Como criar e atribuir as políticas de proteção de aplicativo

Saiba como criar e atribuir Microsoft Intune APP (políticas de proteção de aplicativo) para usuários da sua organização. Este tópico também descreve como fazer alterações nas políticas existentes.

Antes de começar

Proteção de aplicativos políticas podem ser aplicadas a aplicativos em execução em dispositivos que podem ou não ser gerenciados por Intune. Para obter uma descrição mais detalhada de como as políticas de proteção de aplicativo funcionam e os cenários compatíveis com Intune políticas de proteção de aplicativos, consulte Proteção de aplicativos visão geral das políticas.

As opções disponíveis nas APPs (políticas de proteção do aplicativo) permitem que as organizações personalizem a proteção para suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

  • A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
  • A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
  • A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Se você estiver procurando uma lista de aplicativos que integraram o SDK Intune, consulte Microsoft Intune aplicativos protegidos.

Para obter informações sobre como adicionar aplicativos LOB (linha de negócios) da sua organização a Microsoft Intune para se preparar para políticas de proteção de aplicativos, consulte Adicionar aplicativos a Microsoft Intune.

Proteção de aplicativos políticas para aplicativos iOS/iPadOS e Android

Ao criar uma política de proteção de aplicativo para aplicativos iOS/iPadOS e Android, você segue um fluxo de processo Intune moderno que resulta em uma nova política de proteção de aplicativo. Para obter informações sobre como criar políticas de proteção de aplicativos para aplicativos Windows, consulte Criar e implantar a política de WIP (Windows Proteção de Informações) com Intune.

Criar uma política de proteção de aplicativo iOS/iPadOS ou Android

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Aplicativos>Políticas de proteção de aplicativos. Essa seleção abre os detalhes Proteção de aplicativos políticas, em que você cria novas políticas e edita políticas existentes.

  3. Selecione Criar política e selecione iOS/iPadOS ou Android. O painel Criar política é exibido.

  4. Na página Conceitos Básicos, adicione os seguintes valores:

    Valor Descrição
    Nome O nome dessa política de proteção de aplicativo.
    Descrição [Opcional] A descrição desta política de proteção de aplicativo.

    O valorPlataforma é definido com base em sua escolha acima.

    Captura de tela da página Noções básicas do painel Criar política

  5. Clique em Avançar para exibir a página Aplicativos .
    A página Aplicativos permite que você escolha como deseja aplicar essa política aos aplicativos em diferentes dispositivos. Você deve adicionar pelo menos um aplicativo.

    Valor/opção Descrição
    Direcionar para aplicativos em todos os tipos de dispositivos Use essa opção para direcionar sua política para aplicativos em dispositivos de qualquer estado de gerenciamento. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos. Para obter informações, consulte Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos.
    Tipos de dispositivo Use essa opção para especificar se essa política se aplica a dispositivos gerenciados de MDM ou dispositivos não gerenciados. Para políticas de APLICATIVO iOS/iPadOS, selecione entre dispositivosnão gerenciados e gerenciados. Para políticas do Aplicativo Android, selecione entre Não gerenciado, administrador de dispositivos Android e Android Enterprise.
    Política de destino para Na caixa suspensa Política de destino a ser suspensa, escolha direcionar sua política de proteção de aplicativo para Todos os Aplicativos, Microsoft Apps ou Core Microsoft Apps.

    • Todos os Aplicativos incluem todos os aplicativos Microsoft e parceiros que integraram o SDK Intune.
    • Microsoft Apps inclui todos os aplicativos Microsoft que integraram o SDK Intune.
    • O core Microsoft Apps inclui os seguintes aplicativos: Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do e Word.

    Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.
    Aplicativos públicos Se você não quiser selecionar um dos grupos de aplicativos pré-definidos, poderá optar por direcionar aplicativos individuais selecionando aplicativos selecionados na caixa suspensa Política de destino. Clique em Selecionar aplicativos públicos para selecionar aplicativos públicos a serem direcionados.
    Aplicativos personalizados Se você não quiser selecionar um dos grupos de aplicativos pré-definidos, poderá optar por direcionar aplicativos individuais selecionando aplicativos selecionados na caixa suspensa Política de destino. Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID do Pacote. Você não pode escolher um aplicativo personalizado ao direcionar todos os aplicativos públicos na mesma política.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

    Observação

    Há suporte para aplicativos públicos de Microsoft e parceiros que geralmente são usados com Microsoft Intune. Esses aplicativos protegidos Intune estão habilitados com um conjunto avançado de suporte para políticas de proteção de aplicativos móveis. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos. Aplicativos personalizados são aplicativos LOB que foram integrados ao SDK Intune ou encapsulados pelo Intune App Wrapping Tool. Para obter mais informações, consulte Microsoft Intune Visão geral do SDK do aplicativo e preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.

  6. Clique em Avançar para exibir a página Proteção de dados .
    Esta página fornece configurações para os controles de prevenção contra perda de dados (DLP), incluindo restrições de recortar, copiar, colar e salvar como. Essas configurações determinam como os usuários interagem com os dados nos aplicativos que essa política de proteção de aplicativo aplica.

    Configurações de proteção de dados:

  7. Clique em Avançar para exibir a página Requisitos de acesso .
    Esta página fornece configurações para que você defina os requisitos de PIN e credenciais que os usuários devem atender para acessar aplicativos em um contexto de trabalho.

    Configurações de requisitos de acesso:

  8. Clique em Avançar para exibir a página de lançamento condicional .
    Esta página fornece configurações para definir os requisitos de segurança de login para sua política de proteção de aplicativos. Selecione um Configuraçãoe insira o Valor que os usuários devem reunir para entrar no aplicativo da empresa. Em seguida, selecione a Ação deseja tomar caso os usuários não atendam às suas necessidades. Em alguns casos, várias ações podem ser configuradas para uma única configuração.

    Configurações de inicialização condicional:

  9. Clique em Avançar para exibir a página Atribuições .
    A página Atribuições permite atribuir a política de proteção do aplicativo a grupos de usuários. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito.

  10. Clique em Avançar: Examinar + criar para examinar os valores e as configurações inseridas para esta política de proteção de aplicativo.

  11. Quando terminar, clique em Criar para criar a política de proteção do aplicativo no Intune.

    Dica

    Essas configurações de política são impostas somente ao usar aplicativos no contexto de trabalho. Quando os usuários finais usam o aplicativo para fazer uma tarefa pessoal, eles não são afetados por essas políticas. Observe que quando você cria um novo arquivo, ele é considerado um arquivo pessoal.

    Importante

    Pode levar tempo para que as políticas de proteção de aplicativo se apliquem a dispositivos existentes. Os usuários finais verão uma notificação no dispositivo quando a política de proteção do aplicativo for aplicada. Aplique suas políticas de proteção de aplicativo a dispositivos antes de aplicar regras de acesso condidtional.

Os usuários finais podem baixar os aplicativos da Loja de Aplicativos ou do Google Play. Para saber mais, veja:

Alterar políticas existentes

Você pode editar uma política existente e aplicá-la aos usuários de destino. No entanto, quando você altera as políticas existentes, os usuários que já estão conectados aos aplicativos não verão as alterações por um período de oito horas.

Para ver o efeito das alterações imediatamente, o usuário final deve sair do aplicativo e entrar novamente.

Para alterar a lista de aplicativos associados à política

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos Intune, selecione Propriedades.

  3. Ao lado da seção intitulada Aplicativos, selecione Editar.

  4. A página Aplicativos permite que você escolha como deseja aplicar essa política aos aplicativos em diferentes dispositivos. Você deve adicionar pelo menos um aplicativo.

    Valor/opção Descrição
    Direcionar para aplicativos em todos os tipos de dispositivos Use essa opção para direcionar sua política para aplicativos em dispositivos de qualquer estado de gerenciamento. Escolha Não para direcionar aplicativos em tipos de dispositivos específicos. A configuração adicional do aplicativo pode ser necessária para essa configuração. Para obter mais informações, consulte Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos.
    Tipos de dispositivo Use essa opção para especificar se essa política se aplica a dispositivos gerenciados de MDM ou dispositivos não gerenciados. Para políticas de APLICATIVO iOS/iPadOS, selecione entre dispositivosnão gerenciados e gerenciados. Para políticas do Aplicativo Android, selecione entre Não gerenciado, administrador de dispositivos Android e Android Enterprise.
    Aplicativos públicos Na caixa suspensa Política de destino a ser suspensa, escolha direcionar sua política de proteção de aplicativo para Todos os aplicativos públicos, Microsoft Apps ou Core Microsoft Apps. Em seguida, você pode selecionar Exibir uma lista dos aplicativos que serão direcionados para exibir uma lista dos aplicativos que serão afetados por essa política.

    Se necessário, você pode optar por direcionar aplicativos individuais clicando em Selecionar aplicativos públicos.

    Aplicativos personalizados Clique em Selecionar aplicativos personalizados para selecionar aplicativos personalizados a serem direcionados com base em uma ID do Pacote.

    Os aplicativos selecionados aparecerão na lista de aplicativos públicos e personalizados.

  5. Clique em Revisar + criar para examinar os aplicativos selecionados para esta política.

  6. Quando terminar, clique em Salvar para atualizar a política de proteção do aplicativo.

Para alterar a lista de grupos de usuários

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos Intune, selecione Propriedades.

  3. Ao lado da seção intitulada Atribuições, selecione Editar.

  4. Para adicionar um novo grupo de usuários à política, na guia Incluir , escolha Selecionar grupos para incluir e selecione o grupo de usuários. Escolha Selecionar para adicionar o grupo.

  5. Para excluir um grupo de usuários, na guia Excluir escolha Selecionar grupos para excluir e selecione o grupo de usuários. Escolha Selecionar para remover o grupo de usuários.

  6. Para excluir grupos que foram adicionados anteriormente, nas guias Incluir ou Excluir , selecione as reticências (...) e selecione Excluir.

  7. Clique em Examinar + criar para examinar os grupos de usuários selecionados para essa política.

  8. Depois que suas alterações nas atribuições estiverem prontas, selecione Salvar para salvar a configuração e implantar a política no novo conjunto de usuários. Se você selecionar Cancelar antes de salvar sua configuração, descartará todas as alterações feitas nas guias Incluir e Excluir .

Para alterar as configurações da política

  1. No painel Proteção de aplicativos políticas, selecione a política que você deseja alterar.

  2. No painel Proteção de Aplicativos Intune, selecione Propriedades.

  3. Ao lado da seção correspondente às configurações que você deseja alterar, selecione Editar. Em seguida, altere as configurações para novos valores.

  4. Clique em Examinar + criar para examinar as configurações atualizadas para essa política.

  5. Selecione Salvar para salvar suas alterações. Repita o processo para selecionar uma área de configurações e modificar e salve suas alterações até que todas as alterações sejam concluídas. Em seguida, você pode fechar o painel Intune App Protection – Propriedades.

Políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos

Em muitas organizações, é comum permitir que os usuários finais usem dispositivos gerenciados Intune Mobile Gerenciamento de Dispositivos (MDM), como dispositivos corporativos e dispositivos não gerenciados protegidos com apenas Intune políticas de proteção de aplicativo. Dispositivos não gerenciados geralmente são conhecidos como ByOD (Bring Your Own Devices).

Como Intune políticas de proteção de aplicativo visam a identidade de um usuário, as configurações de proteção para um usuário podem ser aplicadas a dispositivos registrados (gerenciados por MDM) e não registrados (sem MDM). Portanto, você pode direcionar uma política de proteção de aplicativo Intune para Intune dispositivos iOS/iPadOS e Android registrados ou não registrados. Você pode ter uma política de proteção para dispositivos não gerenciados em que controles rígidos de prevenção contra perda de dados (DLP) estão em vigor e uma política de proteção separada para dispositivos gerenciados por MDM, onde os controles DLP podem estar um pouco mais relaxados. Para obter mais informações sobre como isso funciona em dispositivos Android Enterprise pessoais, consulte Proteção de aplicativos políticas e perfis de trabalho.

Para criar essas políticas, navegue até Aplicativos>Proteção de aplicativos políticas no console Intune e selecione Criar política. Você também pode editar uma política de proteção de aplicativo existente. Para que a política de proteção de aplicativo se aplique a dispositivos gerenciados e não gerenciados, navegue até a página Aplicativos e confirme se Destino a aplicativos em todos os tipos de dispositivo está definido como Sim, o valor padrão. Se você quiser atribuir granularmente com base no estado de gerenciamento, defina Destino para aplicativos em todos os tipos de dispositivo como No.

Tipos de dispositivo

  • Não gerenciados: para dispositivos iOS/iPadOS, dispositivos não gerenciados são dispositivos em que Intune gerenciamento de MDM ou uma solução MDM/EMM de terceiros não passa a IntuneMAMUPN chave. Para dispositivos Android, dispositivos não gerenciados são dispositivos em que Intune gerenciamento de MDM não foi detectado. Isso inclui dispositivos gerenciados por fornecedores de MDM de terceiros.
  • Intune dispositivos gerenciados: os dispositivos gerenciados são gerenciados por Intune MDM.
  • Administrador de dispositivos Android: dispositivos gerenciados por Intune usando a API de Administração de Dispositivos Android.
  • Android Enterprise: dispositivos gerenciados por Intune usando perfis de trabalho do Android Enterprise ou Android Enterprise Full Gerenciamento de Dispositivos.

No Android, os dispositivos Android solicitarão a instalação do aplicativo Portal da Empresa do Intune independentemente do tipo de dispositivo escolhido. Por exemplo, se você selecionar 'Android Enterprise' então os usuários com dispositivos Android não gerenciados ainda serão solicitados.

Para iOS/iPadOS, para que a seleção de "tipo de dispositivo" seja imposta a dispositivos gerenciados Intune, são necessárias configurações adicionais de configuração de aplicativo. Essas configurações se comunicarão com o serviço APP que um determinado aplicativo é gerenciado e que as configurações do APP não se aplicarão:

Observação

Para obter informações específicas de suporte para iOS/iPadOS sobre políticas de proteção de aplicativo com base no estado de gerenciamento de dispositivos, consulte Políticas de proteção do MAM direcionadas com base no estado de gerenciamento.

Configurações de política

Para ver uma lista completa das configurações de política para iOS/iPadOS e Android, selecione um dos seguintes links:

Próximas etapas

Monitorar a conformidade e o status do usuário

Confira também