Proteção de dados para Windows MAM

Você pode habilitar o acesso protegido do MAM (Gerenciamento de Aplicativos Móveis) aos dados da organização em dispositivos Windows pessoais. Essa funcionalidade usa a seguinte funcionalidade:

• ACP (Políticas de Configuração de Aplicativo) do Intune para personalizar a experiência do usuário da organização
• App (Políticas de Proteção de Aplicativo) do Intune para proteger dados da organização e garantir que o dispositivo cliente esteja íntegro
• Segurança do Windows Defesa contra ameaças de cliente do Centro integrada ao Intune APP para detectar ameaças à integridade local em dispositivos Windows pessoais
• Acesso condicional da Proteção de Aplicativo para garantir que o dispositivo esteja protegido e saudável antes de conceder acesso ao serviço protegido por meio de Microsoft Entra ID

Observação

O MAM (Gerenciamento de Aplicativos Móveis) do Intune para Windows está disponível para Windows 10, build 19045.3636, KB5031445 ou posterior e Windows 11, build 10.0.22621.2506, KB5031455 (22H2) ou posterior. Isso inclui as alterações de suporte para Microsoft Intune (versão 2309), Microsoft Edge (branch estável v117 e posterior para Windows 11 e v118.0.2088.71 e posterior para Windows 11) e Segurança do Windows Center (v 1.0.2310.2002 e posterior). O Acesso Condicional da Proteção de Aplicativo está geralmente disponível.

O MAM do Windows tem suporte em ambientes de nuvem do governo. Para obter informações relacionadas, consulte Implantando aplicativos usando o Intune nos ambientes GCC High e DoD.

Para obter mais informações sobre o MAM, confira Noções básicas do MAM (Gerenciamento de Aplicativos Móveis).

Os usuários finais e as organizações precisam ter acesso organizacional protegido de dispositivos pessoais. As organizações precisam garantir que os dados corporativos sejam protegidos em dispositivos pessoais e não gerenciados. Como administrador do Intune, você tem a responsabilidade de determinar como os membros (usuários finais) da sua organização acessam recursos corporativos de forma protegida de um dispositivo não gerenciado. Você precisa garantir ao acessar dados organizacionais, que os dispositivos não gerenciados sejam saudáveis, os aplicativos sigam as políticas de proteção dos dados da sua organização e que os ativos não gerenciados do usuário final em seu dispositivo não sejam afetados pelas políticas da sua organização.

Como administrador do Intune, você precisa ter a seguinte funcionalidade de gerenciamento de aplicativos:

• Capacidade de implantar políticas de proteção de aplicativo em aplicativos/usuários protegidos pelo SDK do Aplicativo do Intune, incluindo o seguinte:
  • Configurações de proteção de dados
  • Verificações de integridade (também conhecidas como configurações de Inicialização Condicional)
• Capacidade de exigir políticas de proteção de aplicativo por meio do Acesso Condicional
• Capacidade de executar verificação adicional de integridade do cliente por meio do centro de Segurança do Windows fazendo o seguinte:
  • Designando Segurança do Windows nível de risco do Centro para permitir que os usuários finais acessem recursos corporativos
  • Configurar o conector baseado em locatário para Microsoft Intune para Segurança do Windows Center
• Capacidade de implantar um comando de apagamento seletivo para aplicativos protegidos

Os membros da sua organização (usuários finais) esperam ter a seguinte funcionalidade para suas contas:

• Capacidade de fazer logon para Microsoft Entra ID para acessar sites protegidos pelo Acesso Condicional
• Capacidade de verificar a integridade status do dispositivo cliente, no caso em que um dispositivo é considerado não íntegro
• Capacidade de ter acesso revogado aos recursos quando um dispositivo permanece não íntegro
• Capacidade de ser informado, com etapas claras de correção, quando o acesso é controlado por uma política de administrador

Observação

Para obter informações relacionadas ao Microsoft Entra ID, consulte Exigir uma política de proteção de aplicativo em dispositivos Windows.

Conformidade de acesso condicional

Prevenir a perda de dados faz parte da proteção de seus dados organizacionais. A DLP (prevenção contra perda de dados) só será eficaz se os dados da organização não puderem ser acessados de qualquer sistema ou dispositivo desprotegido. O Acesso Condicional à Proteção de Aplicativo usa o ACESSO Condicional (CA) para garantir que as Políticas de Proteção de Aplicativo (APP) sejam compatíveis e impostas em um aplicativo cliente antes de permitir o acesso a recursos protegidos (como dados da organização). A AC do APP permitirá que usuários finais com dispositivos Windows pessoais usem aplicativos gerenciados pelo APP, incluindo o Microsoft Edge, para acessar Microsoft Entra recursos sem gerenciar totalmente seu dispositivo pessoal.

Esse serviço MAM sincroniza o estado de conformidade por usuário, por aplicativo e por dispositivo com o serviço de AC Microsoft Entra. Isso inclui as informações de ameaça recebidas dos fornecedores de MTD (Defesa contra Ameaças Móveis) começando com Segurança do Windows Center.

Observação

Esse serviço MAM usa o mesmo fluxo de trabalho de conformidade de acesso condicional usado para gerenciar o Microsoft Edge em dispositivos iOS e Android.

Quando uma alteração é detectada, o serviço MAM atualiza o estado de conformidade do dispositivo imediatamente. O serviço também inclui o estado de integridade do MTD como parte do estado de conformidade.

Observação

O serviço MAM avalia o estado MTD no serviço. Isso é feito independentemente da plataforma cliente e cliente do MAM.

O Cliente MAM comunica o estado de saúde do cliente (ou metadados de integridade) ao Serviço MAM após marcar. O estado de integridade inclui qualquer falha das verificações de integridade do APP para condições de bloqueio ou apagamento . Além disso, Microsoft Entra ID orienta os usuários finais por meio de etapas de correção quando tentam acessar um recurso de AC bloqueado.

Conformidade de acesso condicional

As organizações podem usar Microsoft Entra políticas de Acesso Condicional para garantir que os usuários só possam acessar o conteúdo do trabalho ou da escola usando aplicativos gerenciados por políticas no Windows. Para fazer isso, você precisará de uma política de acesso condicional direcionada a todos os usuários em potencial. Siga as etapas em Exigir uma política de proteção de aplicativo em dispositivos Windows, que permite o Microsoft Edge para Windows, mas impede que outros navegadores da Web se conectem aos pontos de extremidade do Microsoft 365.

Com o Acesso Condicional, você também pode direcionar sites locais que você expôs a usuários externos por meio do proxy do aplicativo Microsoft Entra.

Integridade da Defesa contra Ameaças

O status de integridade de um dispositivo de propriedade pessoal é verificado antes de permitir o acesso aos dados da organização. A detecção de ameaças do MAM pode ser conectada ao Centro de Segurança do Windows. Segurança do Windows Center fornece uma avaliação de integridade do dispositivo cliente para o Intune APP por meio de um conector de serviço para serviço. Essa avaliação dá suporte à gating do fluxo e do acesso aos dados da organização em dispositivos pessoais não gerenciados.

O estado de integridade inclui os seguintes detalhes:

• Identificadores de usuário, aplicativo e dispositivo
• Um estado de integridade predefinido
• A hora da última atualização do estado de integridade

O estado de integridade só é enviado para usuários registrados no MAM. Os usuários finais podem parar de enviar dados saindo de sua conta da organização em aplicativos protegidos. Os administradores podem parar de enviar dados removendo o Conector Segurança do Windows do Microsoft Intune.

Para obter informações relacionadas, consulte criar uma política de proteção de aplicativo MTD para Windows.

Criar políticas de proteção de aplicativos do Intune

As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo.

Como administrador, você pode configurar como os dados são protegidos por meio do APP. Essa configuração se aplica à interação do aplicativo Windows nativo com os dados. As configurações do APP são segmentadas em três categorias:

• Proteção de Dados – Essas configurações controlam como os dados podem entrar e sair de um contexto de organização (conta, documento, localização, serviços) para o usuário.

• Verificações de integridade (Lançamento Condicional) – Essas configurações controlam as condições do dispositivo necessárias para acessar os dados da organização e as ações de correção se as condições não forem atendidas.

Para ajudar as organizações a priorizar o endurecimento do ponto de extremidade do cliente, a Microsoft introduziu a taxonomia para sua estrutura de proteção de dados app para gerenciamento de aplicativos móveis.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Para obter mais informações sobre as configurações disponíveis, consulte Configurações de política de proteção de aplicativo do Windows.

Próximas etapas

• O que são políticas de proteção de aplicativos?
• Políticas de configuração do aplicativo para o Microsoft Intune