Como criar e atribuir políticas de proteção de aplicações

Saiba como criar e atribuir Microsoft Intune políticas de proteção de aplicações (APP) para os utilizadores da sua organização. Este tópico também descreve como fazer alterações a políticas existentes.

Antes de começar

As políticas de proteção de aplicações podem ser aplicadas às aplicações em execução nos dispositivos que podem ou não ser geridos pelo Intune. Para uma descrição mais detalhada de como as políticas de proteção de aplicações funcionam e os cenários que são apoiados pelas políticas de proteção de aplicações Intune, consulte a visão geral das políticas de proteção da App.

As escolhas disponíveis nas políticas de proteção de aplicações (APP) permitem às organizações adaptar a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais as definições políticas necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar o endurecimento do ponto final do cliente móvel, a Microsoft introduziu a taxonomia para o seu quadro de proteção de dados APP para a gestão de aplicações móveis iOS e Android.

O quadro de proteção de dados da APP está organizado em três níveis distintos de configuração, com cada nível a construir fora do nível anterior:

• A proteção de dados básica de Empresas (Nível 1) garante que as aplicações são protegidas e encriptadas e desempenha operações de limpeza seletiva. Para dispositivos Android, este nível valida o atestado de dispositivo Android. Esta é uma configuração de nível de entrada que fornece um controlo semelhante de proteção de dados em políticas Exchange Online caixa de correio e introduz a TI e a população utilizadora à APP.
• A proteção de dados melhorada da empresa (Nível 2) introduz mecanismos de prevenção de fugas de dados da APP e requisitos mínimos de SO. Trata-se da configuração que é aplicável à maioria dos utilizadores móveis que acedem a dados profissionais ou escolares.
• A alta proteção de dados da empresa (Nível 3) introduz mecanismos avançados de proteção de dados, configuração PIN melhorada e APP Mobile Threat Defense. Esta configuração é recomendada para utilizadores que estão a aceder a dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e as aplicações mínimas que devem ser protegidas, reveja o quadro de proteção de dados utilizando políticas de proteção de aplicações.

Se procura uma lista de aplicações que integraram o Intune SDK, consulte Microsoft Intune aplicações protegidas.

Para obter mais informações sobre como adicionar as aplicações de linha de negócio (LOB) da sua organização ao Microsoft Intune, para se preparar para as políticas de proteção de aplicações, veja Adicionar aplicações ao Microsoft Intune.

Políticas de proteção de aplicativos para aplicações iOS/iPadOS e Android

Quando cria uma política de proteção de aplicações para aplicações iOS/iPadOS e Android, segue um fluxo de processos Intune moderno que resulta numa nova política de proteção de aplicações. Para obter informações sobre a criação de políticas de proteção de aplicações para aplicações Windows, consulte Criar e implementar Windows política de Proteção de Informação (WIP) com o Intune.

Criar uma política de proteção de aplicativos iOS/iPadOS ou Android

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione > políticas de proteção de aplicativos de aplicações. Esta seleção abre o painel Políticas de proteção de aplicações, onde pode criar novas políticas e editar as já existentes.

3. Selecione Criar política e selecione iOS/iPadOS ou Android. É apresentado o painel de política Create.

4. Na página Basics, adicione os seguintes valores:

   Valor	Descrição
   Nome	O nome desta política de proteção de aplicativos.
   Descrição	[Opcional] A descrição desta política de proteção de aplicações.

   O valor da Plataforma é definido com base na sua escolha acima.

   

5. Clique ao lado para exibir a página De Aplicações.
   A página Apps permite-lhe escolher como pretende aplicar esta política a aplicações em diferentes dispositivos. Deve adicionar pelo menos uma aplicação.

   Valor/Opção	Descrição
   Alvo para apps em todos os tipos de dispositivos	Utilize esta opção para direcionar a sua política para apps em dispositivos de qualquer estado de gestão. Escolha Não para direcionar as aplicações em tipos de dispositivos específicos. Para obter informações, consulte as políticas de proteção de aplicações Target com base no estado de gestão do dispositivo.
   Tipos de dispositivos	Utilize esta opção para especificar se esta política se aplica a dispositivos geridos por MDM ou a dispositivos não geridos. Para as políticas de APP iOS/iPadOS, selecione a partir de dispositivos não geridos e geridos. Para as políticas de APLICATIVO Android, selecione de Unmanaged, Android device administrator, e Android Enterprise.
   Aplicativos públicos	Na política Target para a caixa de dropdown, opte por direcionar a sua política de proteção de aplicações para todas as aplicações públicas, Microsoft Apps ou Core Microsoft Apps. Em seguida, pode selecionar Ver uma lista das aplicações que serão direcionadas para ver uma lista das aplicações que serão afetadas por esta política. Se necessário, pode optar por direcionar as aplicações individuais clicando em Selecionar aplicações públicas.
   Aplicativos personalizados	Clique em Selecionar aplicativos personalizados para selecionar aplicações personalizadas para direcionar com base num Bundle ID.

   As aplicações(s) selecionadas aparecerão na lista de aplicações públicas e personalizadas.

   Nota

   As aplicações públicas são suportadas são aplicações da Microsoft e parceiros que são comumente usados com Microsoft Intune. Estas aplicações protegidas intune são ativadas com um rico conjunto de suporte para políticas de proteção de aplicações móveis. Para mais informações, consulte Microsoft Intune aplicações protegidas. As aplicações personalizadas são aplicações LOB que foram integradas com o Intune SDK ou embrulhadas pela App Wrapping Tool Intune. Para obter mais informações consulte Microsoft Intune App SDK Overview e Prepare aplicações de linha de negócios para políticas de proteção de aplicações.

6. Clique em seguir para exibir a página de proteção de dados.
   Esta página fornece configurações para controlos de prevenção de perda de dados (DLP), incluindo restrições de corte, cópia, pasta e poupança como restrições. Estas definições determinam como os utilizadores interagem com os dados nas aplicações que aplica esta política de proteção de aplicações.

   Definições de proteção de dados:
   

   • proteção de dados iOS/iPadOS - Para obter informações, consulte as definições da política de proteção de aplicações iOS/iPadOS - Proteção de dados.
   • Proteção de dados do Android - Para obter informações, consulte as definições da política de proteção de aplicações do Android - Proteção de dados.

7. Clique ao lado para exibir a página de requisitos de Acesso.
   Esta página fornece configurações que lhe permitem configurar o PIN e requisitos de credencial que os utilizadores devem cumprir para aceder a apps num contexto de trabalho.

   Definições de requisitos de acesso:
   

   • Requisitos de acesso iOS/iPadOS - Para obter informações, consulte as definições da política de proteção de aplicações iOS/iPadOS - Requisitos de acesso.
   • Requisitos de acesso ao Android - Para obter informações, consulte as definições da política de proteção de aplicações android - requisitos de acesso.

8. Clique ao lado para exibir a página de lançamento condicional.
   Esta página fornece configurações para definir os requisitos de segurança de inscrição para a sua política de proteção de aplicações. Selecione uma Definição e introduza o Valor que os utilizadores têm de cumprir para iniciar sessão na sua aplicação da empresa. Em seguida, selecione a Ação que pretende tomar se os utilizadores não cumprirem os seus requisitos. Em alguns casos, é possível configurar múltiplas ações para uma única definição.

   Definições de lançamento condicional:
   

   • Lançamento condicional iOS/iPadOS - Para obter informações, consulte as definições da política de proteção de aplicações iOS/iPadOS - Lançamento condicional.
   • Lançamento condicional do Android - Para obter informações, consulte as definições da política de proteção de aplicações android - Lançamento condicional.

9. Clique ao lado para exibir a página atribuições.
   A página Atribuições permite-lhe atribuir a política de proteção de aplicações a grupos de utilizadores. É necessário aplicar a política a um grupo de utilizadores para que a política tenha efeito.

10. Clique em Seguida: Revisão + criar para rever os valores e configurações que inseriu para esta política de proteção de aplicações.

11. Quando terminar, clique em Criar para criar a política de proteção de aplicações no Intune.

    Dica

    Estas definições de política apenas são impostas quando utilizar aplicações no contexto profissional. Quando os utilizadores finais utilizam a aplicação para realizar uma tarefa pessoal, estes não são afetados por estas políticas. Tenha em atenção que, ao criar um novo ficheiro, este é considerado um ficheiro pessoal.

    Importante

    Pode levar tempo para que as políticas de proteção de aplicações se apliquem aos dispositivos existentes. Os utilizadores finais verão uma notificação no dispositivo quando a política de proteção da aplicação for aplicada. Aplique as suas políticas de proteção de aplicações em dispositivos antes de aplicar regras de acesso condidtional.

Os utilizadores finais podem transferir as aplicações a partir da Apple Store ou do Google Play. Para obter mais informações, consulte:

• O que esperar quando a aplicação Android é gerida por políticas de proteção de aplicações
• O que esperar quando a sua aplicação iOS/iPadOS é gerida por políticas de proteção de aplicações

Alterar políticas existentes

Pode editar uma política existente e aplicá-la aos utilizadores visados. No entanto, quando alterar as políticas existentes, os utilizadores que já se inscreveram nas apps não verão as alterações durante um período de oito horas.

Para ver o efeito das alterações imediatamente, o utilizador final tem de terminar sessão na aplicação e voltar a iniciar sessão.

Para alterar a lista de aplicações associadas à política

1. No painel Políticas de proteção de aplicações, selecione a política que pretende alterar.

2. No painel de proteção de aplicações Intune, selecione Propriedades.

3. Ao lado da secção intitulada Apps, selecione Editar.

4. A página Apps permite-lhe escolher como pretende aplicar esta política a aplicações em diferentes dispositivos. Deve adicionar pelo menos uma aplicação.

   Valor/Opção	Descrição
   Alvo para apps em todos os tipos de dispositivos	Utilize esta opção para direcionar a sua política para apps em dispositivos de qualquer estado de gestão. Escolha Não para direcionar as aplicações em tipos de dispositivos específicos. Pode ser necessária uma configuração adicional da aplicação para esta definição. Para obter mais informações, veja Direcionar políticas de proteção de aplicações com base no estado de gestão do dispositivo.
   Tipos de dispositivos	Utilize esta opção para especificar se esta política se aplica a dispositivos geridos por MDM ou a dispositivos não geridos. Para as políticas de APP iOS/iPadOS, selecione a partir de dispositivos não geridos e geridos. Para as políticas de APLICATIVO Android, selecione de Unmanaged, Android device administrator, e Android Enterprise.
   Aplicativos públicos	Na política Target para a caixa de dropdown, opte por direcionar a sua política de proteção de aplicações para todas as aplicações públicas, Microsoft Apps ou Core Microsoft Apps. Em seguida, pode selecionar Ver uma lista das aplicações que serão direcionadas para ver uma lista das aplicações que serão afetadas por esta política. Se necessário, pode optar por direcionar as aplicações individuais clicando em Selecionar aplicações públicas.
   Aplicativos personalizados	Clique em Selecionar aplicativos personalizados para selecionar aplicações personalizadas para direcionar com base num Bundle ID.

   As aplicações(s) selecionadas aparecerão na lista de aplicações públicas e personalizadas.

5. Clique em 'Rever' + criar para rever as aplicações selecionadas para esta política.

6. Quando terminar, clique em Guardar para atualizar a política de proteção de aplicações.

Para alterar a lista de grupos de utilizadores

1. No painel Políticas de proteção de aplicações, selecione a política que pretende alterar.

2. No painel de proteção de aplicações Intune, selecione Propriedades.

3. Junto à secção intitulada Atribuições, selecione Editar.

4. Para adicionar um novo grupo de utilizadores à política, no separador Incluir, selecione Selecionar grupos para incluir e selecione o grupo de utilizadores. Escolha Selecionar para adicionar o grupo.

5. Para excluir um grupo de utilizadores, no separador Excluir, escolha Selecionar grupos a excluir e selecione o grupo de utilizadores. Selecione a opção Selecionar para remover o grupo de utilizadores.

6. Para eliminar grupos que foram adicionados anteriormente, no separador Incluir ou Excluir, selecione as reticências (...) e, em seguida, Eliminar.

7. Clique em 'Rever' + criar para rever os grupos de utilizadores selecionados para esta política.

8. Quando tiver concluído as alterações às atribuições, selecione Guardar para guardar a configuração e implementar a política para o novo conjunto de utilizadores. Se selecionar Cancelar antes de guardar a sua configuração, irá descartar todas as alterações que fez nos separadores Incluir e Excluir.

Para alterar definições de política

1. No painel Políticas de proteção de aplicações, selecione a política que pretende alterar.

2. No painel de proteção de aplicações Intune, selecione Propriedades.

3. Junto à secção correspondente às definições que pretende alterar, selecione Editar. Em seguida, altere as definições para novos valores.

4. Clique em Rever + criar para rever as definições atualizadas para esta política.

5. Selecione o Save para guardar as suas alterações. Repita o processo de selecionar uma área de definições, alterá-la e guardar as alterações até concluir todas as suas alterações. Em seguida, pode abrir o painel Proteção de Aplicações do Intune – Propriedades.

Aplicar políticas de proteção de aplicações com base no estado de gestão do dispositivo

Em muitas organizações, é comum permitir que os utilizadores finais utilizem dispositivos geridos pela Intune Mobile Device Management (MDM), como dispositivos de propriedade corporativa, e dispositivos não geridos protegidos apenas com políticas de proteção de aplicações Intune. Os dispositivos não geridos são normalmente denominados BYOD (Bring Your Own Devices).

Uma vez que as políticas de proteção de aplicações Intune visam a identidade de um utilizador, as definições de proteção para um utilizador podem aplicar-se tanto a dispositivos matriculados (geridos pelo MDM) como a dispositivos não matriculados (sem MDM). Por isso, pode direcionar uma política de proteção de aplicações Intune para dispositivos Intune inscritos ou não inscritos iOS/iPadOS e Android. Pode ter uma política de proteção para dispositivos não geridos em que existem controlos rigorosos de prevenção de perdas de dados (DLP) e uma política de proteção separada para dispositivos geridos pelo MDM, onde os controlos DLP podem estar um pouco mais relaxados. Para obter mais informações sobre como isto funciona em dispositivos pessoais do Android Enterprise, consulte as políticas de proteção de aplicações e perfis de trabalho.

Para criar estas políticas, navegue pelas políticas de > proteção da App apps na consola Intune e, em seguida, selecione Criar a política. Também pode editar uma política de proteção de aplicações existente. Para que a política de proteção de aplicações seja aplicada tanto a dispositivos geridos como não geridos, navegue na página apps e confirme que o Target para aplicações em todos os tipos de dispositivos está definido para Sim, o valor padrão. Se pretender atribuir granularmente com base no estado de gestão, deslote o Target para aplicações em todos os tipos de dispositivos para O.

Tipos de dispositivos

• Não geridos: Para dispositivos iOS/iPadOS, os dispositivos não geridos são quaisquer dispositivos onde a gestão do MDM intune ou uma solução DE MDM/EMM de terceiros não passa a IntuneMAMUPN chave. No caso de dispositivos Android, dispositivos não geridos são dispositivos onde a gestão do INTUNE MDM não foi detetada. Isto inclui dispositivos geridos por fornecedores de MDM de terceiros.
• Dispositivos geridos intune: Os dispositivos geridos são geridos pelo Intune MDM.
• Administrador de dispositivos Android: Dispositivos geridos por intune utilizando a API da Administração de Dispositivos Android.
• Android Enterprise: Dispositivos geridos por intune utilizando perfis de trabalho android enterprise ou Android Enterprise Full Device Management.

No Android, os dispositivos Android vão solicitar a instalação da aplicação Portal da Empresa do Intune, independentemente do tipo de Dispositivo escolhido. Por exemplo, se selecionar 'Android Enterprise' ainda será solicitado aos utilizadores com dispositivos Android não geridos.

Para o iOS/iPadOS, para que a seleção do tipo dispositivo seja aplicada a dispositivos geridos intune, são necessárias definições adicionais de configuração de aplicações. Estas configurações comunicarão ao serviço APP que uma determinada aplicação é gerida - e que as definições de APP não serão aplicadas:

• IntuneMAMUPN tem de ser configurado para todas as aplicações geridas pela MDM. Para obter mais informações, consulte como gerir a transferência de dados entre aplicações iOS/iPadOS em Microsoft Intune.
• O IntuneMAMDeviceID deve ser configurado para todas as aplicações geridas por MDM de terceiros e linhas de negócio. O IntuneMAMDeviceID deve ser configurado para o token de ID do dispositivo. Por exemplo, key=IntuneMAMDeviceID, value={{deviceID}}. Para obter mais informações, consulte políticas de configuração de aplicativos para dispositivos iOS/iPadOS geridos.
• Se apenas o IntuneMAMDeviceID for configurado, a aplicação do Intune irá considerar o dispositivo como não gerido.

Nota

Para informações específicas de suporte iOS/iPadOS sobre políticas de proteção de aplicações baseadas no estado de gestão de dispositivos, consulte as políticas de proteção do MAM direcionadas com base no estado de gestão.

Definições de política

Para ver uma lista completa das definições de política para iOS/iPadOS e Android, selecione um dos seguintes links:

• políticas iOS/iPadOS
• Políticas para Android

Passos seguintes

Monitorizar o estado do utilizador e de conformidade

Ver também

• O que esperar quando a aplicação Android é gerida por políticas de proteção de aplicações
• O que esperar quando a sua aplicação iOS/iPadOS é gerida por políticas de proteção de aplicações