Apagar seletivamente dados usando ações de inicialização condicional da política de proteção de aplicativo no Intune

Artigo
02/27/2024

As ações de inicialização condicional dentro das políticas de proteção de aplicativo do Intune fornecem às organizações a capacidade de bloquear o acesso ou apagar dados da organização quando determinadas condições de dispositivo ou aplicativo não forem atendidas.

Você pode optar explicitamente por apagar os dados corporativos da sua empresa do dispositivo do usuário final como uma ação a ser tomada por descumprimento usando essas configurações. Para algumas configurações, você pode configurar várias ações, como bloquear o acesso e apagar dados com base em valores especificados diferentes.

Criar uma política de proteção de aplicativo usando ações de inicialização condicional

Entre no Centro de administração do Microsoft Intune.
Selecione Aplicativos>Proteção de aplicativos Políticas.
Selecione Criar política e selecione a plataforma do dispositivo para sua política.
Selecione Configurar as configurações necessárias para ver a lista de configurações disponíveis para serem configuradas para a política.
Ao rolar para baixo no painel Configurações, você verá uma seção intitulada Inicialização condicional com uma tabela editável.
Selecione um Configuraçãoe insira o Valor que os usuários devem reunir para entrar no aplicativo da empresa.
Selecione a Ação que você deseja executar se os usuários não atenderem aos seus requisitos. Em alguns casos, várias ações podem ser configuradas para uma única configuração. Para obter mais informações, consulte Como criar e atribuir políticas de proteção de aplicativo.

Configurações de política

A tabela de configurações de política de proteção de aplicativo tem colunas para Configuração, Valor e Ação.

Visualização: configurações de política do Windows

Para o Windows, você pode configurar ações para as seguintes configurações de "Verificação de Integridade" usando a lista suspensa Configuração :

Conta desabilitada
Versão máxima do sistema operacional
Versão mínima do aplicativo
Versão mínima do sistema operacional
Versão mínima do SDK
Período de cortesia offline
Nível máximo permitido de ameaça ao dispositivo

Configurações de política do iOS

Para iOS/iPadOS, você pode configurar ações para as seguintes configurações usando a lista suspensa Configuração :

Máximo de tentativas de PIN
Período de cortesia offline
Dispositivos com jailbreak/desbloqueados por rooting
Versão máxima do sistema operacional
Versão mínima do sistema operacional
Versão mínima do aplicativo
Versão mínima do SDK
Modelos de dispositivo
Nível máximo permitido de ameaça ao dispositivo
Conta desabilitada

Para usar a configuração modelos de dispositivo, insira uma lista separada de semi-pontos de identificadores de modelo iOS/iPadOS. Esses valores não são sensíveis a casos. Além do Intune Reporting para a entrada "Modelos de dispositivo", você pode encontrar um identificador de modelo iOS/iPadOS neste repositório github de terceiros.
Entrada de exemplo: iPhone5,2; iPhone5,3

Em dispositivos de usuário final, o cliente do Intune agiria com base em uma simples correspondência de cadeias de caracteres de modelo de dispositivo especificadas no Intune for Application Protection Policies. A correspondência depende inteiramente do que o dispositivo relata. Você (administrador de TI) é incentivado a garantir que o comportamento pretendido ocorra testando essa configuração com base em vários fabricantes e modelos de dispositivo e direcionado a um pequeno grupo de usuários. O valor padrão não está configurado.
Defina uma das seguintes ações:

Permitir especificado (Bloquear não especificado)
Permitir especificado (Apagar não especificado)

O que acontece se o administrador de TI inserir uma lista diferente de identificadores de modelo iOS/iPadOS entre políticas direcionadas aos mesmos aplicativos para o mesmo usuário do Intune?
Quando surgem conflitos entre duas políticas de proteção de aplicativo para valores configurados, o Intune normalmente adota a abordagem mais restritiva. Assim, a política resultante enviada para o aplicativo de destino aberto pelo usuário do Intune direcionado seria uma interseção dos identificadores de modelo iOS/iPadOS listados na Política A e Política B direcionadas à mesma combinação de aplicativo/usuário. Por exemplo, a Política A especifica "iPhone5,2; iPhone5,3", enquanto a Política B especifica "iPhone5,3", a política resultante de que o usuário do Intune direcionado pela Política A e política B é "iPhone5,3".

Configurações de política do Android

Para Android, você pode configurar ações para as seguintes configurações usando a lista suspensa Configuração :

Máximo de tentativas de PIN
Período de cortesia offline
Dispositivos com jailbreak/desbloqueados por rooting
Versão mínima do sistema operacional
Versão máxima do sistema operacional
Versão mínima do aplicativo
Versão do patch min
Fabricantes de dispositivos
Jogar veredicto de integridade
Exigir verificação de ameaças em aplicativos
Min Portal da Empresa versão
Nível máximo permitido de ameaça ao dispositivo
Conta desabilitada
Exigir bloqueio de dispositivo

Usando a versão min Portal da Empresa, você pode especificar uma versão definida mínima específica do Portal da Empresa imposta em um dispositivo de usuário final. Essa configuração de inicialização condicional permite que você defina valores como Bloquear acesso, Apagar dados e Avisar como ações possíveis quando cada valor não for atendido. Os formatos possíveis para esse valor seguem o padrão [Major].[ Menor], [Major].[ Menor]. [Build], ou [Major].[ Menor]. [Build]. [Revisão]. Dado que alguns usuários finais podem não preferir uma atualização forçada de aplicativos no local, a opção "avisar" pode ser ideal ao configurar essa configuração. A Google Play Store faz um bom trabalho enviando apenas os bytes delta para atualizações de aplicativo. No entanto, isso ainda pode ser uma grande quantidade de dados que o usuário pode não querer utilizar se estiver em dados no momento da atualização. Forçar uma atualização e baixar um aplicativo atualizado pode resultar em cobranças inesperadas de dados no momento da atualização. A configuração de versão do Min Portal da Empresa, se configurada, afetará qualquer usuário final que obtenha a versão 5.0.4560.0 do Portal da Empresa e quaisquer versões futuras do Portal da Empresa. Essa configuração não tem efeito sobre os usuários que usam uma versão de Portal da Empresa mais antiga que a versão com a qual esse recurso é lançado. Os usuários finais que usam autoupdatas de aplicativo em seu dispositivo provavelmente não verão nenhuma caixa de diálogo desse recurso, dado que eles provavelmente estarão na versão mais recente Portal da Empresa. Essa configuração é Android somente com proteção de aplicativo para dispositivos registrados e não registrados.

Para usar a configuração fabricantes de dispositivos , insira uma lista separada de dois pontos de fabricantes Android. Esses valores não são sensíveis a casos. Além do Intune Reporting, você pode encontrar o fabricante android de um dispositivo nas configurações do dispositivo.
Entrada de exemplo: Fabricante A; Fabricante B

Observação

Estes são alguns fabricantes comuns relatados de dispositivos usando o Intune e podem ser usados como entrada: Asus; Blackberry; Bq; Gionee; Google; Hmd global; Htc; Huawei; Infinix; Kyocera; Lemobile; Lenovo; Lge; Motorola; Oneplus; Oppo; Samsung; Afiada; Sony; Tecno; Vivo; Vodafone; Xiaomi; Zte; Zuk

Permitir especificado (Bloquear em não especificado)
Permitir especificado (Apagar em não especificado)

O que acontece se o administrador de TI inserir uma lista diferente de fabricantes do Android entre políticas direcionadas aos mesmos aplicativos para o mesmo usuário do Intune?
Quando surgem conflitos entre duas políticas de proteção de aplicativo para valores configurados, o Intune normalmente adota a abordagem mais restritiva. Assim, a política resultante enviada para o aplicativo de destino que está sendo aberto pelo usuário do Intune direcionado seria uma interseção dos fabricantes android listados na Política A e Política B direcionadas à mesma combinação de aplicativo/usuário. Por exemplo, a Política A especifica "Google; Samsung", enquanto a Política B especifica "Google", a política resultante que o usuário do Intune visado pela Política A e política B é "Google".

Configurações e ações adicionais

Por padrão, a tabela contém linhas preenchidas como configurações configuradas para o período de carência offline e tentativas de PIN máximo, se a configuração Exigir PIN para acesso for definida como Sim.

Para configurar uma configuração, selecione uma configuração na lista suspensa na coluna Configuração . Depois que uma configuração é selecionada, a caixa de texto editável fica habilitada na coluna Valor na mesma linha, se um valor for necessário para ser definido. Além disso, a lista suspensa fica habilitada na coluna Ação com o conjunto de ações de inicialização condicional aplicáveis à configuração.

A lista a seguir fornece a lista comum de ações:

Bloquear o acesso – bloqueie o usuário final de acessar o aplicativo corporativo.
Apagar dados – apagar os dados corporativos do dispositivo do usuário final.
Avisar – forneça a caixa de diálogo para o usuário final como uma mensagem de aviso.

Em alguns casos, como a configuração de versão do Sistema Operacional Min , você pode configurar a configuração para executar todas as ações aplicáveis com base em diferentes números de versão.

Captura de tela das ações de acesso à proteção de aplicativo – versão do sistema operacional min

Depois que uma configuração estiver totalmente configurada, a linha será exibida em uma exibição somente leitura e estará disponível para ser editada a qualquer momento. Além disso, a linha parece ter uma lista suspensa disponível para seleção na coluna Configuração . As configurações que não permitem várias ações não estão disponíveis para seleção na lista suspensa.

Próximas etapas

Saiba mais sobre as políticas de proteção de aplicativo do Intune, confira: