Exigir aplicativos cliente aprovados ou política de proteção de aplicativos

Descrição geral

As pessoas utilizam regularmente os seus dispositivos móveis para tarefas pessoais e de trabalho. Ao mesmo tempo em que garantem que a equipe possa ser produtiva, as organizações também querem evitar a perda de dados de aplicativos em dispositivos que podem não gerenciar totalmente.

Com o Acesso Condicional, as organizações podem restringir o acesso a aplicações cliente aprovadas (com capacidade de autenticação moderna) com políticas de proteção de aplicações do Intune. Para aplicativos cliente mais antigos que podem não oferecer suporte a políticas de proteção de aplicativos, os administradores podem restringir o acesso a aplicativos cliente aprovados.

Aviso

As políticas de Proteção de aplicações são suportadas no iOS e Android onde as aplicações cumprem requisitos específicos. As políticas de proteção de aplicativos são suportadas no Windows em versão de pré-visualização apenas para o navegador Microsoft Edge. Nem todos os aplicativos que são suportados como aplicativos aprovados ou oferecem suporte a políticas de proteção de aplicativos. Para uma lista de algumas aplicações cliente comuns, consulte Requisitos da política de proteção de aplicações. Se seu aplicativo não estiver listado lá, entre em contato com o desenvolvedor do aplicativo. Para exigir aplicações clientes aprovadas ou para aplicar políticas de proteção de aplicações para dispositivos iOS e Android, estes dispositivos devem primeiro registar-se no Microsoft Entra ID.

Nota

Exigir um dos controles selecionados em controles de concessão é como uma cláusula OR . Isso é usado dentro da política para permitir que os usuários utilizem aplicativos que ofereçam suporte à política Exigir proteção de aplicativo ou Exigir controles de concessão de aplicativo cliente aprovados . Exigir que a política de proteção do aplicativo seja imposta quando o aplicativo oferecer suporte a esse controle de concessão.

Para obter mais informações sobre os benefícios de utilizar políticas de proteção de aplicativos, consulte o artigo Visão Geral das Políticas de Proteção de Aplicativos.

As políticas a seguir são inicialmente colocadas no modo Apenas relatório para que os administradores possam determinar o impacto que terão nos utilizadores existentes. Quando os administradores se sentirem confortáveis com a aplicação das políticas como pretendem, eles poderão alternar para Ativado ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir aplicativos cliente aprovados ou política de proteção de aplicativos com dispositivos móveis.

As etapas a seguir ajudam a criar uma política de Acesso Condicional que exija um aplicativo cliente aprovado ou uma política de proteção de aplicativo ao usar um dispositivo iOS/iPadOS ou Android. Esta política impede o uso de clientes Exchange ActiveSync que utilizam autenticação básica em dispositivos móveis. Esta política funciona em conjunto com uma política de proteção app criada em Microsoft Intune.

As organizações podem optar por implantar essa política usando as etapas a seguir ou usando os modelos de Acesso Condicional.

  1. Inicie sessão no centro de administração Microsoft Entra pelo menos como um Administrador de Acesso Condicional.
  2. Navegue para Entra ID>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e exclua pelo menos uma conta para evitar que você seja bloqueado. Se você não excluir nenhuma conta, não poderá criar a política.
  6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
  7. Em Condições>Plataformas de dispositivo, defina Configurar como Sim.
    1. Em Incluir, selecione plataformas de dispositivo.
    2. Escolha Android e iOS.
    3. Selecione Concluído.
  8. Em Controlo de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir aplicativo cliente aprovado e Exigir política de proteção de aplicativo
    2. Para vários controles , selecione Exigir um dos controles selecionados
  9. Confirme as suas configurações e defina Ativar política como Apenas para relatório.
  10. Selecione Criar para ativar sua política.

Nota

Quando uma política é criada no modo somente relatório para o controle "Exigir política de proteção de aplicativo", seu log de entrada pode mostrar o resultado como "Somente relatório: falha" na guia "Acesso condicional" quando todas as condições de política configuradas foram satisfeitas. Isso ocorre porque o controle não foi satisfeito no modo somente relatório. Depois de ativar a política, o controlo é aplicado à aplicação e a sessão não será impedida.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Gorjeta

As organizações também devem implantar uma política que bloqueie o acesso de plataformas de dispositivos desconhecidos ou sem suporte junto com essa política.

Bloquear o Exchange ActiveSync em todos os dispositivos

Esta política bloqueia todos os clientes Exchange ActiveSync que utilizam autenticação básica de se ligarem ao Exchange Online.

  1. Inicie sessão no centro de administração Microsoft Entra pelo menos como um Administrador de Acesso Condicional.
  2. Navegue para Entra ID>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e exclua pelo menos uma conta para evitar que você seja bloqueado. Se você não excluir nenhuma conta, não poderá criar a política.
    3. Selecione Concluído.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos na nuvem)>Incluir, selecione Selecionar recursos.
    1. Selecione Office 365 Exchange Online.
    2. Selecione Selecione.
  7. Em Condições>Aplicativos cliente, defina Configurar como Sim.
    1. Desmarque todas as opções exceto Exchange ActiveSync clientes.
    2. Selecione Concluído.
  8. Em Controlo de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir política de proteção de aplicativos
  9. Confirme as suas configurações e defina Ativar política como Apenas para relatório.
  10. Selecione Criar para ativar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de acesso de último recurso para evitar o bloqueio devido à configuração errada das políticas. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • contas de serviço e principais de serviços, como a Microsoft Entra Connect Sync Account. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Eles geralmente são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional destinadas aos utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas destinadas a entidades de serviço.

Conteúdo relacionado

  • Last updated on