplicações (não recebe política através da aplicação Portal da Empresa). Isto significa que as definições de política de proteção de aplicações não serão aplicadas ao Teams em dispositivos Android do Microsoft Teams. Se você tiver políticas de proteção de aplicativo configuradas para esses dispositivos, considere criar um grupo de usuários de dispositivos do Teams e exclui-lo das políticas de proteção de aplicativo relacionadas. Além disso, considere modificar a Política de Inscrição do Intune, as Políticas de Acesso Condicional e as políticas de Conformidade do Intune para que incluam definições suportadas. Se não conseguir alterar as políticas existentes, tem de configurar (exclusão) Filtros de Dispositivos. Verifique cada definição em relação à configuração de Acesso Condicional existente e à política de Conformidade do Intune para saber se inclui definições não suportadas. Para obter mais informações, veja Acesso Condicional Suportado e Políticas de conformidade de dispositivos do Intune para dispositivos Salas do Microsoft Teams e Dispositivos Android do Teams. Para obter informações relacionadas às Salas do Microsoft Teams, consulte Acesso condicional e conformidade do Intune para Salas do Microsoft Teams.

Autenticação biométrica do dispositivo

Para dispositivos Android que suportam a autenticação biométrica, permita que os utilizadores utilizem impressões digitais ou o Desbloqueio Facial, consoante o que o respetivo dispositivo Android suporta. Configure se todos os tipos biométricos para além da impressão digital podem ser utilizados para autenticação. A impressão digital e o Desbloqueio Facial só estão disponíveis para dispositivos fabricados para suportar estes tipos biométricos e estão a executar a versão correta do Android. O Android 6 e posterior é necessário para impressão digital, e o Android 10 e superior é necessário para o Desbloqueio Facial.

Aplicativo Portal da Empresa e Proteção de Aplicativo do Intune

Grande parte da funcionalidade de proteção do aplicativo é interna ao aplicativo Portal da Empresa. A inscrição de dispositivos não é necessária* apesar de a aplicação Portal da Empresa ser sempre necessária. Para a Gestão de Aplicações Móveis (MAM), o utilizador tem de ter a aplicação Portal da Empresa instalada no dispositivo.

Várias configurações de acesso de proteção de aplicativo do Microsoft Intune para o mesmo conjunto de aplicativos e usuários

As políticas de proteção de aplicações do Intune para acesso são aplicadas por uma ordem específica em dispositivos de utilizador, à medida que tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, um bloco teria precedência e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao utilizador/aplicação específico, é aplicada uma definição mínima de versão de patch do Android que avisa um utilizador para fazer uma atualização de patch após a definição mínima da versão de patch do Android que bloqueia o acesso do utilizador. Assim, no cenário em que o administrador de TI configura a versão mínima do patch do Android para 2018-03-01 e a versão mínima do patch do Android (apenas aviso) para 2018-02-01, enquanto o dispositivo que está a tentar aceder à aplicação estava numa versão 2018-01-01de patch, o utilizador seria bloqueado com base na definição mais restritiva para a versão mínima do patch do Android que resulta num acesso bloqueado.

Ao lidar com diferentes tipos de definições, um requisito de versão da aplicação teria precedência, seguido de um requisito de versão do sistema operativo Android e um requisito de versão de patch do Android. Em seguida, todos os avisos são verificados para todos os tipos de definições pela mesma ordem.

Políticas de proteção de aplicações do Intune e marcar de integridade de dispositivos do Google Play para dispositivos Android

As políticas de proteção de aplicações do Intune permitem que os administradores exijam que os dispositivos dos utilizadores transmitam a integridade do dispositivo do Google Play marcar para dispositivos Android. Uma nova determinação do serviço Google Play é comunicada ao administrador de TI num intervalo determinado pelo serviço Intune. A frequência com que a chamada de serviço é efetuada é limitada devido à carga, pelo que este valor é mantido internamente e não é configurável. Qualquer ação configurada pelo administrador de TI para a definição de integridade do dispositivo Google é efetuada com base no último resultado comunicado ao serviço do Intune no momento do lançamento condicional. Se não existirem dados, o acesso é permitido consoante nenhuma outra verificação de início condicional que falhe e a "ida e volta" do Serviço Google Play para determinar os resultados do atestado começa no back-end e pede ao utilizador de forma assíncrona se o dispositivo falhar. Se existirem dados obsoletos, o acesso é bloqueado ou permitido consoante o último resultado comunicado e, da mesma forma, uma "ida e volta" do Serviço Google Play para determinar os resultados do atestado começa e pede ao utilizador de forma assíncrona se o dispositivo falhar.

Políticas da Proteção de Aplicativo do Intune e API de verificação de aplicativos do Google para dispositivos Android

As Políticas de Proteção de Aplicações do Intune fornecem a capacidade de os administradores exigirem que os dispositivos dos utilizadores enviem sinais através da API Verificar Aplicações da Google para dispositivos Android. As instruções sobre como fazer isso variam um pouco por dispositivo. O processo geral envolve aceder à Google Play Store e, em seguida, selecionar As minhas aplicações & jogos, selecionar o resultado da última análise da aplicação, que o leva ao menu Reproduzir Proteção. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.

API de Integridade do Jogo da Google

O Intune utiliza as APIs de Integridade de Reprodução da Google para adicionar às verificações de deteção de raiz existentes para dispositivos não inscritos. A Google desenvolve e mantém este conjunto de API para as aplicações Android adotarem se não quiserem que as suas aplicações sejam executadas em dispositivos rooting. A aplicação Android Pay incorpora isto, por exemplo. Embora a Google não partilhe publicamente a totalidade das verificações de deteção de raiz que ocorrem, estas APIs detetam utilizadores que enraizam os seus dispositivos. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política. Verificar integridade básica informa sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. Verificar integridade básica e dispositivos com certificação informa sobre a compatibilidade do dispositivo com os serviços do Google. Apenas os dispositivos não modificados certificados pela Google podem transmitir este marcar. Os dispositivos que falham incluem o seguinte:

• dispositivos que apresentam falha na integridade básica
• dispositivos com um carregador de inicialização desbloqueado
• Dispositivos com uma imagem/ROM do sistema personalizada
• Dispositivos aos quais o fabricante não se candidatou nem passou na certificação google
• Dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do Android
• dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedor

Veja a documentação da Google sobre a API de Integridade do Jogo da Google para obter detalhes técnicos.

Reproduzir definição de veredicto de integridade e a definição "dispositivos desbloqueados por jailbreak/rooting"

O veredicto de integridade do jogo requer que o utilizador esteja online, pelo menos durante o momento em que a "ida e volta" para determinar os resultados do atestado é executada. Se o utilizador estiver offline, o administrador de TI ainda pode esperar que um resultado seja imposto a partir da definição de dispositivos desbloqueados por jailbreak/rooting . No entanto, se o utilizador permanecer offline demasiado tempo, o valor do período de tolerância Offline entrará em jogo e todo o acesso aos dados escolares ou profissionais será bloqueado assim que esse valor de temporizador for atingido, até que o acesso à rede esteja disponível. Ativar ambas as definições permite uma abordagem em camadas para manter os dispositivos do utilizador em bom estado de funcionamento, o que é importante quando os utilizadores acedem a dados escolares ou profissionais em dispositivos móveis.

APIS do Google Play Protect e Google Play Services

As definições de política de proteção de aplicações que utilizam as APIs do Google Play Protect requerem que o Google Play Services funcione. Tanto o veredicto de integridade do Play como a Análise de ameaças nas definições de aplicações requerem que a versão determinada pelo Google dos Serviços do Google Play funcione corretamente. Uma vez que estas definições se enquadram na área da segurança, o utilizador é bloqueado se for visado por estas definições e não estiver a cumprir a versão adequada do Google Play Services ou não tiver acesso ao Google Play Services.

Proteção de aplicativos experiência para dispositivos Windows

Existem duas categorias de definições de política: Proteção de dados e Verificações de Estado de Funcionamento. O termo aplicação gerida por políticas refere-se a aplicações que estão configuradas com políticas de proteção de aplicações.

Proteção de dados

As definições de Proteção de dados afetam os dados e o contexto da organização. Enquanto administrador, pode controlar o movimento de dados para dentro e fora do contexto da proteção da organização. O contexto da organização é definido por documentos, serviços e sites acedidos pela conta de organização especificada. As seguintes definições de política ajudam a controlar os dados externos recebidos no contexto da organização e os dados da organização enviados para fora do contexto da organização.

Verificações de Estado de Funcionamento

As verificações de estado de funcionamento permitem-lhe configurar capacidades de início condicional. Para tal, tem de definir as condições de marcar de estado de funcionamento da política de proteção de aplicações. Selecione uma Definição e introduza o Valor que os utilizadores têm de cumprir para aceder aos dados da sua organização. Em seguida, selecione a Ação que pretende efetuar se os utilizadores não cumprirem as suas condicionais. Em alguns casos, várias ações podem ser configuradas para uma única configuração.

Próximas etapas

Como criar e implantar as políticas de proteção de aplicativo com o Microsoft Intune

Configurações disponíveis da política de proteção de aplicativo do Android no Microsoft Intune

Configurações disponíveis da política de proteção de aplicativo do iOS/iPadOS no Microsoft Intune