Exigir uma política de proteção de aplicativos nos dispositivos Windows

As políticas de proteção de aplicativo aplicam o MAM (gerenciamento de aplicativos móveis) a aplicativos específicos em um dispositivo. Essas políticas permitem proteger dados dentro de um aplicativo para dar suporte a cenários como BYOD (traga seu próprio dispositivo).

Pré-requisitos

• Oferecemos suporte à aplicação de políticas ao navegador Microsoft Edge em dispositivos que executam o Windows 11 e o Windows 10 versão 20H2 e superiores com o KB5031445.
• Política de proteção de aplicativo configurada direcionada a dispositivos Windows.
• Atualmente sem suporte em nuvens soberanas.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas break-glass para impedir o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores serem bloqueados, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon e seguir as etapas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo, Gerenciar contas de acesso de emergência na ID do Microsoft Entra.
• Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

A seguinte política é colocada no modo somente de relatório para começar, permitindo que os administradores determinem o impacto que têm sobre os usuários existentes. Quando os administradores estiverem confortáveis de que a política se aplique conforme pretendam, eles poderão alternar para Ativar ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir a política de proteção de aplicativos para dispositivos Windows

As etapas a seguir ajudam a criar uma política de acesso condicional que exige uma política de proteção de aplicativos ao usar um dispositivo Windows acessando o agrupamento de aplicativos do Office 365 em Acesso Condicional. A política de proteção de aplicativos também deve ser configurada e atribuída aos seus usuários no Microsoft Intune. Para obter mais informações sobre como criar a política de proteção do aplicativo, consulte o artigo Configurações de política de proteção de aplicativo para Windows. A política a seguir inclui vários controles que permitem que os dispositivos utilizem políticas de proteção de aplicativos para o gerenciamento de aplicativos móveis (MAM) ou sejam gerenciados e estejam em conformidade com as políticas do gerenciamento de dispositivos móveis (MDM).

Dica

As políticas de proteção de aplicativos dá suporte a dispositivos não gerenciados:

• Se um dispositivo já for gerenciado por meio do MDM (gerenciamento de dispositivo móvel), o registro do MAM do Intune será bloqueado e as configurações de política de proteção do aplicativo não serão aplicadas.
• Se um dispositivo se tornar gerenciado após o registro do MAM, as configurações de política de proteção de aplicativo não serão mais aplicadas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha pelo menos as contas de acesso de emergência ou quebra de vidro da sua organização.
6. Em Recursos de destino>(anteriormente aplicativos de nuvem)>Inclua, selecione Office 365.
7. Em condições:
   1. Plataformas de dispositivo com a configuração Configurar definida para Sim.
      1. Em Incluir, selecione plataformas de dispositivo.
      2. Escolha somente Windows.
      3. Selecione Concluído.
   2. Os aplicativos clientedefinem Configurar como Sim.
      1. Selecione somente Navegador .
8. Em Controles de acesso>Conceda, selecione Conceder acesso.
   1. Selecione Exigir política de proteção de aplicativo e Exigir que o dispositivo seja marcado como compatível.
   2. Para vários controles , selecione Exigir um dos controles selecionados
9. Confirme suas configurações e defina Habilitar política como Apenas relatar.
10. Selecione Criar para criar para habilitar sua política.

Observação

Se você definir como Exigir todos os controles selecionados ou usar apenas o controle Exigir política de proteção de aplicativo, precisará ter certeza de que você só tem como destino dispositivos não gerenciados ou que os dispositivos não sejam gerenciados por MDM. Caso contrário, a política bloqueará o acesso a todos os aplicativos, pois não poderá avaliar se o aplicativo está em conformidade de acordo com a política.

Depois que os administradores avaliarem as configurações de política usando o impacto da política ou o modo somente relatório, eles poderão mover o atalho Habilitar Política de Somente Relatório para Ativado.

Dica

As organizações também devem implantar uma política que bloqueia o acesso de plataformas de dispositivos sem suporte ou desconhecidas , juntamente com essa política.

Entre em dispositivos Windows

Quando os usuários tentam entrar em um site protegido por uma política de proteção de aplicativos pela primeira vez, eles são solicitados: para acessar seu serviço, aplicativo ou site. Talvez seja necessário entrar no Microsoft Edge usando username@domain.com ou registrar seu dispositivo com organization se já estiver conectado.

Clicar no perfil do Switch Edge abre uma janela listando sua conta corporativa ou de estudante, juntamente com uma opção para entrar para sincronizar dados.

Esse processo abre uma oferta de janela para permitir que o Windows lembre da sua conta e se conecte automaticamente aos seus aplicativos e sites.

Cuidado

Você deve LIMPAR A CAIXA DE SELEÇÃOPermitir que minha organização gerencie meu dispositivo. Se essa opção for deixada marcada, o dispositivo será registrado no gerenciamento de dispositivos móveis (MDM) e não no gerenciamento de aplicativos móveis (MAM).

Não selecione Não, entre somente neste aplicativo.

Depois de selecionar OK, você poderá ver uma janela de progresso enquanto a política é aplicada. Depois de alguns instantes, você deverá ver uma janela informando que você está pronto, as políticas de proteção do aplicativo são aplicadas.

Solução de problemas

Problemas comuns

Em algumas circunstâncias, depois de receber a página "está tudo pronto", você ainda poderá ser solicitado a entrar com sua conta corporativa. Esse aviso pode ocorrer quando:

• Seu perfil é adicionado ao Microsoft Edge, mas a inscrição no MAM ainda está sendo processada.
• O seu perfil é adicionado ao Microsoft Edge, mas selecionou "apenas este aplicativo" na página de avisos.
• Você se inscreveu no MAM, mas sua inscrição expirou ou não está em conformidade com os requisitos da sua organização.

Para resolver esses cenários possíveis:

• Aguarde alguns minutos e tente novamente em uma nova guia.
• Contate o administrador para verificar se as políticas do Microsoft Intune MAM estão sendo aplicadas corretamente à sua conta.

Conta existente

Se houver uma conta pré-existente e não registrada, como user@contoso.com no Microsoft Edge, ou se um usuário entrar sem se registrar usando a Página Atenção, a conta não estará registrada corretamente no MAM. Essa configuração impede que o usuário seja corretamente registrado no MAM.

Próximas etapas

• O que é o gerenciamento de aplicativos do Microsoft Intune?
• Visão geral das políticas de proteção de aplicativo