Editar

Partilhar via


Perguntas frequentes sobre o MAM e a proteção do aplicativo

Este artigo fornece respostas a algumas perguntas mais frequentes sobre Intune gestão de aplicações móveis (MAM) e proteção de aplicações Intune.

Noções Básicas da MAM

O que é a MAM?

Políticas de proteção de aplicativos

O que são políticas de proteção de aplicativos?

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo.

Quais são os exemplos de políticas de proteção de aplicações?

Consulte as definições de política de proteção de aplicações Android e definições de política de proteção de aplicações iOS/iPadOS para obter informações detalhadas sobre cada definição de política de proteção de aplicações.

É possível que as políticas MDM e MAM se apliquem ao mesmo utilizador ao mesmo tempo, para diferentes dispositivos?

Se aplicar uma política de MAM ao utilizador sem definir o estado de gestão de dispositivos, o utilizador obtém a política de MAM no dispositivo BYOD e no dispositivo gerido Intune. Também pode aplicar uma política de MAM com base no estado de gestão de dispositivos. Por isso, quando cria uma política de proteção de aplicações, junto a Direcionar para aplicações em todos os tipos de dispositivo, seleciona Não. Depois, siga um destes procedimentos:

  • Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.
  • Aplique uma política de MAM igualmente rigorosa para Intune dispositivos geridos em dispositivos geridos de terceiros.
  • Aplique uma política de MAM apenas a dispositivos não registrados.

Para obter mais informações, veja Como monitorizar políticas de proteção de aplicações.

Aplicativos que podem ser gerenciados com políticas de proteção do aplicativo

Que aplicações podem ser geridas por políticas de proteção de aplicações?

Qualquer aplicação que tenha sido integrada com o SDK da Aplicação Intune ou encapsulada pelo Intune App Wrapping Tool pode ser gerida com Intune políticas de proteção de aplicações. Veja a lista oficial de aplicativos gerenciados pelo Intune disponíveis para uso público.

Quais são os requisitos de linha de base para utilizar políticas de proteção de aplicações numa aplicação gerida Intune?

  • O utilizador final tem de ter uma conta Microsoft Entra. Veja Adicionar utilizadores e conceder permissão administrativa para Intune para saber como criar Intune utilizadores no Microsoft Entra ID.

  • O utilizador final tem de ter uma licença para Microsoft Intune atribuída à respetiva conta Microsoft Entra. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.

  • O usuário final deve pertencer a um grupo de segurança que esteja sob uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implementadas no centro de administração do Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.

  • O utilizador final tem de iniciar sessão na aplicação com a respetiva conta Microsoft Entra.

E se quiser ativar uma aplicação com o Intune App Protection, mas não estiver a utilizar uma plataforma de desenvolvimento de aplicações suportada?

A equipe de desenvolvimento do SDK do Intune testa ativamente e mantém o suporte para aplicativos criados com as plataformas nativas do Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Embora alguns clientes tenham tido sucesso com Intune integração do SDK com outras plataformas, como React Native e NativeScript, não fornecemos orientações explícitas ou plug-ins para programadores de aplicações que utilizem outra coisa que não as nossas plataformas suportadas.

O SDK da APLICAÇÃO Intune suporta a Biblioteca de Autenticação da Microsoft (MSAL)?

O SDK da Aplicação Intune pode utilizar a Biblioteca de Autenticação da Microsoft para os respetivos cenários de autenticação e iniciação condicional. Também depende da MSAL para registar a identidade do utilizador no serviço MAM para gestão sem cenários de inscrição de dispositivos.

Quais são os requisitos adicionais para utilizar a aplicação Outlook para dispositivos móveis?

Quais são os requisitos adicionais para utilizar as aplicações Word, Excel e PowerPoint?

  • O utilizador final tem de ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa associada à respetiva conta Microsoft Entra. A assinatura deve incluir os aplicativos do Office em dispositivos móveis e pode incluir uma conta de armazenamento em nuvem com o OneDrive for Business. As licenças do Microsoft 365 podem ser atribuídas no Centro de Administração do Microsoft 365 seguindo estas instruções.

  • O usuário final deve configurar um local gerenciado usando o salvamento granular como funcionalidade na configuração "Salvar cópias de dados da organização" da política de proteção do aplicativo. Por exemplo, se a localização gerida for o OneDrive, a aplicação OneDrive deve ser configurada na aplicação Word, Excel ou PowerPoint do utilizador final.

  • Se o local gerenciado for o OneDrive, será necessário direcionar o aplicativo de acordo com a política de proteção do aplicativo implantada para o usuário final.

    Observação

    No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

Por que motivo é necessária uma localização gerida (ou seja, OneDrive) para o Office?

Intune marca todos os dados na aplicação como "empresariais" ou "pessoais". Os dados são considerados "empresariais" quando têm origem numa localização empresarial. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas).

Quais são os requisitos adicionais para utilizar Skype for Business?

Consulte os requisitos de licença do Skype for Business. Para configurações híbridas e no local do Skype for Business (SfB), veja Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID (Autenticação Moderna Híbrida para SfB e Exchange goes GA) e Modern Auth for SfB no local com Microsoft Entra ID, respetivamente.

Recursos de proteção do aplicativo

O que é o suporte de várias identidades?

O suporte de várias identidades é a capacidade de o SDK da Aplicação Intune aplicar apenas políticas de proteção de aplicações à conta escolar ou profissional com sessão iniciada na aplicação. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados.

Qual é o objetivo do suporte de várias identidades?

O suporte de várias identidades permite que as aplicações com audiências "empresariais" e de consumidores (ou seja, as aplicações do Office) sejam lançadas publicamente com Intune capacidades de proteção de aplicações para as contas "empresariais".

E o Outlook e várias identidades?

Uma vez que o Outlook tem uma vista de e-mail combinada de e-mails pessoais e "empresariais", a aplicação Outlook pede o PIN Intune ao iniciar.

Qual é o PIN da aplicação Intune?

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.

Quando é pedido ao utilizador para introduzir o PIN?

O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos". Em aplicações de várias identidades, como Word/Excel/PowerPoint, é pedido ao utilizador o pin quando tenta abrir um documento ou ficheiro "empresarial". Em aplicações de identidade única, como aplicações de linha de negócio geridas com o Intune App Wrapping Tool, o PIN é pedido no início, porque o SDK da Aplicação Intune sabe que a experiência do utilizador na aplicação é sempre "empresarial".

Com que frequência será pedido ao utilizador o PIN Intune?

O administrador de TI pode definir a definição de política de proteção de aplicações Intune "Verificar novamente os requisitos de acesso após (minutos)" no centro de administração do Microsoft Intune. Esta definição especifica a quantidade de tempo antes de os requisitos de acesso serem verificados no dispositivo e o ecrã de PIN da aplicação é apresentado novamente. No entanto, detalhes importantes sobre o PIN que afetam a frequência com que o usuário será consultado são:

  • O PIN é partilhado entre aplicações do mesmo fabricante para melhorar a usabilidade: No iOS/iPadOS, é partilhado um PIN de aplicação entre todas as aplicações do mesmo publicador de aplicações. No Android, o PIN de um aplicativo é compartilhado com todos os aplicativos.
  • O comportamento "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo: Um "temporizador de PIN" monitoriza o número de minutos de inatividade que determinam quando mostrar o PIN da aplicação Intune seguinte. No iOS/iPadOS, o temporizador do PIN não é afetado pelo reinício do dispositivo. Assim, o reinício do dispositivo não afeta o número de minutos em que o utilizador esteve inativo a partir de uma aplicação iOS/iPadOS com Intune política de PIN. No Android, o temporizador do PIN é reposto no reinício do dispositivo. Como tal, as aplicações Android com Intune política de PIN irão provavelmente pedir um PIN da aplicação, independentemente do valor de definição "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo.
  • A natureza sem interrupção do temporizador associado ao PIN: Depois de introduzir um PIN para aceder a uma aplicação (aplicação A) e a aplicação sair do primeiro plano (main foco de entrada) no dispositivo, o temporizador do PIN é reposto para esse PIN. Qualquer aplicação (aplicação B) que partilhe este PIN não pedirá ao utilizador a entrada de PIN porque o temporizador foi reposto. A solicitação será exibida novamente quando o valor "Verificar novamente os requisitos de acesso após (minutos)" for atendido novamente.

Para dispositivos iOS/iPadOS, mesmo que o PIN seja partilhado entre aplicações de fabricantes diferentes, o pedido será apresentado novamente quando o valor Reverificar os requisitos de acesso após (minutos) for novamente cumprido para a aplicação que não é a main foco de entrada. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado. Depois que o valor Verificar novamente os requisitos de acesso após (minutos) for atendido e o usuário alternar para o aplicativo B, o PIN será necessário.

Observação

Para verificar os requisitos de acesso do utilizador com mais frequência (ou seja, o pedido de PIN), especialmente para uma aplicação utilizada frequentemente, recomenda-se reduzir o valor da definição "Reverificar os requisitos de acesso após (minutos)".

Como funciona o PIN do Intune com PINs de aplicações incorporados para o Outlook e o OneDrive?

O INTUNE PIN funciona com base num temporizador baseado em inatividade (o valor de "Verificar novamente os requisitos de acesso após (minutos)"). Portanto, os prompts do PIN do Intune são mostrados independentemente dos prompts do PIN do aplicativo interno do Outlook e do OneDrive, que geralmente são vinculados à inicialização do aplicativo por padrão. Se o usuário recebe ambos os prompts de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.

O PIN está seguro?

O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo. Portanto, um usuário final deve entrar com sua conta corporativa ou de estudante antes de definir ou redefinir o PIN do aplicativo do Intune. Esta autenticação é processada por Microsoft Entra ID através de uma troca de tokens segura e não é transparente para o SDK da Aplicação Intune. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los. A encriptação não está relacionada com o PIN da aplicação, mas é a sua própria política de proteção de aplicações.

Como é que Intune protege o PIN contra ataques de força bruta?

Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo. Após o número de tentativas ser cumprido, o SDK da Aplicação Intune pode apagar os dados "empresariais" na aplicação.

Por que motivo tenho de definir um PIN duas vezes nas aplicações do mesmo publicador?

Atualmente, a MAM (no iOS/iPadOS) permite pin ao nível da aplicação com carateres alfanuméricos e especiais (denominado "código de acesso") que requer a participação de aplicações (ou seja, WXP, Outlook, Managed Browser, Yammer) para integrar o SDK da APLICAÇÃO Intune para iOS/iPadOS. Sem isto, as definições de código de acesso não são impostas corretamente para as aplicações de destino. Esta foi uma funcionalidade lançada no SDK Intune para iOS/iPadOS v. 7.1.12.

Para dar suporte a esse recurso e garantir a compatibilidade com versões anteriores do SDK do Intune para iOS/iPadOS, todos os PINs (numéricos ou de senha) na versão 7.1.12+ são tratados separadamente do PIN numérico das versões anteriores do SDK. Por conseguinte, se um dispositivo tiver aplicações com Intune SDK para versões iOS/iPadOS antes da versão 7.1.12 E depois da 7.1.12 do mesmo fabricante, terá de configurar dois PINs.

Dito isto, os dois PINs (para cada aplicação) não estão relacionados, ou seja, têm de cumprir a política de proteção de aplicações aplicada à aplicação. Sendo assim, o usuário poderá configurar o mesmo PIN duas vezes somente se os aplicativos A e B tiverem as mesmas políticas aplicadas com relação ao PIN.

Esse comportamento é específico ao PIN em aplicativos do iOS/iPadOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS/iPadOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo. Consulte a observação abaixo para obter um exemplo.

Observação

Por exemplo, se a aplicação A for criada com uma versão anterior à 7.1.12 e a aplicação B for criada com uma versão superior ou igual à 7.1.12 do mesmo fabricante, o utilizador final terá de configurar os PINs separadamente para A e B se ambos estiverem instalados num dispositivo iOS/iPadOS.

Se uma aplicação C com a versão 7.1.9 do SDK estiver instalada no dispositivo, partilhará o mesmo PIN que a aplicação A.

Uma aplicação D criada com a 7.1.14 partilhará o mesmo PIN que a aplicação B.

Se apenas os aplicativos A e C estiverem instalados em um dispositivo, será necessário definir um PIN. O mesmo se aplica se apenas os aplicativos B e D estiverem instalados em um dispositivo.

E a encriptação?

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.

Como é que Intune encripta os dados?

O que é encriptado?

Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI. Os dados são considerados “corporativos” quando tem como origem um local da empresa. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas). Para aplicações de linha de negócio geridas pela Intune App Wrapping Tool, todos os dados da aplicação são considerados "empresariais".

Como é que Intune elimina remotamente os dados?

Intune pode eliminar dados da aplicação de três formas diferentes: eliminação completa de dispositivos, eliminação seletiva para MDM e eliminação seletiva de MAM. Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.

O que é a eliminação?

A eliminação remove todos os dados e definições do utilizador do dispositivo ao restaurar as predefinições de fábrica do dispositivo. O dispositivo é removido do Intune.

Observação

A eliminação só pode ser efetuada em dispositivos inscritos com Intune gestão de dispositivos móveis (MDM).

O que é a eliminação seletiva da MDM?

Confira Remover dispositivos – desativar para saber mais sobre a remoção de dados da empresa.

O que é a eliminação seletiva para MAM?

O apagamento seletivo para MAM simplesmente remove dados de aplicativo da empresa de um aplicativo. O pedido é iniciado com o centro de administração do Microsoft Intune. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.

Com que rapidez ocorre a eliminação seletiva da MAM?

Se o utilizador estiver a utilizar a aplicação quando a eliminação seletiva for iniciada, o SDK da Aplicação Intune verifica a cada 30 minutos um pedido de eliminação seletiva do serviço Intune MAM. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.

Porque é que os serviços no Local (no local) não funcionam com Intune aplicações protegidas?

Intune proteção de aplicações depende da identidade do utilizador para ser consistente entre a aplicação e o SDK da Aplicação Intune. A única maneira de assegurar isso é por meio da autenticação moderna. Existem cenários em que as aplicações podem funcionar com uma configuração no local, mas não são consistentes nem garantidas.

Existe uma forma segura de abrir ligações Web a partir de aplicações geridas?

Sim! O administrador de TI pode implementar e definir a política de proteção de aplicações para a aplicação Microsoft Edge. O administrador de TI pode exigir que todas as ligações Web em aplicações geridas Intune sejam abertas com a aplicação Microsoft Edge.

Experiência de aplicação no Android

Porque é que a aplicação Portal da Empresa é necessária para que Intune proteção de aplicações funcione em dispositivos Android?

Como é que vários Intune definições de acesso à proteção de aplicações configuradas para o mesmo conjunto de aplicações e utilizadores funcionam no Android?

Intune políticas de proteção de aplicações para acesso serão aplicadas por uma ordem específica em dispositivos de utilizador final enquanto tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, um bloco teria precedência e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de versão de patch mínima do Android que avisa o usuário para fazer uma atualização de patch, que será aplicada após a configuração da versão de patch mínima do Android que bloqueia o acesso do usuário. Portanto, o cenário em que o administrador de TI configura a versão de patch de Android mínima 2018-03-01 e a versão de patch de Android mínima (somente Aviso) 2018-02-01, enquanto o dispositivo tentar acessar o aplicativo estava em uma versão de patch 2018-01-01, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de patch de Android mínima que resulta em acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do aplicativo teria precedência, seguido por um requisito de versão do sistema operacional de versão de patch do Android. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.

Intune Políticas de Proteção de Aplicações fornecem a capacidade de os administradores exigirem que os dispositivos do utilizador final transmitam a integridade do dispositivo do Google Play marcar para dispositivos Android. Com que frequência é que a integridade do dispositivo de um novo Google Play marcar resultado é enviado para o serviço?

O serviço Intune entrará em contacto com o Google Play num intervalo não configurável determinado pela carga do serviço. Qualquer ação configurada pelo administrador de TI para a definição de marcar de integridade do dispositivo do Google Play será tomada com base no último resultado comunicado ao serviço Intune no momento do lançamento condicional. Se o resultado da integridade do dispositivo da Google estiver em conformidade, não é efetuada qualquer ação. Se o resultado da integridade do dispositivo da Google não estiver em conformidade, a ação configurada pelo administrador de TI será executada imediatamente. Se o pedido à integridade do dispositivo do Google Play marcar falhar por qualquer motivo, o resultado em cache do pedido anterior será utilizado durante um máximo de 24 horas ou o próximo reinício do dispositivo, que será o primeiro. Nessa altura, Intune Políticas de Proteção de Aplicações bloquearão o acesso até que seja possível obter um resultado atual.

Intune Políticas de Proteção de Aplicações fornecem a capacidade de os administradores exigirem que os dispositivos do utilizador final enviem sinais através da API Verificar Aplicações da Google para dispositivos Android. Como é que um utilizador final pode ativar a análise da aplicação para que não seja impedido de aceder devido a esta situação?

As instruções sobre como fazê-lo variam ligeiramente consoante o dispositivo. O processo geral envolve acessar a Google Play Store, clicar em Meus aplicativos e jogos e clicar no resultado do último exame de aplicativo que o levará até o menu do Play Protect. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.

O que é que a API de Integridade do Jogo da Google realmente marcar em dispositivos Android? Qual é a diferença entre os valores configuráveis de "Verificar integridade básica" e "Verificar a integridade básica & dispositivos certificados"?

Intune tira partido das APIs de Integridade do Google Play para adicionar às nossas verificações de deteção de raiz existentes para dispositivos não inscritos. A Google desenvolveu e manteve este conjunto de API para as aplicações Android adotarem se não quiserem que as suas aplicações sejam executadas em dispositivos rooting. O aplicativo Android Pay incorporou isso, por exemplo. Embora a Google não partilhe publicamente a totalidade das verificações de deteção de raiz que ocorrem, esperamos que estas APIs detetem utilizadores que tenham rooting nos seus dispositivos. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política. "Verificar integridade básica" informa-o sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. "Verificar a integridade básica & dispositivos certificados" informa-o sobre a compatibilidade do dispositivo com os serviços da Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. Dispositivos que falharão incluem o seguinte:

  • dispositivos que apresentam falha na integridade básica
  • dispositivos com um carregador de inicialização desbloqueado
  • Dispositivos com uma imagem/ROM do sistema personalizada
  • dispositivos que o fabricante não inscreveu na certificação do Google ou que não foram aprovados por ela
  • Dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do Android
  • dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedor

Veja a documentação da Google sobre a API de Integridade do Jogo para obter detalhes técnicos.

Existem duas verificações semelhantes na secção Iniciação Condicional ao criar uma Política de Proteção de Aplicações Intune para dispositivos Android. Devo exigir a definição "Reproduzir veredicto de integridade" ou a definição "dispositivos desbloqueados por jailbreak/rooting"?

As verificações da API de Integridade do Google Play exigem que o utilizador final esteja online, pelo menos durante o período de tempo em que a "ida e volta" para determinar os resultados do atestado é executada. Se o utilizador final estiver offline, o administrador de TI ainda pode esperar que um resultado seja imposto a partir da definição "dispositivos desbloqueados por jailbreak/rooting". Dito isto, se o utilizador final estiver offline há demasiado tempo, o valor "Período de tolerância offline" entra em jogo e todo o acesso aos dados escolares ou profissionais é bloqueado assim que esse valor de temporizador for atingido, até que o acesso à rede esteja disponível. Ativar ambas as definições permite uma abordagem em camadas para manter os dispositivos do utilizador final em bom estado de funcionamento, o que é importante quando os utilizadores finais acedem a dados escolares ou profissionais em dispositivos móveis.

As configurações da política de proteção do aplicativo que usam as APIs do Google Play Protect exigem que o Google Play Services esteja em funcionamento. E se os Serviços do Google Play não forem permitidos na localização onde o utilizador final pode estar?

Tanto as definições "Reproduzir veredicto de integridade" como "Análise de ameaças nas aplicações" requerem que a versão determinada pela Google dos Serviços do Google Play funcione corretamente. Uma vez que estas são definições que se enquadram na área de segurança, o utilizador final será bloqueado se tiver sido visado com estas definições e não estiver a cumprir a versão adequada do Google Play Services ou não tiver acesso ao Google Play Services.

Experiência de aplicação no iOS

O que acontece se adicionar ou remover uma impressão digital ou rosto do meu dispositivo?

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte. Intune implementa um comportamento em que, se houver alguma alteração na base de dados biométrica do dispositivo, Intune pede ao utilizador um PIN quando o próximo valor de tempo limite de inatividade for cumprido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o utilizador do Intune não tiver um PIN definido, é-lhe pedido que configure um PIN Intune.

O objetivo é continuar a manter os dados da sua organização na aplicação seguros e protegidos ao nível da aplicação. Esta funcionalidade só está disponível para iOS/iPadOS e requer a participação de aplicações que integram o SDK da APLICAÇÃO Intune para iOS/iPadOS, versão 9.0.1 ou posterior. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico. Alguns aplicativos que participam incluem WXP, Outlook, Managed Browser e Yammer.

Consigo utilizar a extensão de partilha do iOS para abrir dados escolares ou profissionais em aplicações não geridas, mesmo com a política de transferência de dados definida como "apenas aplicações geridas" ou "sem aplicações". Estes dados de fuga não são divulgados?

Intune política de proteção de aplicações não consegue controlar a extensão de partilha iOS sem gerir o dispositivo. Por conseguinte, Intune encripta dados "empresariais" antes de serem partilhados fora da aplicação. Pode validar esta situação ao tentar abrir o ficheiro "empresarial" fora da aplicação gerida. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.

Como funcionam várias definições de acesso à proteção de aplicações Intune configuradas para o mesmo conjunto de aplicações e utilizadores no iOS?

Intune políticas de proteção de aplicações para acesso serão aplicadas por uma ordem específica em dispositivos de utilizador final enquanto tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, uma eliminação teria precedência, seguida de um bloqueio e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de sistema operacional mínima do iOS/iPadOS que avisa o usuário para atualizar a versão de iOS/iPadOS, que será aplicada após a configuração de sistema operacional mínima do iOS/iPadOS que bloqueia o acesso do usuário. Assim, no cenário em que o administrador de TI configura o sistema operativo iOS/iPadOS mínimo para 11.0.0.0 e o sistema operativo iOS/iPadOS mínimo (apenas aviso) para 11.1.0.0, enquanto o dispositivo que tentava aceder à aplicação estava no iOS/iPadOS 10, o utilizador final seria bloqueado com base na definição mais restritiva para a versão mínima do sistema operativo iOS/iPadOS que resulta num acesso bloqueado.

Ao lidar com diferentes tipos de definições, um requisito de versão do SDK da Aplicação Intune teria precedência e, em seguida, um requisito de versão da aplicação, seguido do requisito de versão do sistema operativo iOS/iPadOS. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados. Recomendamos que o requisito de versão do SDK da Aplicação Intune seja configurado apenas após a orientação da equipa do produto Intune para cenários de bloqueio essenciais.