Gerenciar experiências de colaboração no Microsoft 365 (Office) para iOS e Android com Microsoft Intune
O Microsoft 365 (Office) para iOS e Android oferece vários benefícios importantes, incluindo:
- Combinando Word, Excel e PowerPoint de uma forma que simplifica a experiência com menos aplicativos para baixar ou alternar entre eles. Ele requer muito menos armazenamento de telefone do que instalar aplicativos individuais, mantendo praticamente todos os recursos dos aplicativos móveis existentes que as pessoas já conhecem e usam.
- Integrando a tecnologia do Microsoft Lens para desbloquear a potência da câmera com recursos como converter imagens em documentos editáveis Word e Excel, examinar PDFs e capturar quadros com aprimoramentos digitais automáticos para facilitar a leitura do conteúdo.
- Adicionar novas funcionalidades para tarefas comuns que as pessoas geralmente encontram ao trabalhar em um telefone — coisas como fazer anotações rápidas, assinar PDFs, examinar códigos QR e transferir arquivos entre dispositivos.
Os recursos de proteção mais avançados e mais amplos para dados do Microsoft 365 estão disponíveis quando você assina o pacote Enterprise Mobility + Security, que inclui recursos Microsoft Intune e Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, você deseja implantar uma política de acesso condicional que permita a conectividade com o Microsoft 365 (Office) para iOS e Android de dispositivos móveis e uma política de proteção de aplicativo do Intune que garante que a experiência de colaboração seja protegida.
Aplicar Acesso Condicional
As organizações podem usar Microsoft Entra políticas de Acesso Condicional para garantir que os usuários só possam acessar o conteúdo do trabalho ou da escola usando o Microsoft 365 (Office) para iOS e Android. Para fazer isso, você precisará de uma política de acesso condicional que tenha como alvo todos os usuários potenciais. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis, o que permite o Microsoft 365 (Office) para iOS e Android, mas impede que clientes de dispositivos móveis compatíveis com o OAuth se conectem aos pontos de extremidade do Microsoft 365.
Observação
Essa política garante que os usuários móveis possam acessar todos os pontos de extremidade do Microsoft 365 usando os aplicativos aplicáveis.
Observação
Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.
Criar políticas de proteção de aplicativos do Intune
As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.
A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:
- A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
- A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
- A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.
Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:
Eles incluem todos os aplicativos móveis do Microsoft 365, como Edge, Outlook, OneDrive, Microsoft 365 (Office) ou Teams, pois isso garante que os usuários possam acessar e manipular dados escolares ou de trabalho em qualquer aplicativo da Microsoft de forma segura.
Eles são atribuídos a todos os usuários. Isso garante que todos os usuários estejam protegidos, independentemente de usarem o Microsoft 365 (Office) para iOS ou Android.
Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.
Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.
Importante
Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune.
Utilizar a configuração do aplicativo
O Microsoft 365 (Office) para iOS e Android dá suporte a configurações de aplicativo que permitem que o gerenciamento unificado de pontos de extremidade, como Microsoft Intune, os administradores personalizem o comportamento do aplicativo.
A configuração do aplicativo pode ser entregue por meio do canal do sistema operacional MDM (gerenciamento de dispositivo móvel) em dispositivos registrados (canal de Configuração de Aplicativos gerenciado para iOS ou Android no canal Enterprise para Android) ou por meio do canal APP (Política de Proteção de Aplicativo) do Intune. O Microsoft 365 (Office) para iOS e Android dá suporte aos seguintes cenários de configuração:
- Permitir apenas contas corporativas ou de estudante
- Configuração geral do aplicativo
- Configurações de proteção de dados
Importante
Para cenários de configuração que exigem registro de dispositivo no Android, os dispositivos devem estar registrados no Android Enterprise e o Microsoft 365 (Office) para Android deve ser implantado por meio da loja Gerenciada do Google Play. Para obter mais informações, consulte Configurar o registro de dispositivos Android Enterprise com perfil de trabalho de propriedade pessoal e Adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise gerenciados.
Cada cenário de configuração destaca seus requisitos específicos. Por exemplo, se o cenário de configuração requer o registro do dispositivo e, portanto, funciona com qualquer provedor de UEM ou requer Políticas de Proteção de Aplicativos do Intune.
Importante
As chaves de configuração do aplicativo diferenciam maiúsculas de minúsculas. Use as maiúsculas e minúsculas adequadas para garantir que a configuração entre em vigor.
Observação
Com Microsoft Intune, a configuração do aplicativo entregue por meio do canal do sistema operacional MDM é chamada de ACP (Managed Devices Configuração de Aplicativos Policy); a configuração do aplicativo entregue por meio do canal Política de Proteção de Aplicativos é chamada de Política de Configuração de Aplicativos de Aplicativos Gerenciados.
Permitir apenas contas corporativas ou de estudante
Respeitar as políticas de segurança e conformidade de dados dos nossos maiores e altamente regulamentados clientes é um pilar fundamental do valor do Microsoft 365. Algumas empresas têm a necessidade de capturar todas as informações de comunicação dentro do seu ambiente corporativo, bem como garantir que os dispositivos sejam usados apenas para comunicações corporativas. Para dar suporte a esses requisitos, o Microsoft 365 (Office) para Android em dispositivos registrados pode ser configurado para permitir apenas que uma única conta corporativa seja provisionada no aplicativo.
Você pode saber mais sobre como configurar o modo de contas permitidas pela organização aqui:
Esse cenário de configuração funciona apenas com dispositivos registrados. No entanto, qualquer provedor UEM é compatível. Se não estiver usando o Microsoft Intune, você precisará consultar a documentação do UEM sobre como implantar essas chaves de configuração.
Cenários gerais de configuração de aplicativos
O Microsoft 365 (Office) para iOS/iPadOS e Android oferece aos administradores a capacidade de personalizar a configuração padrão para várias configurações no aplicativo usando políticas de configuração de aplicativo iOS/iPadOS ou Android . Esse recurso é oferecido para dispositivos registrados por meio de qualquer provedor UEM e para dispositivos que não estão registrados quando o Microsoft 365 (Office) para iOS e Android tem uma Política de Proteção de Aplicativo do Intune aplicada.
Observação
Se uma Política de Proteção de Aplicativo for direcionada aos usuários, a recomendação será implantar as configurações gerais de configuração do aplicativo em um modelo de registro de Aplicativos Gerenciados . Isso garante que a Política de Configuração de Aplicativos seja implantada em dispositivos registrados e dispositivos não registrados.
O Microsoft 365 (Office) dá suporte às seguintes configurações:
- Gerenciar a criação de Notas Autoadesivas
- Definir preferência de suplementos
- Gerenciar aplicativos do Teams em execução no Microsoft 365 (Office) para iOS e Android
- Habilitar ou desabilitar o Microsoft 365 Feed para iOS e Android
Gerenciar a criação de Notas Autoadesivas
Por padrão, o Microsoft 365 (Office) para iOS e Android permite que os usuários criem Notas Autoadesivas. Para usuários com caixas de correio Exchange Online, as notas são sincronizadas na caixa de correio do usuário. Para usuários com caixas de correio locais, essas anotações são armazenadas apenas no dispositivo local.
| Chave | Valor |
|---|---|
| com.microsoft.office.NotesCreationEnabled | true (padrão) habilita Notas Autoadesivas criação para a conta de trabalho ou de estudante false desabilita Notas Autoadesivas criação para a conta de trabalho ou de estudante |
Definir preferência de suplementos
Para dispositivos iOS/iPadOS que executam o Office, você (como administrador) pode definir se os suplementos do Microsoft 365 (Office) estão habilitados. Essas configurações de aplicativo podem ser implantadas usando uma política de configuração de aplicativo no Intune.
| Chave | Valor |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs | true (padrão) desabilita toda a plataforma de suplemento false habilita a plataforma de suplemento |
Se você precisar habilitar ou desabilitar a parte da Loja do Microsoft 365 (Office) da plataforma para dispositivos iOS, poderá usar a seguinte chave.
| Chave | Valor |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog | true (padrão) desabilita apenas a parte da Loja do Microsoft 365 (Office) da plataforma false habilita a parte da Loja do Microsoft 365 (Office) da plataforma NOTA: Sideloaded continuará funcionando. |
Para obter mais informações sobre como adicionar chaves de configuração, consulte Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados.
Gerenciar aplicativos do Teams em execução no Microsoft 365 (Office) para iOS e Android
Os administradores de TI podem gerenciar o acesso aos aplicativos do Teams criando políticas de permissão personalizadas e atribuindo essas políticas aos usuários que usam o centro de administração do Teams. Agora você também pode executar aplicativos de guia pessoal do Teams no Microsoft 365 (Office) para iOS e Android. Os aplicativos de guia pessoal do Teams criados usando o SDK do cliente JavaScript do Microsoft Teams v2 (versão 2.0.0) e o manifesto do Aplicativo teams (versão 1.13) aparecem no Microsoft 365 (Office) para iOS e Android no menu "Aplicativos".
Pode haver requisitos de gerenciamento adicionais específicos para o Microsoft 365 (Office) para iOS e Android. Talvez você queira:
- Permitir apenas usuários específicos em sua organização para experimentar aplicativos avançados do Teams no Microsoft 365 (Office) para iOS e Android, ou
- Bloqueie todos os usuários da sua organização de usar aplicativos avançados do Teams no Microsoft 365 (Office) para iOS e Android.
Para gerenciá-los, você pode usar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed | true (padrão) habilita aplicativos do Teams no Microsoft 365 (Office) para iOS e Android false desabilita aplicativos do Teams no Microsoft 365 (Office) para iOS e Android |
Essa chave pode ser usada tanto por dispositivos gerenciados quanto por aplicativos gerenciados.
Configurações de proteção de dados no Microsoft 365 (Office)
Você pode habilitar ou desabilitar o cache offline quando o Save As to Local Storage for bloqueado pela política de proteção do aplicativo.
Importante
Essa configuração só é aplicável ao aplicativo Microsoft 365 (Office) no Android. Para configurar essa configuração, você pode usar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked | false (padrão) desabilita o cache offline quando Salvar como para o armazenamento local é bloqueado true habilita o cache offline quando Salvar como para o armazenamento local é bloqueado |
Habilitar ou desabilitar o Microsoft 365 Feed para iOS e Android
Os administradores agora podem habilitar ou desabilitar o Microsoft 365 Feed configurando a seguinte configuração no centro de administração do Intune. Para implantar essa configuração de aplicativo, use uma política de configuração de aplicativo no Intune.
Para gerenciar o Microsoft 365 Feed, você pode usar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed | true (padrão) O feed está habilitado para o locatário false desabilita Feed para o locatário |
Essa chave pode ser usada por dispositivos gerenciados e aplicativos gerenciados.
Copilot com proteção de dados comercial
Os administradores agora podem habilitar ou desabilitar o Copilot no aplicativo Microsoft 365 configurando a seguinte configuração no centro de administração do Intune. Para implantar essa configuração de aplicativo, use uma política de configuração de aplicativo no Intune.
Para gerenciar o Copilot no aplicativo Microsoft 365, você pode usar a seguinte chave:
| Chave | Valor |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed | true (padrão) Copilot está habilitado para o locatário false desabilita Copilot para o locatário |
Essa chave pode ser usada por dispositivos gerenciados e aplicativos gerenciados.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de