Partilhar via


Proteção de dados para MAM do Windows

Pode ativar o acesso protegido da Gestão de Aplicações Móveis (MAM) aos dados da organização em dispositivos Windows pessoais. Esta capacidade utiliza a seguinte funcionalidade:

  • Intune Políticas de Configuração de Aplicações (ACP) para personalizar a experiência de utilizador da organização
  • Intune Políticas de Proteção de Aplicações (APP) para proteger os dados da organização e garantir que o dispositivo cliente está em bom estado de funcionamento
  • Segurança do Windows Center client threat defense integrated with Intune APP to detect local health threats on personal Windows devices
  • Acesso Condicional da Proteção de Aplicações para garantir que o dispositivo está protegido e em bom estado de funcionamento antes de conceder acesso ao serviço protegido através de Microsoft Entra ID

Observação

Intune Mobile Application Management (MAM) para Windows está disponível para Windows 10, compilação 19045.3636, KB5031445 ou posterior e Windows 11, compilação 10.0.22621.2506, KB5031455 (22H2) ou posterior. Isto inclui as alterações de suporte para Microsoft Intune (versão 2309), Microsoft Edge (ramo estável v117 e posterior para Windows 11 e v118.0.2088.71 e posterior para Windows 11) e Centro de Segurança do Windows (v 1.0.2310.2002 e posterior). O Acesso Condicional da Proteção de Aplicações está geralmente disponível.

A MAM do Windows é suportada em ambientes de cloud governamentais. Para obter informações relacionadas, veja Deploying apps using Intune on the GCC High and DoD Environments (Implementar aplicações com Intune nos Ambientes GCC High e DoD).

Para obter mais informações sobre a MAM, veja Noções básicas da Gestão de Aplicações Móveis (MAM).

Observação

O Conector de Defesa Contra Ameaças para Dispositivos Móveis (MTD) para o componente do Segurança do Windows Center (WSC) só é suportado na Windows 11 versão 22631 (23H2) ou posterior.

Tanto os utilizadores finais como as organizações precisam de ter acesso organizacional protegido a partir de dispositivos pessoais. As organizações têm de garantir que os dados empresariais estão protegidos em dispositivos pessoais e não geridos. Enquanto administrador Intune, tem a responsabilidade de determinar como os membros (utilizadores finais) da sua organização acedem aos recursos empresariais de forma protegida a partir de um dispositivo não gerido. Tem de garantir que, ao aceder aos dados organizacionais, que os dispositivos não geridos estão em bom estado de funcionamento, que as aplicações cumprem as políticas de proteção dos dados da sua organização e que os recursos não geridos do utilizador final no respetivo dispositivo não são afetados pelas políticas da sua organização.

Enquanto administrador Intune, tem de ter a seguinte funcionalidade de gestão de aplicações:

  • Capacidade de implementar políticas de proteção de aplicações em aplicações/utilizadores protegidos pelo SDK da APLICAÇÃO Intune, incluindo o seguinte:
    • Configurações de proteção de dados
    • Definições de Verificações de Estado de Funcionamento (também conhecidas como Iniciação Condicional)
  • Capacidade de exigir políticas de proteção de aplicações através do Acesso Condicional
  • Capacidade para efetuar uma verificação adicional do estado de funcionamento do cliente através do centro de Segurança do Windows ao fazer o seguinte:
    • Designar o nível de risco do Centro de Segurança do Windows para permitir que os utilizadores finais acedam aos recursos empresariais
    • Configurar o conector baseado no inquilino para Microsoft Intune para o Centro de Segurança do Windows
  • Capacidade de implementar um comando de eliminação seletiva em aplicações protegidas

Os membros da sua organização (utilizadores finais) esperam ter a seguinte funcionalidade para as respetivas contas:

  • Capacidade de iniciar sessão no Microsoft Entra ID para aceder a sites protegidos pelo Acesso Condicional
  • Capacidade de verificar o estado de funcionamento status do dispositivo cliente, no caso de um dispositivo ser considerado em mau estado de funcionamento
  • Capacidade de ter acesso revogado aos recursos quando um dispositivo permanece em mau estado de funcionamento
  • Capacidade de ser informado, com passos de remediação claros, quando o acesso é controlado por uma política de administrador

Observação

Para obter informações relacionadas com Microsoft Entra ID, consulte Exigir uma política de proteção de aplicações em dispositivos Windows.

Conformidade de Acesso Condicional

A prevenção da perda de dados faz parte da proteção dos dados organizacionais. A prevenção de perda de dados (DLP) só é eficaz se os dados da sua organização não puderem ser acedidos a partir de qualquer sistema ou dispositivo desprotegido. O Acesso Condicional da Proteção de Aplicações utiliza o Acesso Condicional (AC) para garantir que as Políticas de Proteção de Aplicações (APP) são suportadas e impostas numa aplicação cliente antes de permitir o acesso a recursos protegidos (como dados da organização). A AC da APLICAÇÃO permitirá que os utilizadores finais com dispositivos Windows pessoais utilizem aplicações geridas por APLICAÇÕES, incluindo o Microsoft Edge, para acederem a recursos Microsoft Entra sem gerirem totalmente os respetivos dispositivos pessoais.

Este serviço de MAM sincroniza o estado de conformidade por utilizador, por aplicação e por dispositivo com o serviço Microsoft Entra AC. Isto inclui as informações sobre ameaças recebidas dos fornecedores da Defesa Contra Ameaças para Dispositivos Móveis (MTD) que começam com Segurança do Windows Center.

Observação

Este serviço MAM utiliza o mesmo fluxo de trabalho de conformidade de acesso condicional que é utilizado para gerir o Microsoft Edge em dispositivos iOS e Android.

Quando é detetada uma alteração, o serviço MAM atualiza imediatamente o estado de conformidade do dispositivo. O serviço também inclui o estado de funcionamento da MTD como parte do estado de conformidade.

Observação

O serviço MAM avalia o estado do MTD no serviço. Isto é feito independentemente do cliente MAM e da plataforma de cliente.

O Cliente MAM comunica o estado de funcionamento do cliente (ou metadados de estado de funcionamento) ao Serviço MAM após marcar. O estado de funcionamento inclui qualquer falha das Verificações do Estado de Funcionamento da APLICAÇÃO relativamente às condições de Bloqueio ou Eliminação . Além disso, Microsoft Entra ID orienta os utilizadores finais através dos passos de remediação quando tentam aceder a um recurso de AC bloqueado.

Conformidade de Acesso Condicional

As organizações podem utilizar Microsoft Entra políticas de Acesso Condicional para garantir que os utilizadores só podem aceder a conteúdos escolares ou profissionais através de aplicações geridas por políticas no Windows. Para fazer isso, você precisará de uma política de acesso condicional direcionada a todos os usuários em potencial. Siga os passos em Exigir uma política de proteção de aplicações em dispositivos Windows, que permite o Microsoft Edge para Windows, mas impede que outros browsers se liguem aos pontos finais do Microsoft 365.

Com o Acesso Condicional, você também pode direcionar sites locais que você expôs a usuários externos por meio do Proxy de Aplicativo do Microsoft Entra.

Estado de Funcionamento da Defesa Contra Ameaças

A status de estado de funcionamento de um dispositivo pessoal é verificada antes de permitir o acesso aos dados da sua organização. A deteção de ameaças de MAM pode ser ligada ao Centro de Segurança do Windows. O Centro de Segurança do Windows fornece uma avaliação do estado de funcionamento do dispositivo cliente para Intune APP através de um conector serviço a serviço. Esta avaliação suporta a utilização do fluxo e o acesso aos dados da organização em dispositivos pessoais não geridos.

O estado de funcionamento inclui os seguintes detalhes:

  • Identificadores de utilizador, aplicação e dispositivo
  • Um estado de funcionamento predefinido
  • A hora da última atualização do estado de funcionamento

O estado de funcionamento só é enviado para os utilizadores inscritos na MAM. Os utilizadores finais podem deixar de enviar dados ao terminarem sessão na respetiva conta de organização em aplicações protegidas. Os administradores podem deixar de enviar dados ao remover o Conector de Segurança do Windows do Microsoft Intune.

Para obter informações relacionadas, veja Criar uma política de proteção de aplicações MTD para Windows.

Criar políticas de proteção de aplicativos do Intune

As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo.

Enquanto administrador, pode configurar a forma como os dados são protegidos através da APLICAÇÃO. Esta configuração aplica-se à interação nativa da aplicação Windows com os dados. As definições da APLICAÇÃO são segmentadas em três categorias:

  • Proteção de Dados – estas definições controlam a forma como os dados podem ser movidos para dentro e fora de um contexto organizacional (conta, documento, localização, serviços) para o utilizador.
  • Verificações de Estado de Funcionamento (Iniciação Condicional) – estas definições controlam as condições do dispositivo necessárias para aceder aos dados da organização e as ações de remediação se as condições não forem cumpridas.

Para ajudar as organizações a priorizar a proteção de pontos finais de cliente, a Microsoft introduziu a taxonomia para a arquitetura de proteção de dados da APLICAÇÃO para gestão de aplicações móveis.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Para obter mais informações sobre as definições disponíveis, consulte Definições de política de proteção de aplicações do Windows.

Próximas etapas