Gerir experiências de colaboração no Microsoft 365 (Office) para iOS e Android com o Microsoft Intune
O Microsoft 365 (Office) para iOS e Android oferece vários benefícios fundamentais, incluindo:
- Combinar o Word, Excel e PowerPoint de uma forma que simplifica a experiência com menos aplicações para transferir ou alternar entre elas. Requer muito menos armazenamento do telemóvel do que instalar aplicações individuais, mantendo praticamente todas as capacidades das aplicações móveis existentes que as pessoas já conhecem e utilizam.
- Integrar a tecnologia Microsoft Lens para desbloquear o poder da câmara com capacidades como converter imagens em documentos editáveis do Word e excel, digitalizar PDFs e capturar quadros com melhorias digitais automáticas para facilitar a leitura dos conteúdos.
- Adicionar novas funcionalidades para tarefas comuns que as pessoas encontram frequentemente ao trabalhar num telemóvel, como fazer notas rápidas, assinar PDFs, digitalizar códigos QR e transferir ficheiros entre dispositivos.
Os recursos de proteção mais avançados e abrangentes para dados do Microsoft 365 estão disponíveis quando você assina o pacote Enterprise Mobility + Security, que inclui recursos do Microsoft Intune e do Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, vai querer implementar uma política de acesso condicional que permita a conectividade ao Microsoft 365 (Office) para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicações do Intune que garanta a proteção da experiência de colaboração.
Aplicar Acesso Condicional
As organizações podem utilizar políticas de Acesso Condicional do Microsoft Entra para garantir que os utilizadores só podem aceder a conteúdos escolares ou profissionais com o Microsoft 365 (Office) para iOS e Android. Para fazer isso, você precisará de uma política de acesso condicional que tenha como alvo todos os usuários potenciais. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Siga os passos em Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis, o que permite o Microsoft 365 (Office) para iOS e Android, mas impede que os clientes de dispositivos móveis compatíveis com OAuth de terceiros se liguem aos pontos finais do Microsoft 365.
Observação
Esta política garante que os utilizadores móveis podem aceder a todos os pontos finais do Microsoft 365 através das aplicações aplicáveis.
Observação
Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.
Criar políticas de proteção de aplicativos do Intune
As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.
A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:
- A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
- A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
- A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.
Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:
Incluem todas as aplicações móveis do Microsoft 365, como o Edge, o Outlook, o OneDrive, o Microsoft 365 (Office) ou o Teams, uma vez que isto garante que os utilizadores podem aceder e manipular dados escolares ou profissionais em qualquer aplicação da Microsoft de forma segura.
Eles são atribuídos a todos os usuários. Isto garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Microsoft 365 (Office) para iOS ou Android.
Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.
Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.
Importante
Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para Políticas de Proteção de Aplicações Android, adicione as aplicações Office Hub, Office Hub [HL] e Office Hub [ROW]. Para obter mais informações, consulte Sugestão de Suporte: Como ativar políticas de proteção de aplicações do Intune com o Office mobile.
Utilizar a configuração da aplicação
O Microsoft 365 (Office) para iOS e Android suporta definições de aplicações que permitem a gestão unificada de pontos finais, como o Microsoft Intune, administradores para personalizar o comportamento da aplicação.
A configuração da aplicação pode ser fornecida através do canal de SO de gestão de dispositivos móveis (MDM) em dispositivos inscritos (canal de Configuração de Aplicações Geridas para iOS ou Android no canal Enterprise para Android) ou através do canal da Política de Proteção de Aplicações do Intune (APP). O Microsoft 365 (Office) para iOS e Android suporta os seguintes cenários de configuração:
- Permitir apenas contas corporativas ou de estudante
- Configuração geral da aplicação
- Configurações de proteção de dados
Importante
Para cenários de configuração que exijam a inscrição de dispositivos no Android, os dispositivos têm de estar inscritos no Android Enterprise e o Microsoft 365 (Office) para Android tem de ser implementado através da Loja Managed Google Play. Para obter mais informações, consulte Configurar o registro de dispositivos Android Enterprise com perfil de trabalho de propriedade pessoal e Adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise gerenciados. Para Configurações de Aplicações Android, adicione as aplicações Office Hub, Office Hub [HL] e Office Hub [ROW]. Para obter mais informações, consulte Sugestão de Suporte: Como ativar políticas de proteção de aplicações do Intune com o Office mobile.
Cada cenário de configuração destaca seus requisitos específicos. Por exemplo, se o cenário de configuração requer o registro do dispositivo e, portanto, funciona com qualquer provedor de UEM ou requer Políticas de Proteção de Aplicativos do Intune.
Importante
As chaves de configuração do aplicativo diferenciam maiúsculas de minúsculas. Use as maiúsculas e minúsculas adequadas para garantir que a configuração entre em vigor.
Observação
Com o Microsoft Intune, a configuração da aplicação fornecida através do canal de SO MDM é referida como uma Política de Configuração de Aplicações de Dispositivos Geridos (ACP); A configuração da aplicação fornecida através do canal política de proteção de aplicações é referida como uma Política de Configuração de Aplicações Geridas .
Permitir apenas contas corporativas ou de estudante
Respeitar as políticas de segurança e conformidade de dados dos nossos maiores e altamente regulamentados clientes é um pilar fundamental do valor do Microsoft 365. Algumas empresas têm a necessidade de capturar todas as informações de comunicação dentro do seu ambiente corporativo, bem como garantir que os dispositivos sejam usados apenas para comunicações corporativas. Para suportar estes requisitos, o Microsoft 365 (Office) para Android em dispositivos inscritos só pode ser configurado para permitir que uma única conta empresarial seja aprovisionada na aplicação.
Você pode saber mais sobre como configurar o modo de contas permitidas pela organização aqui:
Esse cenário de configuração funciona apenas com dispositivos registrados. No entanto, qualquer provedor UEM é compatível. Se não estiver usando o Microsoft Intune, você precisará consultar a documentação do UEM sobre como implantar essas chaves de configuração.
Cenários gerais de configuração de aplicativos
O Microsoft 365 (Office) para iOS/iPadOS e Android oferece aos administradores a capacidade de personalizar a configuração predefinida para várias definições na aplicação através de políticas de configuração de aplicações iOS/iPadOS ou Android . Esta capacidade é oferecida para dispositivos inscritos através de qualquer fornecedor UEM e para dispositivos que não estão inscritos quando o Microsoft 365 (Office) para iOS e Android tem uma Política de Proteção de Aplicações do Intune aplicada.
Observação
Se uma Política de Proteção de Aplicações for direcionada para os utilizadores, a recomendação é implementar as definições gerais de configuração de aplicações num modelo de inscrição de Aplicações Geridas . Isto garante que a Política de Configuração da Aplicação é implementada em dispositivos inscritos e em dispositivos não inscritos.
O Microsoft 365 (Office) suporta as seguintes definições de configuração:
- Gerenciar a criação das Notas Autoadesivas
- Definir preferência de suplementos
- Gerir aplicações do Teams em execução no Microsoft 365 (Office) para iOS e Android
- Ativar ou desativar o Feed do Microsoft 365 para iOS e Android
Gerenciar a criação das Notas Autoadesivas
Por predefinição, o Microsoft 365 (Office) para iOS e Android permite que os utilizadores criem Sticky Notes. Para utilizadores com caixas de correio do Exchange Online, as notas são sincronizadas na caixa de correio do utilizador. Para utilizadores com caixas de correio no local, estas notas só são armazenadas no dispositivo local.
| Chave | Valor |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
true (predefinição) permite a criação do Sticky Notes para a conta escolar ou profissional false desativa a criação do Sticky Notes para a conta escolar ou profissional |
Definir preferência de suplementos
Para dispositivos iOS/iPadOS com o Office, o utilizador (como administrador) pode definir se os suplementos do Microsoft 365 (Office) estão ativados. Estas definições de aplicação podem ser implementadas com uma política de configuração de aplicações no Intune.
| Chave | Valor |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (predefinição) desativa toda a plataforma de suplementos false ativa a plataforma de suplementos |
Se precisar de ativar ou desativar a parte da Loja Microsoft 365 (Office) da plataforma para dispositivos iOS, pode utilizar a seguinte chave.
| Chave | Valor |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (predefinição) desativa apenas a parte da Loja Microsoft 365 (Office) da plataforma falso ativa a parte da Loja Microsoft 365 (Office) da plataforma NOTA: O sideload continuará a funcionar. |
Para obter mais informações sobre como adicionar chaves de configuração, veja Adicionar políticas de configuração de aplicações para dispositivos iOS/iPadOS geridos.
Gerir aplicações do Teams em execução no Microsoft 365 (Office) para iOS e Android
Os administradores de TI podem gerir o acesso às aplicações do Teams através da criação de políticas de permissão personalizadas e da atribuição destas políticas aos utilizadores através do centro de administração do Teams. Agora também pode executar aplicações de separador pessoais do Teams no Microsoft 365 (Office) para iOS e Android. As aplicações de separador pessoais do Teams criadas com o SDK de cliente JavaScript v2 (versão 2.0.0) do Microsoft Teams e o manifesto da Aplicação Teams (versão 1.13) aparecem no Microsoft 365 (Office) para iOS e Android no menu "Aplicações".
Podem existir requisitos de gestão adicionais específicos do Microsoft 365 (Office) para iOS e Android. Poderá querer:
- Permitir apenas que utilizadores específicos na sua organização experimentem aplicações melhoradas do Teams no Microsoft 365 (Office) para iOS e Android ou
- Impeça que todos os utilizadores na sua organização utilizem aplicações melhoradas do Teams no Microsoft 365 (Office) para iOS e Android.
Para os gerir, pode utilizar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (predefinição) ativa as aplicações do Teams no Microsoft 365 (Office) para iOS e Android falso desativa aplicações do Teams no Microsoft 365 (Office) para iOS e Android |
Esta chave pode ser utilizada tanto por dispositivos geridos como por aplicações geridas.
Definições de proteção de dados no Microsoft 365 (Office)
Pode ativar ou desativar a colocação em cache offline quando Guardar Como no Armazenamento Local é bloqueado pela política de proteção de aplicações.
Importante
Esta definição só é aplicável à aplicação Microsoft 365 (Office) no Android. Para configurar esta definição, pode utilizar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (predefinição) desativa a colocação em cache offline quando Guardar Como no armazenamento local é bloqueado true ativa a colocação em cache offline quando Guardar Como no armazenamento local é bloqueado |
Ativar ou desativar o Feed do Microsoft 365 para iOS e Android
Os administradores podem agora ativar ou desativar o Feed do Microsoft 365 ao configurar a seguinte definição no centro de administração do Intune. Para implantar essa configuração de aplicativo, use uma política de configuração de aplicativo no Intune.
Para gerir o Feed do Microsoft 365, pode utilizar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
o Feed verdadeiro (predefinido) está ativado para o inquilino false desativa Feed para o inquilino |
Essa chave pode ser usada por dispositivos gerenciados e aplicativos gerenciados.
Copilot com proteção de dados comerciais
Os administradores podem agora ativar ou desativar o Copilot na aplicação Microsoft 365 ao configurar a seguinte definição no centro de administração do Intune. Para implantar essa configuração de aplicativo, use uma política de configuração de aplicativo no Intune.
Para gerir o Copilot na aplicação Microsoft 365, pode utilizar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (predefinição) Copilot está ativado para o inquilino false desativa Copilot para o inquilino |
Essa chave pode ser usada por dispositivos gerenciados e aplicativos gerenciados.