Acesso Condicional baseado em aplicativos com Intune

  • Artigo

As políticas de proteção de aplicações Intune funcionam com o Acesso Condicional, uma capacidade Azure Ative Directory, para ajudar a proteger os seus dados organizacionais nos dispositivos que os seus colaboradores usam. Estas políticas funcionam em dispositivos que se matriculam com o Intune um em dispositivos de propriedade de empregados que não se matriculam.

As políticas de proteção de aplicações são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida.

  • Uma política de proteção de aplicações pode ser uma regra que é aplicada quando o utilizador tenta aceder ou mover dados "corporativos", ou um conjunto de ações que são proibidas ou monitorizadas quando o utilizador está dentro da app.
  • Uma aplicação gerida é uma aplicação que tem políticas de proteção de aplicações aplicadas à mesma e pode ser gerida pelo Intune.
  • Também pode bloquear as aplicações de correio incorporadas no iOS/iPadOS e Android quando permite que apenas a aplicação microsoft Outlook tenha acesso Exchange Online. Além disso, pode bloquear aplicações que não tenham políticas de proteção de aplicações Intune aplicadas a partir do acesso ao SharePoint Online.

O Acesso Condicional baseado em aplicações com a gestão de aplicações do cliente adiciona uma camada de segurança, certificando-se de que apenas as aplicações de clientes que suportam políticas de proteção de aplicações Intune podem aceder Exchange serviços online e outros Microsoft 365.

Pré-requisitos

Antes de criar uma política de acesso condicional baseada em aplicativos, tem de ter:

  • Enterprise Mobility + Security (EMS) ou uma subscrição do Azure Active Directory (AD) Premium
  • Os utilizadores têm de ter uma licença do EMS ou do Azure AD

Para mais informações, consulte os preços da Mobilidade Empresarial ou Azure Ative Directory preços.

Aplicações suportadas

Uma lista de aplicações que suportam o Acesso Condicional baseado em aplicações pode ser encontrada em Acesso Condicional: Condições na documentação Azure Ative Directory.

O Acesso Condicional baseado em aplicações também suporta aplicações de linha de negócio (LOB),mas estas aplicações precisam de usar Microsoft 365 a autenticação moderna.

Como funciona o Acesso Condicional baseado em aplicativos

Neste exemplo, o administrador aplicou políticas de proteção de aplicações à aplicação Outlook seguida de uma regra de Acesso Condicional que adiciona a aplicação Outlook a uma lista aprovada de apps que podem ser usadas no acesso a e-mails corporativos.

Nota

O fluxograma a seguir pode ser usado para outras aplicações geridas.

Processo de acesso condicional baseado em aplicativos ilustrado num fluxograma

  1. O utilizador tenta autenticar-se no Azure AD a partir da aplicação Outlook.

  2. O utilizador é redirecionado para a loja de aplicações para instalar uma aplicação de mediador quando tenta autenticar-se pela primeira vez. A aplicação de mediador pode ser o Microsoft Authenticator para iOS ou o Portal da Empresa da Microsoft para dispositivos Android.

    Se os utilizadores tentarem usar uma aplicação de e-mail nativa, serão redirecionados para a loja de aplicações para depois instalarem a aplicação Outlook.

  3. A aplicação de mediador é instalada no dispositivo.

  4. A aplicação de mediador inicia o processo de registo do Microsoft Azure AD que cria um registo de dispositivo no Microsoft Azure AD. Este processo não é o mesmo que o processo de inscrição de dispositivos móveis (MDM), mas este registo é necessário para que as políticas de Acesso Condicional possam ser aplicadas no dispositivo.

  5. A aplicação do corretor confirma o ID do dispositivo AZure, o utilizador e a aplicação. Esta informação é transmitida aos servidores de inscrição Azure AD para validar o acesso ao serviço solicitado.

  6. A aplicação de corretor envia o ID do Cliente da App para Azure AD como parte do processo de autenticação do utilizador para verificar se está na lista aprovada pela apólice.

  7. O Azure AD permite ao utilizador autenticar-se e utilizar a aplicação com base na lista aprovada de políticas. Se a aplicação não estiver na lista, o Microsoft Azure AD recusará o acesso à aplicação.

  8. A aplicação Outlook comunica com o Serviço Cloud do Outlook para iniciar a comunicação com o Exchange Online.

  9. O Serviço Cloud do Outlook comunica com o Azure AD para recuperar o token de acesso de serviço do Exchange Online para o utilizador.

  10. A aplicação Outlook comunica com o Exchange Online para recuperar o e-mail empresarial do utilizador.

  11. O e-mail empresarial é entregue na caixa de correio do utilizador.

Passos seguintes