Definições de políticas de proteção de aplicações iOS
Este artigo descreve as definições da política de proteção de aplicações para dispositivos iOS/iPadOS. As definições de política descritas podem ser configuradas para uma política de proteção de aplicações no painel de Definições no portal quando se faz uma nova política.
Existem três categorias de definições de política: Reposicionamento de dados, Requisitos de acesso e Iniciação condicional. Neste artigo, o termo aplicações geridas por políticas menciona as aplicações configuradas com políticas de proteção de aplicações.
Importante
O Intune Managed Browser foi reformado. Utilize Microsoft Edge para a sua experiência de navegador Intune protegida.
Proteção de dados
Transferência de Dados
| Definições | Como utilizar | Valor predefinido |
|---|---|---|
| Criar cópia de segurança de Dados organizacionais para cópias de segurança do iTunes e iCloud | Selecione Bloquear para impedir que esta aplicação crie uma cópia de segurança dos dados escolares ou profissionais para o iTunes e o iCloud. Selecione Permitir para permitir que esta aplicação crie uma cópia de segurança dos dados escolares ou profissionais para o iTunes e o iCloud. | Permitir |
| Enviar Dados organizacionais para outras aplicações | Especifique que aplicações podem receber dados desta aplicação:
Além disso, quando definido para apps geridas por Política ou Nenhuma, a pesquisa em Destaque (permite pesquisar dados dentro das apps) e as funcionalidades de atalhos iOS da Siri estão bloqueadas. Esta política também pode aplicar-se às ligações universais iOS/iPadOS. As ligações Web gerais são geridas pela definição de política Abrir ligações de aplicações no Intune Managed Browser. Existem algumas aplicações e serviços isentos aos quais o Intune poderá permitir a transferência de dados por predefinição. Além disso, pode criar as suas próprias isenções se tiver de permitir a transferência de dados para uma aplicação que não suporta a aplicação Intune. Veja as isenções de transferência de dados para obter mais informações. |
Todas as aplicações |
|
Esta opção está disponível quando seleciona Aplicações geridas por políticas na opção anterior. | |
|
Escolha o Bloco para desativar a utilização da opção Salvar como nesta aplicação. Escolha Permitir se quiser permitir a utilização de Save As. Quando definido para bloquear, pode configurar a definição Permitir que o utilizador guarde cópias para serviços selecionados. Nota:
|
Permitir |
|
Os utilizadores podem guardar nos serviços selecionados (OneDrive para Empresas, SharePoint e Armazenamento Local). Todos os outros serviços são bloqueados. OneDrive para Empresas: pode guardar ficheiros para OneDrive para Empresas e SharePoint Online. SharePoint: pode guardar ficheiros para o SharePoint no local. Armazenamento locais: pode guardar ficheiros para o armazenamento local. | 0 selecionados |
|
Normalmente, quando um utilizador seleciona um número de telefone hiperligado numa aplicação, uma aplicação de marcação abrir-se-á com o número de telefone pré-voado e pronto a ser chamado. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando for iniciado a partir de uma aplicação gerida por políticas:
Nota: Esta definição requer Intune SDK 12.7.0 e mais tarde. Se as suas aplicações dependem da funcionalidade do marcador e não estiverem a utilizar a versão correta do Intune SDK, como uma solução alternativa, considere adicionar "tel;telprompt" como uma isenção de transferência de dados. Uma vez que as aplicações suportam a versão Intune SDK correta, a isenção pode ser removida. |
Qualquer aplicação de marcação |
|
Quando uma aplicação específica de marcação foi selecionada, você deve fornecer o esquema DE URL da aplicação de marcação que é usado para lançar a aplicação de marcação em dispositivos iOS. Para mais informações, consulte a documentação da Apple sobre Telefone Links. | Vazio |
| Receber dados de outras aplicações | Especifique que aplicações podem transferir dados para esta aplicação:
|
Todas as aplicações |
|
Selecione Block para desativar a utilização da opção Open ou outras opções para partilhar dados entre contas nesta aplicação. Selecione Permita se quiser permitir a utilização do Open. Quando definido para Bloquear pode configurar o Permitir que o utilizador abra dados de serviços selecionados para determinados que serviços são permitidos para localizações de dados org. Nota:
|
Permitir |
|
Selecione os serviços de armazenamento de aplicações a partir dos quais os utilizadores podem abrir dados. Todos os outros serviços são bloqueados. A seleção de nenhum serviço impedirá os utilizadores de abrir dados a partir de locais externos. Serviços apoiados:
|
Todos os selecionados |
| Restringir cortar, copiar e colar com outras aplicações | Especifique quando as ações de corte, cópia e colagem podem ser utilizadas com esta aplicação. Selecione entre:
|
Qualquer aplicação |
|
Especifique o número de carateres que podem ser cortados ou copiados de contas e de Dados organizacionais. Esta opção permitirá a partilha do número especificado de carateres com qualquer aplicação, independentemente da definição Restringir cortar, copiar e colar com outras aplicações. Valor predefinido = 0 Nota: Requer que a aplicação tenha a versão Intune SDK 9.0.14 ou posterior. |
0 |
| Teclados de terceiros | Escolha o Bloco para evitar a utilização de teclados de terceiros em aplicações geridas. Quando esta definição estiver ativada, o utilizador recebe uma única mensagem a indicar que a utilização de teclados de terceiros está bloqueada. Esta mensagem é apresentada quando um utilizador interage pela primeira vez com dados organizacionais que requerem a utilização de um teclado. Apenas o teclado padrão iOS/iPadOS está disponível durante a utilização de aplicações geridas, e todas as outras opções de teclado estão desativadas. Esta configuração irá afetar tanto a organização como as contas pessoais de aplicações multi-identidade. Esta definição não afeta a utilização de teclados de terceiros em aplicações não geridas. Nota: Esta funcionalidade requer que a aplicação utilize a versão Intune SDK 12.0.16 ou posterior. As aplicações com versões SDK de 8.0.14 a, incluindo, 12.0.15, não terão esta funcionalidade corretamente aplicada para aplicações multi-identidade. Para mais detalhes, consulte Problema conhecido: Os teclados de terceiros não estão bloqueados no iOS/iPadOS para contas pessoais. |
Permitir |
Encriptação
| Definições | Como utilizar | Valor predefinido |
|---|---|---|
| Encriptar Dados organizacionais | Escolha Exigir para ativar a encriptação de dados escolares ou profissionais nesta aplicação. A Intune aplica encriptação ao nível do dispositivo iOS/iPadOS para proteger os dados das aplicações enquanto o dispositivo está bloqueado. Além disso, as aplicações podem encriptar opcionalmente dados de aplicações usando encriptação SDK app intune. Intune APP SDK usa métodos de criptografia iOS/iPadOS para aplicar encriptação AES de 256 bits aos dados da aplicação. Quando ativar esta definição, o utilizador poderá ser obrigado a configurar e utilizar um PIN do dispositivo para aceder ao seu dispositivo. Se não existir um PIN No dispositivo e a encriptação for obrigatória, será pedido ao utilizador para definir um PIN com a mensagem “A sua organização requer que ative primeiro um PIN no dispositivo para aceder a esta aplicação”. Consulte a documentação oficial da Apple para ver quais os módulos de encriptação iOS/iPadOS que são fips 140-2 validados. |
Requerer |
Funcionalidade
| Definições | Como utilizar | Valor predefinido |
|---|---|---|
| Sync política gerido dados de aplicativos com apps nativas | Escolha o Bloco para evitar que as aplicações geridas pela política guardem dados para a aplicação De Contactos Nativos no dispositivo. Se escolher Permitir, a aplicação pode guardar dados para a aplicação Contactos Nativos no dispositivo, quando essas funcionalidades estiverem ativadas dentro da aplicação gerida pela política. Quando executa uma limpeza seletiva para remover o trabalho, ou dados escolares da app, os dados sincronizados diretamente da aplicação para a aplicação Contactos Nativos são removidos. Quaisquer dados de contactos sincronizados da aplicação Contactos Nativos para outra fonte externa não podem ser eliminados. Atualmente, isto aplica-se apenas a Outlook para aplicação iOS; para obter mais informações, consulte implementar Outlook para configurações de aplicações iOS e Android. |
Permitir |
| Imprimir Dados organizacionais | Selecione Block para evitar que a aplicação imprimisse trabalho ou dados escolares. Se deixar esta definição para Permitir, o valor predefinido, os utilizadores poderão exportar e imprimir todos os dados org. | Permitir |
| Restringir a transferência de conteúdos Web com outras aplicações | Especifique a forma como os conteúdos Web (ligações http/https) são abertos a partir de aplicações geridas por políticas. Escolha entre:
Se for necessário um navegador gerido por políticas, mas não instalado, os utilizadores finais serão solicitados a instalar o Microsoft Edge. Se for necessário um navegador gerido por políticas, as Ligações Universais iOS/iPadOS são geridas pela aplicação Allow para transferir dados para outras definições de política de apps. Inscrição de dispositivos do Intune Microsoft Edge gerido por políticas
**Nota:**O Intune SDK não pode determinar se uma aplicação-alvo é um browser. Nos dispositivos iOS/iPadOS, não são permitidas outras aplicações de navegador geridas. |
Não configurado |
|
Introduza o protocolo para um único navegador não gerido. Os conteúdos web (http/https links) a partir de aplicações geridas por políticas serão abertos em qualquer aplicação que suporte este protocolo. O conteúdo da web não será gerido no navegador-alvo. Esta funcionalidade só deve ser utilizada se pretender partilhar conteúdo protegido com um navegador específico que não esteja habilitado a utilizar políticas de proteção de aplicações Intune. Tem de contactar o seu fornecedor de navegador para determinar o protocolo suportado pelo seu navegador pretendido. Nota: Inclua apenas o prefixo do protocolo. Se o seu navegador necessitar de links do mybrowser://www.microsoft.com formulário, insira mybrowser .Os links serão traduzidos como:
|
Vazio |
| Notificações de dados org | Especifique como os dados do Org são partilhados através de notificações de SO para contas Org. Esta definição de política terá impacto no dispositivo local e em quaisquer dispositivos conectados, tais como wearables e colunas inteligentes. As aplicações podem fornecer controlos adicionais para personalizar o comportamento da notificação ou podem optar por não honrar todos os valores. Selecione entre:
Nota: Esta definição requer suporte para aplicações: |
Permitir |
Nota
Nenhuma das definições de proteção de dados controla a funcionalidade de abertura gerida pela Apple em dispositivos iOS/iPadOS. Para utilizar a gestão da Apple aberta, consulte Gerir a transferência de dados entre aplicações iOS/iPadOS com Microsoft Intune.
Isenções de transferência de dados
Existem algumas aplicações e serviços de plataforma isentos aos quais a política de proteção de aplicações do Intune poderá permitir a transferência de dados em determinados cenários. Esta lista está sujeita a alterações e reflete as aplicações e serviços considerados úteis para produtividade segura.
As aplicações nãogeradas de terceiros podem ser adicionadas à lista de isenções que pode permitir exceções à transferência de dados. Para mais detalhes e exemplos, consulte Como criar exceções à política de transferência de dados da Intune App Protection Policy (APP). A aplicação isenta de gestão deve ser invocada com base no protocolo URL do iOS. Por exemplo, quando a isenção de transferência de dados é adicionada para uma aplicação nãogerida, ainda impediria os utilizadores de cortar, copiar e colar operações, se restritos pela política. Este tipo de isenção também impediria os utilizadores de utilizarem a ação Open-in dentro de uma aplicação gerida para copiar dados para isentar a aplicação, uma vez que não se baseia no protocolo URL do iOS. Para obter mais informações sobre o Open-in, consulte a proteção de aplicações use com aplicações iOS.
| Nome(s) da aplicação/serviço | Descrição |
|---|---|
skype |
Skype |
app-settings |
Definições do dispositivo |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
Calendário Nativo |
Importante
As políticas de Proteção de Aplicações criadas antes de 15 de junho de 2020 incluem o sistema de URL telprompt como parte das isenções de transferência de dados padrão. Estes esquemas de URL permitem que aplicações geridas iniciem o marcador. A definição da política de Proteção de Aplicações Transfer dados de telecomunicações substituiu esta funcionalidade. Os administradores devem remover tel;telprompt; das isenções de transferência de dados e confiar na definição da política de Proteção de Aplicações, desde que as aplicações geridas que iniciem a funcionalidade de marcação incluem o Intune SDK 12.7.0 ou mais tarde.
Importante
No Intune SDK 14.5.0 ou posterior, incluindo esquemas de SMS e mail para URL nas isenções de transferência de dados também permitirão a partilha de dados org para o MFMessageCompose (para sms) e MFMailCompose (para mailto) ver controladores dentro de aplicações geridas por políticas.
Requisitos de acesso
| Definições | Como utilizar | Valor predefinido |
|---|---|---|
| PIN para acesso | Selecione Exigir para exigir um PIN para utilizar esta aplicação. É pedido ao utilizador para configurar este PIN da primeira vez que executar a aplicação num contexto escolar ou profissional. O PIN é aplicado quer trabalhe online ou offline. Pode configurar a segurança do PIN através das definições disponíveis na secção PIN para acesso. |
Requerer |
|
Defina um requisito para os PINs de tipo numérico ou de código de acesso antes de aceder a uma aplicação com políticas de proteção aplicadas. Os requisitos numéricos só envolvem números, mas um código de acesso pode ser definido com, pelo menos, 1 letra do alfabeto ou 1 caráter especial. Nota: Para configurar o tipo de código de acesso, requer que a app tenha a versão Intune SDK 7.1.12 ou superior. O tipo numérico não tem nenhuma restrição de versão Intune SDK. Os caracteres especiais permitidos incluem os caracteres e símbolos especiais no teclado de língua inglesa iOS/iPadOS. |
Numérico |
|
Selecione Permitir para permitir que os utilizadores utilizem sequências de PIN simples, como 1234, 1111, abcd ou aaaa. Selecione Bloquear para os impedir de utilizar sequências simples. Sequências simples são verificadas em 3 janelas deslizantes de caracteres. Se o Bloco estiver configurado, 1235 ou 1112 não seriam aceites como PIN definidos pelo utilizador final, mas 1122 seriam permitidos. Nota: Se o PIN do tipo código de acesso estiver configurado e permitir que o PIN simples esteja definido para Sim, o utilizador precisa de pelo menos 1 letra ou pelo menos 1 caracteres especiais no pin. Se o PIN do tipo Código de Acesso estiver configurado e Permitir que o PIN simples esteja definido para Não, o utilizador precisa de pelo menos 1 número e 1 letra e pelo menos 1 caracteres especiais no seu PIN. |
Permitir |
|
Especifique o número mínimo de dígitos numa sequência de PIN. | 4 |
|
Selecione Permitir para permitir que o utilizador utilize o Touch ID em vez de um PIN para aceder à aplicação. | Permitir |
|
Para utilizar esta definição, selecione Exigir e, em seguida, configure o tempo limite de inatividade. | Requerer |
|
Especifique um tempo em minutos após o qual um PIN de senha ou numérico (conforme configurado) irá sobrepor-se à utilização de uma impressão digital ou rosto como método de acesso. Este valor de tempo limite deve ser superior ao valor especificado em "Rever os requisitos de acesso após (minutos de inatividade)". | 30 |
|
Selecione Deixe o utilizador utilizar a tecnologia de reconhecimento facial para autenticar os utilizadores em dispositivos iOS/iPadOS. Se ativado, o Face ID tem de ser utilizado para aceder à aplicação num dispositivo compatível com Face ID. | Permitir |
|
Selecione Sim para exigir que os utilizadores alterem o PIN da aplicação após um determinado período de tempo, em dias. Quando definido como Sim, configure o número de dias antes de ser exigida a reposição do PIN. |
Não |
|
Configure o número de dias antes de ser exigida a reposição do PIN. | 90 |
|
Selecione Sim para desativar o PIN da aplicação quando for detetado um bloqueio do dispositivo num dispositivo inscrito com o Portal da Empresa configurado. Nota: Requer que a aplicação tenha a versão Intune SDK 7.0.1 ou superior. Nos dispositivos iOS/iPadOS, pode permitir que o utilizador prove a sua identidade utilizando o Touch ID ou o Face ID em vez de um PIN. O Intune utiliza a API LocalAuthentication para autenticar os utilizadores com o Touch ID e Face ID. Para saber mais sobre o Touch ID e Face ID, veja o Guia de Segurança do iOS. Quando o utilizador tentar utilizar esta aplicação com a respetiva conta escolar ou profissional, ser-lhe-á pedido para fornecer a identidade de impressão digital ou identidade facial em vez de introduzir um PIN. Quando esta definição está ativada, a imagem de pré-visualização do comutador da aplicação estará desfocada enquanto utiliza uma conta profissional ou escolar. |
Ativar |
| Credenciais da conta escolar ou profissional para acesso | Selecione Exigir para exigir que o utilizador inicie sessão com a conta escolar ou profissional em vez de introduzir um PIN de acesso à aplicação. Se definir como Exigir e os pedidos de autenticação biométrica ou de PIN estiverem ativados, serão apresentadas ambas as credenciais da empresa, assim como os pedidos de autenticação biométrica ou de PIN. | não é necessário |
| Verificar novamente os requisitos de acesso após (minutos de inatividade) | Configure o número de minutos de inatividade que devem passar antes de a aplicação exigir que o utilizador especifique novamente os requisitos de acesso. Por exemplo, um administrador ativa o PIN e bloqueia os dispositivos com rooting na política. Desta forma, ao abrir uma aplicação gerida pelo Intune, o utilizador tem de introduzir um PIN e utilizar a aplicação num dispositivo sem rooting. Com esta definição, o utilizador não tem de introduzir um PIN ou submeter-se a outra verificação de deteção de rooting nas aplicações geridas pelo Intune durante um período de tempo igual ao valor configurado. Nota: No iOS/iPadOS, o PIN é partilhado entre todas as aplicações geridas pela Intune da mesma editora. O temporizador PIN para um PIN específico é reiniciado uma vez que a aplicação deixa o primeiro plano no dispositivo. O utilizador não teria de introduzir um PIN em qualquer aplicação gerida pela Intune que partilhe o seu PIN durante o tempo limite definido nesta definição. Este formato de definição de política suporta um número inteiro positivo. |
30 |
Nota
Para saber mais sobre como várias configurações de proteção de aplicações Intune configuradas na secção Access para o mesmo conjunto de aplicações e utilizadores trabalham no iOS/iPadOS, consulte o Intune MAM frequentemente questionado e limpando seletivamente dados usando ações de acesso à política de proteção de aplicações no Intune.
Iniciação condicional
Configure definições de iniciação condicional para definir requisitos de segurança de início de sessão para a sua política de proteção de acesso.
Por predefinição, são fornecidas várias definições com valores e ações previamente configurados. Pode eliminar algumas destas definições, como Versão mínima do SO. Também pode selecionar outras definições a partir da lista pendente Selecionar uma.
| Definições | Como utilizar |
|---|---|
| Versão Max OS | Especifique um sistema operativo máximo iOS/iPadOS para utilizar esta aplicação. As ações incluem:
Esta entrada pode aparecer múltiplas vezes, com cada instância a suportar uma ação diferente. Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision. Nota: Requer que a aplicação tenha a versão Intune SDK 14.4.0 ou superior. |
| Versão mínima do SO | Especifique um sistema operativo iOS/iPadOS mínimo para utilizar esta aplicação. As ações incluem:
Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision. Nota: Requer que a aplicação tenha a versão Intune SDK 7.0.1 ou superior. |
| Máximo de tentativas de PIN | Especifique o número de tentativas que o utilizador tem para introduzir o PIN com êxito antes de a ação configurada ser realizada. Se o utilizador não introduzir o PIN com sucesso após as tentativas máximas de PIN, o utilizador deve redefinir o pino depois de iniciar sessão na sua conta com sucesso e completar um desafio de autenticação multi-factor (MFA), se necessário. Este formato de definição de políticas suporta um número inteiro positivo. As ações incluem:
|
| Período de tolerância offline | O número de minutos que as aplicações geridas pela política podem ser executadas offline. Especifique o tempo (em minutos) antes de os requisitos de acesso da aplicação serem novamente verificados. As ações incluem:
|
| Dispositivos com jailbreak/rooting | Não existe um valor a definir para esta definição. As ações incluem:
|
| Conta desativada | Não existe um valor a definir para esta definição. As ações incluem:
|
| Versão mínima da aplicação | Especifique um valor para o valor mínimo da versão da aplicação. As ações incluem:
Esta entrada pode aparecer múltiplas vezes, com cada instância a suportar uma ação diferente. Este formato de definição de políticas suporta major.minor, major.minor.build, major.minor.build.revision. Nota: Requer que a aplicação tenha a versão Intune SDK 7.0.1 ou superior. Além disso, pode configurar onde os seus utilizadores finais podem obter uma versão atualizada de uma aplicação de linha de negócios (LOB). Os utilizadores finais irão ver isto no diálogo de lançamento condicional da versão min app, o que irá levar os utilizadores finais a atualizarem para uma versão mínima da aplicação LOB. No iOS/iPadOS, esta funcionalidade requer que a aplicação seja integrada (ou embrulhada utilizando a ferramenta de embrulho) com o Intune SDK para iOS v. 10.0.7 ou superior. Para configurar onde um utilizador final deve atualizar uma aplicação LOB, a aplicação precisa de uma política de configuração de aplicações gerida enviada para ela com a chave, com.microsoft.intune.myappstore . O valor enviado definirá qual a loja a partir da qual o utilizador final irá descarregar a aplicação. Se a aplicação for implementada através do Portal da Empresa, o valor deve ser CompanyPortal . Para qualquer outra loja, deve introduzir uma URL completa. |
| Versão mínima do SDK | Especifique um valor mínimo para a versão do SDK do Intune. As ações incluem:
Esta entrada pode aparecer múltiplas vezes, com cada instância a suportar uma ação diferente. |
| Modelos de dispositivos | Especificar uma lista separada do ponto de identificação do ou dos identificadors do modelo. Estes valores não são sensíveis a maiúsculas e minúsculas. As ações incluem:
|
| Max permitiu o nível de ameaça do dispositivo | As políticas de proteção de aplicações podem tirar partido do conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar esta aplicação. As ameaças são determinadas pela sua aplicação escolhida para o fornecedor Mobile Threat Defense (MTD) no dispositivo do utilizador final. Especificar secured, low, medium ou high. O secured não requer ameaças no dispositivo e é o valor configurável mais restritivo, enquanto high essencialmente requer uma ligação Intune-to-MTD ativa. As ações incluem:
Para obter mais informações sobre a utilização desta definição, consulte Ativar o MTD para dispositivos não enrolados. |
Saber mais
- Saiba mais sobre Informações e funcionalidades do LinkedIn nas suas aplicações da Microsoft.
- Saiba mais sobre as ligações de conta LinkedIn lançadas na página Microsoft 365 Roteiro.
- Saiba mais sobre Configuring LinkedIn account connections (Configurar as ligações de conta do LinkedIn).
- Para obter mais informações sobre dados partilhados entre o trabalho do LinkedIn e da Microsoft dos utilizadores ou contas escolares, consulte o LinkedIn nas aplicações da Microsoft no seu trabalho ou escola.