Exigir uma política de proteção de aplicativos em dispositivos Windows

As políticas de proteção de aplicativos aplicam o gerenciamento de aplicativos móveis (MAM) a aplicativos específicos em um dispositivo. Estas políticas permitem proteger dados numa aplicação em suporte de cenários como Bring Your Own Device (BYOD).

Pré-requisitos

• Suportamos a aplicação de políticas ao navegador Microsoft Edge em dispositivos que executam o Windows 11 e Windows 10 versão 20H2 e superior com KB5031445.
• Política de proteção de aplicativos configurada direcionada a dispositivos Windows.
• Atualmente sem suporte em nuvens soberanas.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

A política a seguir é colocada no modo somente relatório para iniciar para que os administradores possam determinar o impacto que têm nos usuários existentes. Quando os administradores se sentem confortáveis com a aplicação da política como pretendem, eles podem alternar para Ativado ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir política de proteção de aplicativos para dispositivos Windows

As etapas a seguir ajudam a criar uma política de Acesso Condicional que exige uma política de proteção de aplicativo ao usar um dispositivo Windows que acessa o agrupamento de aplicativos do Office 365 no Acesso Condicional. A política de proteção de aplicativos também deve ser configurada e atribuída aos seus usuários no Microsoft Intune. Para obter mais informações sobre como criar a política de proteção de aplicativos, consulte o artigo Configurações da política de proteção de aplicativos para Windows. A política a seguir inclui vários controles que permitem que os dispositivos usem políticas de proteção de aplicativos para gerenciamento de aplicativos móveis (MAM) ou sejam gerenciados e compatíveis com políticas de gerenciamento de dispositivos móveis (MDM).

Gorjeta

As políticas de proteção de aplicações (MAM) suportam dispositivos não geridos:

• Se um dispositivo já for gerenciado por meio do gerenciamento de dispositivos móveis (MDM), o registro de MAM do Intune será bloqueado e as configurações da política de proteção de aplicativos não serão aplicadas.
• Se um dispositivo for gerenciado após o registro do MAM, as configurações da política de proteção do aplicativo não serão mais aplicadas.

1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
2. Navegue até Políticas de Acesso>Condicional de Proteção.>
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha pelo menos as contas de acesso de emergência ou de quebra-vidro da sua organização.
6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Office 365.
7. Sob Condições:
   1. As plataformas de dispositivo definem Configurar como Sim.
      1. Em Incluir, selecione plataformas de dispositivo.
      2. Escolha Somente Windows .
      3. Selecionar Concluído.
   2. Os aplicativos cliente definem Configurar como Sim.
      1. Selecione Somente navegador .
8. Em Conceder controles>de acesso, selecione Conceder acesso.
   1. Selecione Exigir política de proteção de aplicativo e Exigir que o dispositivo seja marcado como compatível.
   2. Para vários controles , selecione Exigir um dos controles selecionados
9. Confirme suas configurações e defina Habilitar política como Somente relatório.
10. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Gorjeta

As organizações também devem implantar uma política que bloqueie o acesso de plataformas de dispositivos desconhecidos ou sem suporte junto com essa política.

Iniciar sessão em dispositivos Windows

Quando os usuários tentam entrar em um site protegido por uma política de proteção de aplicativo pela primeira vez, eles são solicitados: Para acessar seu serviço, aplicativo ou site, talvez seja necessário entrar no Microsoft Edge usando username@domain.com ou registrar seu dispositivo se organization já estiver conectado.

Clicar no perfil Switch Edge abre uma janela listando sua conta corporativa ou de estudante, juntamente com uma opção para Entrar para sincronizar dados.

Este processo abre uma janela de oferta para permitir que o Windows se lembre da sua conta e inicie sessão automaticamente nas suas aplicações e Web sites.

Atenção

Você deve DESMARCAR A CAIXA DE SELEÇÃO Permitir que minha organização gerencie meu dispositivo. Deixar essa verificação registra seu dispositivo no gerenciamento de dispositivos móveis (MDM) e não no gerenciamento de aplicativos móveis (MAM).

Não selecione Não, inicie sessão apenas nesta aplicação.

Depois de selecionar OK, você poderá ver uma janela de progresso enquanto a política é aplicada. Depois de alguns momentos, você verá uma janela dizendo que está tudo pronto, as políticas de proteção de aplicativos são aplicadas.

Resolução de Problemas

Problemas comuns

Em algumas circunstâncias, depois de obter a página "você está pronto", você ainda pode ser solicitado a entrar com sua conta profissional. Esse prompt pode acontecer quando:

• Seu perfil foi adicionado ao Microsoft Edge, mas o registro do MAM ainda está sendo processado.
• Seu perfil é adicionado ao Microsoft Edge, mas você selecionou "somente este aplicativo" na página head-up.
• Você se inscreveu no MAM, mas sua inscrição expirou ou você não está em conformidade com os requisitos da sua organização.

Para resolver estes cenários possíveis:

• Aguarde alguns minutos e tente novamente num novo separador.
• Entre em contato com o administrador para verificar se as políticas de MAM do Microsoft Intune estão sendo aplicadas à sua conta corretamente.

Conta existente

Há um problema conhecido em que há uma conta pré-existente e não registrada, como user@contoso.com no Microsoft Edge, ou se um usuário entrar sem se registrar usando a Heads Up Page, a conta não está devidamente registrada no MAM. Essa configuração impede que o usuário seja registrado corretamente no MAM.

Próximos passos

• What is Microsoft Intune app management? (O que é a gestão de aplicações do Microsoft Intune)
• Visão geral das políticas de proteção de aplicativos