Exigir uma política de proteção de aplicativos em dispositivos Windows

  • Artigo

As políticas de proteção de aplicativos aplicam o gerenciamento de aplicativos móveis (MAM) a aplicativos específicos em um dispositivo. Estas políticas permitem proteger dados numa aplicação em suporte de cenários como Bring Your Own Device (BYOD). Suportamos a aplicação da política ao navegador Microsoft Edge em dispositivos Windows 11.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Pré-requisitos

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário em particular. Eles são normalmente usados por serviços back-end que permitem acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois o MFA não pode ser concluído programaticamente. As chamadas feitas por entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Criar uma política de Acesso Condicional

A política a seguir é colocada no modo somente relatório para iniciar para que os administradores possam determinar o impacto que têm nos usuários existentes. Quando os administradores se sentem confortáveis com a aplicação da política como pretendem, eles podem alternar para Ativado ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir política de proteção de aplicativos para dispositivos Windows

As etapas a seguir ajudam a criar uma política de Acesso Condicional que exige uma política de proteção de aplicativo ao usar um dispositivo Windows que acessa o agrupamento de aplicativos do Office 365 no Acesso Condicional. A política de proteção de aplicativos também deve ser configurada e atribuída aos seus usuários no Microsoft Intune. Para obter mais informações sobre como criar a política de proteção de aplicativos, consulte o artigo Configurações da política de proteção de aplicativos para Windows. A política a seguir inclui vários controles que permitem que os dispositivos usem políticas de proteção de aplicativos para gerenciamento de aplicativos móveis (MAM) ou sejam gerenciados e compatíveis com políticas de gerenciamento de dispositivos móveis (MDM).

Gorjeta

As políticas de proteção de aplicações (MAM) suportam dispositivos não geridos:

  • Se um dispositivo já for gerenciado por meio do gerenciamento de dispositivos móveis (MDM), o registro de MAM do Intune será bloqueado e as configurações da política de proteção de aplicativos não serão aplicadas.
  • Se um dispositivo for gerenciado após o registro do MAM, as configurações da política de proteção do aplicativo não serão mais aplicadas.
  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha pelo menos as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>Incluir aplicações>na nuvem, selecione Office 365.
  7. Sob Condições:
    1. As plataformas de dispositivo definem Configurar como Sim.
      1. Em Incluir, selecione plataformas de dispositivo.
      2. Escolha Somente Windows .
      3. Selecione Concluído.
    2. Os aplicativos cliente definem Configurar como Sim.
      1. Selecione Somente navegador .
  8. Em Conceder controles>de acesso, selecione Conceder acesso.
    1. Selecione Exigir política de proteção de aplicativo e Exigir que o dispositivo seja marcado como compatível.
    2. Para vários controles , selecione Exigir um dos controles selecionados
  9. Confirme suas configurações e defina Habilitar política como Somente relatório.
  10. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Gorjeta

As organizações também devem implantar uma política que bloqueie o acesso de plataformas de dispositivos desconhecidos ou sem suporte junto com essa política.

Iniciar sessão em dispositivos Windows

Quando os utilizadores tentam iniciar sessão num site protegido por uma política de proteção de aplicações pela primeira vez, ser-lhes-á pedido: Para aceder ao seu serviço, aplicação ou Web site, poderá ter de iniciar sessão no Microsoft Edge utilizando username@domain.com ou registar o seu dispositivo se organization já tiver sessão iniciada.

Clicar no perfil Switch Edge abre uma janela listando sua conta corporativa ou de estudante, juntamente com uma opção para Entrar para sincronizar dados.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Este processo abre uma janela de oferta para permitir que o Windows se lembre da sua conta e inicie sessão automaticamente nas suas aplicações e Web sites.

Atenção

Você deve DESMARCAR A CAIXADE SELEÇÃO Permitir que minha organização gerencie meu dispositivo. Deixar essa verificação registra seu dispositivo no gerenciamento de dispositivos móveis (MDM) e não no gerenciamento de aplicativos móveis (MAM).

Não selecione Não, inicie sessão apenas nesta aplicação.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

Depois de selecionar OK, você poderá ver uma janela de progresso enquanto a política é aplicada. Depois de alguns momentos, você verá uma janela dizendo que está tudo pronto, as políticas de proteção de aplicativos são aplicadas.

Resolução de problemas

Problemas comuns

Em algumas circunstâncias, depois de obter a página "você está pronto", você ainda pode ser solicitado a entrar com sua conta profissional. Esse prompt pode acontecer quando:

  • Seu perfil foi adicionado ao Microsoft Edge, mas o registro do MAM ainda está sendo processado.
  • Seu perfil é adicionado ao Microsoft Edge, mas você selecionou "somente este aplicativo" na página head-up.
  • Você se inscreveu no MAM, mas sua inscrição expirou ou você não está em conformidade com os requisitos da sua organização.

Para resolver estes cenários possíveis:

  • Aguarde alguns minutos e tente novamente num novo separador.
  • Entre em contato com o administrador para verificar se as políticas de MAM do Microsoft Intune estão sendo aplicadas à sua conta corretamente.

Conta existente

Há um problema conhecido em que há uma conta pré-existente e não registrada, como user@contoso.com no Microsoft Edge, ou se um usuário entrar sem se registrar usando a Heads Up Page, a conta não está devidamente registrada no MAM. Essa configuração impede que o usuário seja registrado corretamente no MAM.

Próximos passos