Perguntas frequentes sobre o MAM e a proteção do aplicativo

Visão geral do MAM

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo.

Consulte as configurações da política de proteção de aplicativo Android e as configurações da política de proteção de aplicativo iOS/iPadOS para obter informações detalhadas sobre cada configuração de política de proteção de aplicativo.

Se você aplicar uma política de MAM ao usuário sem definir o estado de gerenciamento de dispositivo, o usuário obterá a política de MAM no dispositivo BYOD e no dispositivo gerenciado pelo Intune. Você também pode aplicar uma política de MAM com base no estado de gerenciamento de dispositivos. Portanto, quando você cria uma política de proteção de aplicativo, ao lado de Destino para aplicativos em todos os tipos de dispositivo, você selecionará Não. Depois, siga um destes procedimentos:

• Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.
• Aplique uma política de MAM igualmente estrita a dispositivos gerenciados do Intune quanto a dispositivos gerenciados de terceiros.
• Aplique uma política de MAM apenas a dispositivos não registrados.

Para obter mais informações, consulte Como monitorar políticas de proteção de aplicativos.

Qualquer aplicativo que tenha sido integrado ao SDK do Aplicativo do Intune ou encapsulado pelo intune App Wrapping Tool pode ser gerenciado usando políticas de proteção de aplicativo do Intune. Veja a lista oficial de aplicativos gerenciados pelo Intune disponíveis para uso público.

• O usuário final deve ter uma conta Microsoft Entra. Consulte Adicionar usuários e dê permissão administrativa ao Intune para saber como criar usuários do Intune em Microsoft Entra ID.

• O usuário final deve ter uma licença para Microsoft Intune atribuída à sua conta Microsoft Entra. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.

• O usuário final deve pertencer a um grupo de segurança que esteja sob uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implantadas no centro de administração Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.

• O usuário final deve entrar no aplicativo usando sua conta Microsoft Entra.

A equipe de desenvolvimento do SDK do Intune testa ativamente e mantém o suporte para aplicativos criados com as plataformas nativas do Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Embora alguns clientes tenham tido sucesso com a integração do SDK do Intune com outras plataformas, como React Native e NativeScript, não fornecemos diretrizes explícitas ou plug-ins para desenvolvedores de aplicativos usando nada além de nossas plataformas compatíveis.

O SDK do Aplicativo do Intune pode usar a Biblioteca de Autenticação da Microsoft para seus cenários de autenticação e inicialização condicional. Ele também depende do MSAL para registrar a identidade do usuário com o serviço MAM para gerenciamento sem cenários de registro de dispositivo.

• O usuário final deve ter o aplicativo móvel do Outlook instalado em seu dispositivo.

• O usuário final deve ter uma caixa de correio do Microsoft 365 Exchange Online e uma licença vinculadas à sua conta Microsoft Entra.

  Observação

  Atualmente, o aplicativo móvel do Outlook dá suporte apenas à Proteção de Aplicativos do Intune para Microsoft Exchange Online e Exchange Server com autenticação moderna híbrida e não dá suporte ao Exchange no Office 365 Dedicado.

• O usuário final deve ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa vinculada à sua conta Microsoft Entra. A assinatura deve incluir os aplicativos do Office em dispositivos móveis e pode incluir uma conta de armazenamento em nuvem com o OneDrive for Business. As licenças do Microsoft 365 podem ser atribuídas no Centro de Administração do Microsoft 365 seguindo estas instruções.

• O usuário final deve configurar um local gerenciado usando o salvamento granular como funcionalidade na configuração "Salvar cópias de dados da organização" da política de proteção do aplicativo. Por exemplo, se o local gerenciado for o OneDrive, o aplicativo OneDrive deverá ser configurado no aplicativo Word, Excel ou PowerPoint do usuário final.

• Se o local gerenciado for o OneDrive, será necessário direcionar o aplicativo de acordo com a política de proteção do aplicativo implantada para o usuário final.

  Observação

  No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

O Intune marca todos os dados no aplicativo como "corporativos" ou "pessoais". Os dados são considerados "corporativos" quando são originados de um local de negócios. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas).

Consulte os requisitos de licença do Skype for Business. Para configurações híbridas e locais Skype for Business (SfB), confira Auth Modern Híbrido para SfB e Exchange vai GA e Modern Auth para SfB local com Microsoft Entra ID, respectivamente.

O suporte a várias identidades é a capacidade do SDK do Aplicativo do Intune de aplicar apenas políticas de proteção de aplicativo à conta corporativa ou escolar inscrita no aplicativo. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados.

O suporte a várias identidades permite que aplicativos com públicos "corporativos" e consumidores (ou seja, os aplicativos do Office) sejam lançados publicamente com recursos de proteção de aplicativo do Intune para as contas "corporativas".

Como o Outlook tem uma exibição de email combinada de emails pessoais e "corporativos", o aplicativo outlook solicita o PIN do Intune no início.

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.

O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos". Em aplicativos de várias identidades, como Word/Excel/PowerPoint, o usuário é solicitado para seu PIN quando tenta abrir um documento ou arquivo "corporativo". Em aplicativos de identidade única, como aplicativos de linha de negócios gerenciados usando o intune App Wrapping Tool, o PIN é solicitado no início, pois o SDK do Aplicativo do Intune sabe que a experiência do usuário no aplicativo é sempre "corporativa".

O administrador de TI pode definir a configuração da política de proteção de aplicativo do Intune "Verificar novamente os requisitos de acesso após (minutos)" no centro de administração do Microsoft Intune. Essa configuração especifica a quantidade de tempo antes que os requisitos de acesso sejam verificados no dispositivo e a tela PIN do aplicativo seja mostrada novamente. No entanto, detalhes importantes sobre o PIN que afetam a frequência com que o usuário será consultado são:

• O PIN é compartilhado entre aplicativos do mesmo editor para melhorar a usabilidade: No iOS/iPadOS, um PIN de aplicativo é compartilhado entre todos os aplicativos do mesmo editor de aplicativos. No Android, o PIN de um aplicativo é compartilhado com todos os aplicativos.
• O comportamento "Verificar novamente os requisitos de acesso após (minutos)" após uma reinicialização do dispositivo: Um "temporizador PIN" rastreia o número de minutos de inatividade que determinam quando mostrar o PIN do aplicativo do Intune em seguida. No iOS/iPadOS, o temporizador PIN não é afetado pela reinicialização do dispositivo. Assim, a reinicialização do dispositivo não tem efeito sobre o número de minutos que o usuário ficou inativo de um aplicativo iOS/iPadOS com a política PIN do Intune. No Android, o temporizador PIN é redefinido na reinicialização do dispositivo. Como tal, os aplicativos Android com a política PIN do Intune provavelmente solicitarão um PIN de aplicativo, independentemente do valor de configuração "Verificar novamente os requisitos de acesso após (minutos)" após uma reinicialização do dispositivo.
• A natureza de rolamento do temporizador associado ao PIN: Depois que um PIN é inserido para acessar um aplicativo (aplicativo A), e o aplicativo deixa o primeiro plano (main foco de entrada) no dispositivo, o temporizador PIN é redefinido para esse PIN. Qualquer aplicativo (aplicativo B) que compartilhe esse PIN não solicitará ao usuário a entrada de PIN porque o temporizador foi redefinido. A solicitação será exibida novamente quando o valor "Verificar novamente os requisitos de acesso após (minutos)" for atendido novamente.

Para dispositivos iOS/iPadOS, mesmo que o PIN seja compartilhado entre aplicativos de diferentes editores, o prompt aparecerá novamente quando o valor Recheck dos requisitos de acesso após (minutos) for atendido novamente para o aplicativo que não é o foco de entrada main. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado. Depois que o valor Verificar novamente os requisitos de acesso após (minutos) for atendido e o usuário alternar para o aplicativo B, o PIN será necessário.

O PIN do Intune funciona com base em um temporizador baseado em inatividade (o valor de 'Verificar novamente os requisitos de acesso após (minutos)'). Portanto, os prompts do PIN do Intune são mostrados independentemente dos prompts do PIN do aplicativo interno do Outlook e do OneDrive, que geralmente são vinculados à inicialização do aplicativo por padrão. Se o usuário recebe ambos os prompts de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.

O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo. Portanto, um usuário final deve entrar com sua conta corporativa ou de estudante antes de definir ou redefinir o PIN do aplicativo do Intune. Essa autenticação é tratada por Microsoft Entra ID por meio da troca de tokens seguro e não é transparente para o SDK do Aplicativo do Intune. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los. A criptografia não está relacionada ao PIN do aplicativo, mas é sua própria política de proteção de aplicativo.

Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo. Depois que o número de tentativas for atendido, o SDK do Aplicativo do Intune poderá apagar os dados "corporativos" no aplicativo.

Atualmente, o MAM (no iOS/iPadOS) permite pin no nível do aplicativo com caracteres alfanuméricos e especiais (chamados de 'senha') que exigem a participação de aplicativos (ou seja, WXP, Outlook, Navegador Gerenciado, Yammer) para integrar o SDK do Aplicativo do Intune para iOS/iPadOS. Sem isso, as configurações de senha não são impostas corretamente para os aplicativos de destino. Esse foi um recurso lançado no SDK do Intune para iOS/iPadOS v. 7.1.12.

Para dar suporte a esse recurso e garantir a compatibilidade com versões anteriores do SDK do Intune para iOS/iPadOS, todos os PINs (numéricos ou de senha) na versão 7.1.12+ são tratados separadamente do PIN numérico das versões anteriores do SDK. Portanto, se um dispositivo tiver aplicativos com o SDK do Intune para versões iOS/iPadOS antes de 7.1.12 E após 7.1.12 do mesmo editor, ele terá que configurar dois PINs.

Dito isto, os dois PINs (para cada aplicativo) não estão relacionados de forma alguma, ou seja, devem aderir à política de proteção de aplicativo aplicada ao aplicativo. Sendo assim, o usuário poderá configurar o mesmo PIN duas vezes somente se os aplicativos A e B tiverem as mesmas políticas aplicadas com relação ao PIN.

Esse comportamento é específico ao PIN em aplicativos do iOS/iPadOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS/iPadOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo. Consulte a observação abaixo para obter um exemplo.

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.

Consulte Android app protection policy settings (Configurações da política de proteção do aplicativo Android) e iOS/iPadOS app protection policy settings (Configurações da política de proteção do aplicativo iOS) para obter informações detalhadas sobre a configuração da política de proteção do aplicativo para criptografia.

Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI. Os dados são considerados “corporativos” quando tem como origem um local da empresa. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas). Para aplicativos de linha de negócios gerenciados pelo Intune App Wrapping Tool, todos os dados do aplicativo são considerados "corporativos".

O Intune pode apagar dados do aplicativo de três maneiras diferentes: apagamento completo do dispositivo, apagamento seletivo para MDM e apagamento seletivo de MAM. Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.

O apagamento remove todos os dados e configurações do usuário do dispositivo restaurando o dispositivo em suas configurações padrão de fábrica. O dispositivo é removido do Intune.

Confira Remover dispositivos – desativar para saber mais sobre a remoção de dados da empresa.

O apagamento seletivo para MAM simplesmente remove dados de aplicativo da empresa de um aplicativo. A solicitação é iniciada usando o centro de administração Microsoft Intune. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.

Se o usuário estiver usando o aplicativo quando o apagamento seletivo for iniciado, o SDK do Aplicativo do Intune verificará a cada 30 minutos uma solicitação de apagamento seletivo do serviço MAM do Intune. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.

A proteção de aplicativo do Intune depende da identidade do usuário para ser consistente entre o aplicativo e o SDK do Aplicativo do Intune. A única maneira de assegurar isso é por meio da autenticação moderna. Há cenários em que os aplicativos podem funcionar com uma configuração local, mas não são consistentes nem garantidos.

Sim! O administrador de TI pode implantar e definir a política de proteção de aplicativo para o aplicativo Microsoft Edge. O administrador de TI pode exigir que todos os links da Web em aplicativos gerenciados pelo Intune sejam abertos usando o aplicativo Microsoft Edge.

Aplicativo Portal da Empresa e Proteção de Aplicativo do Intune

As políticas de proteção de aplicativo do Intune para acesso serão aplicadas em uma ordem específica em dispositivos de usuário final enquanto tentam acessar um aplicativo direcionado de sua conta corporativa. Em geral, um bloco teria precedência e, em seguida, um aviso indeferível. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de versão de patch mínima do Android que avisa o usuário para fazer uma atualização de patch, que será aplicada após a configuração da versão de patch mínima do Android que bloqueia o acesso do usuário. Portanto, o cenário em que o administrador de TI configura a versão de patch de Android mínima 2018-03-01 e a versão de patch de Android mínima (somente Aviso) 2018-02-01, enquanto o dispositivo tentar acessar o aplicativo estava em uma versão de patch 2018-01-01, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de patch de Android mínima que resulta em acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do aplicativo teria precedência, seguido por um requisito de versão do sistema operacional de versão de patch do Android. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.

O serviço do Intune entrará em contato com o Google Play em um intervalo não configurável determinado pela carga de serviço. Qualquer ação configurada de administrador de TI para a integridade do dispositivo do Google Play marcar configuração será tomada com base no último resultado relatado para o serviço do Intune no momento do lançamento condicional. Se o resultado da integridade do dispositivo do Google estiver em conformidade, nenhuma ação será tomada. Se o resultado da integridade do dispositivo do Google não estiver em conformidade, a ação configurada pelo administrador de TI será tomada imediatamente. Se a solicitação à integridade do dispositivo do Google Play marcar falhar por qualquer motivo, o resultado armazenado em cache da solicitação anterior será usado por até 24 horas ou a próxima reinicialização do dispositivo, que vem primeiro. Nesse momento, as Políticas de Proteção de Aplicativo do Intune bloquearão o acesso até que um resultado atual possa ser obtido.

As instruções sobre como fazer isso variam ligeiramente por dispositivo. O processo geral envolve acessar a Google Play Store, clicar em Meus aplicativos e jogos e clicar no resultado do último exame de aplicativo que o levará até o menu do Play Protect. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.

O Intune aproveita as APIs de Integridade do Google Play para adicionar às nossas verificações de detecção raiz existentes para dispositivos não registrados. O Google desenvolveu e manteve esse conjunto de API para aplicativos Android a serem adotados se não desejarem que seus aplicativos sejam executados em dispositivos com raízes. O aplicativo Android Pay incorporou isso, por exemplo. Embora o Google não compartilhe publicamente a totalidade das verificações de detecção raiz que ocorrem, esperamos que essas APIs detectem usuários que enraizaram seus dispositivos. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política. 'Verificar integridade básica' informa sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. "Verifique a integridade básica & dispositivos certificados" informa sobre a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. Dispositivos que falharão incluem o seguinte:

• dispositivos que apresentam falha na integridade básica
• dispositivos com um carregador de inicialização desbloqueado
• Dispositivos com uma imagem/ROM do sistema personalizada
• dispositivos que o fabricante não inscreveu na certificação do Google ou que não foram aprovados por ela
• Dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do Android
• dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedor

Consulte a documentação do Google na API de Integridade do Jogo para obter detalhes técnicos.

As verificações da API de Integridade do Google Play exigem que o usuário final esteja online, no limite durante a duração do tempo em que a "ida e volta" para determinar os resultados do atestado é executada. Se o usuário final estiver offline, o administrador de TI ainda poderá esperar que um resultado seja imposto da configuração "dispositivos jailbroken/root". Dito isto, se o usuário final estiver offline por muito tempo, o valor "período de carência offline" entrará em jogo e todo o acesso aos dados de trabalho ou escola será bloqueado depois que esse valor de temporizador for atingido até que o acesso à rede esteja disponível. Ativar ambas as configurações permite uma abordagem em camadas para manter os dispositivos de usuário final saudáveis, o que é importante quando os usuários finais acessam dados de trabalho ou escola no celular.

As configurações "Jogar veredicto de integridade" e "Verificação de ameaças em aplicativos" exigem que a versão determinada pelo Google do Google Play Services funcione corretamente. Como estas são configurações que estão na área de segurança, o usuário final será bloqueado se tiver sido alvo dessas configurações e não estiver atendendo à versão apropriada do Google Play Services ou não tiver acesso ao Google Play Services.

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte. O Intune implementa um comportamento em que, se houver alguma alteração no banco de dados biométrico do dispositivo, o Intune solicitará ao usuário um PIN quando o próximo valor de tempo limite de inatividade for atendido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o usuário do Intune não tiver um conjunto de PIN, ele será levado a configurar um PIN do Intune.

A intenção disso é continuar mantendo os dados da sua organização dentro do aplicativo seguros e protegidos no nível do aplicativo. Esse recurso só está disponível para iOS/iPadOS e requer a participação de aplicativos que integram o SDK do Intune APP para iOS/iPadOS, versão 9.0.1 ou posterior. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico. Alguns aplicativos que participam incluem WXP, Outlook, Managed Browser e Yammer.

A política de proteção de aplicativo do Intune não pode controlar a extensão de compartilhamento do iOS sem gerenciar o dispositivo. Portanto, o Intune criptografa dados "corporativos" antes de serem compartilhados fora do aplicativo. Você pode validar isso tentando abrir o arquivo "corporativo" fora do aplicativo gerenciado. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.

As políticas de proteção de aplicativo do Intune para acesso serão aplicadas em uma ordem específica em dispositivos de usuário final enquanto tentam acessar um aplicativo direcionado de sua conta corporativa. Em geral, um apagamento teria precedência, seguido por um bloco e, em seguida, um aviso indeferível. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de sistema operacional mínima do iOS/iPadOS que avisa o usuário para atualizar a versão de iOS/iPadOS, que será aplicada após a configuração de sistema operacional mínima do iOS/iPadOS que bloqueia o acesso do usuário. Portanto, no cenário em que o administrador de TI configura o sistema operacional iOS/iPadOS min como 11.0.0.0 e o sistema operacional iOS/iPadOS min (somente aviso) para 11.1.0.0, enquanto o dispositivo que tentava acessar o aplicativo estava no iOS/iPadOS 10, o usuário final seria bloqueado com base na configuração mais restritiva para a versão do sistema operacional iOS/iPadOS min que resulta em acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do SDK de Aplicativo do Intune teria precedência e, em seguida, um requisito de versão do aplicativo, seguido pelo requisito de versão do sistema operacional iOS/iPadOS. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados. Recomendamos que o requisito de versão do SDK do Aplicativo do Intune seja configurado somente após diretrizes da equipe de produtos do Intune para cenários essenciais de bloqueio.

Confira também

• Implantar o Intune
• Criar um plano de distribuição
• Configurações da política de gerenciamento de aplicativos móveis Android no Microsoft Intune
• Configurações da política de gerenciamento de aplicativos móveis iOS/iPadOS
• atualização da política de políticas Proteção de aplicativos
• Validar suas políticas de proteção de aplicativo
• Adicionar políticas de configuração de aplicativo para aplicativos gerenciados sem registro de dispositivo
• Como obter suporte no Microsoft Intune