Partilhar via

Exigir uma política de proteção de aplicativos em dispositivos Windows

As políticas de proteção de aplicativos aplicam o gerenciamento de aplicativos móveis (MAM) a aplicativos específicos em um dispositivo. Estas políticas permitem proteger dados numa aplicação em suporte de cenários como Bring Your Own Device (BYOD).

Captura de tela de um navegador que exige que o usuário entre em seu perfil do Microsoft Edge para acessar um aplicativo.

Pré-requisitos

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de acesso de último recurso para evitar o bloqueio devido à configuração errada das políticas. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito especificamente definido para utilizadores. Utilize o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas a identidades de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

A política a seguir é inicialmente colocada no modo somente relatório, para que os administradores possam determinar o impacto que têm nos utilizadores existentes. Quando os administradores se sentem confortáveis com a aplicação da política como pretendem, eles podem alternar para Ativado ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir política de proteção de aplicativos para dispositivos Windows

As etapas a seguir ajudam a criar uma política de Acesso Condicional que exige uma política de proteção de aplicativo ao usar um dispositivo Windows que acessa o agrupamento de aplicativos do Office 365 no Acesso Condicional. A política de proteção de aplicativos também deve ser configurada e atribuída aos seus usuários no Microsoft Intune. Para obter mais informações sobre como criar a política de proteção de aplicativos, consulte o artigo Configurações da política de proteção de aplicativos para Windows. A política a seguir inclui vários controles que permitem que os dispositivos usem políticas de proteção de aplicativos para gerenciamento de aplicativos móveis (MAM) ou sejam gerenciados e compatíveis com políticas de gerenciamento de dispositivos móveis (MDM).

Gorjeta

As políticas de proteção de aplicações (MAM) suportam dispositivos não geridos:

  • Se um dispositivo já for gerenciado por meio do gerenciamento de dispositivos móveis (MDM), o registro de MAM do Intune será bloqueado e as configurações da política de proteção de aplicativos não serão aplicadas.
  • Se um dispositivo for gerenciado após o registro do MAM, as configurações da política de proteção do aplicativo não serão mais aplicadas.
  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha pelo menos as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Office 365.
  7. Sob Condições:
    1. Plataformas de dispositivos definem Configurar para Sim.
      1. Em Incluir, selecione plataformas de dispositivo.
      2. Escolha apenas Windows.
      3. Selecionar Concluído.
    2. Os aplicativos cliente definem Configurar como Sim.
      1. Selecione apenas Navegador.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir política de proteção de aplicativo e Exigir que o dispositivo seja marcado como compatível.
    2. Para vários controles , selecione Exigir um dos controles selecionados
  9. Confirme as suas configurações e defina Habilitar política como Só para relatórios.
  10. Selecione Criar para criar para habilitar sua política.

Observação

Se você definir como Exigir todos os controles selecionados ou apenas usar o Exigir política de proteção de aplicativo controle sozinho, você precisa ter certeza de que você segmenta apenas dispositivos não gerenciados ou que os dispositivos não são gerenciados por MDM. Caso contrário, a política bloqueará o acesso a todos os aplicativos, pois não poderá avaliar se o aplicativo está em conformidade com a política.

Depois que os administradores avaliarem as configurações de política usando o impacto da política ou o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Gorjeta

As organizações também devem implantar uma política que bloqueie o acesso de plataformas de dispositivos desconhecidos ou sem suporte junto com essa política.

Iniciar sessão em dispositivos Windows

Quando os usuários tentam entrar em um site protegido por uma política de proteção de aplicativo pela primeira vez, eles são solicitados: Para acessar seu serviço, aplicativo ou site, talvez seja necessário entrar no Microsoft Edge usando username@domain.com ou registrar seu dispositivo se organization já estiver conectado.

Clicar no perfil Switch Edge abre uma janela listando sua conta corporativa ou de estudante, juntamente com uma opção para Entrar para sincronizar dados.

Captura de tela mostrando o pop-up no Microsoft Edge solicitando que o usuário entre.

Este processo abre uma janela de oferta para permitir que o Windows se lembre da sua conta e inicie sessão automaticamente nas suas aplicações e Web sites.

Atenção

Você deve desmarcar a caixa de seleção: Permitir que a minha organização gere o meu dispositivo. Deixar essa verificação registra seu dispositivo no gerenciamento de dispositivos móveis (MDM) e não no gerenciamento de aplicativos móveis (MAM).

Não selecione a opção Não, inicie sessão apenas nesta aplicação.

Captura de ecrã mostrando a janela para manter sessão iniciada em todas as suas aplicações. Desmarque a caixa de seleção Permitir à minha organização gerir o meu dispositivo.

Depois de selecionar OK, você poderá ver uma janela de progresso enquanto a política é aplicada. Depois de alguns momentos, você verá uma janela dizendo que está tudo pronto, as políticas de proteção de aplicativos são aplicadas.

Resolução de Problemas

Problemas comuns

Em algumas circunstâncias, após obter a página "tudo pronto", ainda pode ser pedido que inicie sessão com a sua conta profissional. Esse prompt pode acontecer quando:

  • Seu perfil foi adicionado ao Microsoft Edge, mas o registro do MAM ainda está sendo processado.
  • O seu perfil foi adicionado ao Microsoft Edge, mas selecionaste "somente este aplicativo" na página de aviso.
  • Você se inscreveu no MAM, mas sua inscrição expirou ou você não está em conformidade com os requisitos da sua organização.

Para resolver estes cenários possíveis:

  • Aguarde alguns minutos e tente novamente num novo separador.
  • Entre em contato com o administrador para verificar se as políticas de MAM do Microsoft Intune estão sendo aplicadas à sua conta corretamente.

Conta existente

Há um problema conhecido em que há uma conta pré-existente e não registrada, como user@contoso.com no Microsoft Edge, ou se um usuário entrar sem se registrar usando a Heads Up Page, a conta não está devidamente registrada no MAM. Essa configuração impede que o usuário seja registrado corretamente no MAM.

Próximos passos