Perguntas frequentes sobre o MAM e a proteção do aplicativo

Descrição Geral da MAM

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo.

Consulte as definições de política de proteção de aplicações Android e definições de política de proteção de aplicações iOS/iPadOS para obter informações detalhadas sobre cada definição de política de proteção de aplicações.

Se aplicar uma política de MAM ao utilizador sem definir o estado de gestão de dispositivos, o utilizador obtém a política de MAM no dispositivo BYOD e no dispositivo gerido Intune. Também pode aplicar uma política de MAM com base no estado de gestão de dispositivos. Por isso, quando cria uma política de proteção de aplicações, junto a Direcionar para aplicações em todos os tipos de dispositivo, seleciona Não. Depois, siga um destes procedimentos:

• Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.
• Aplique uma política de MAM igualmente rigorosa para Intune dispositivos geridos em dispositivos geridos de terceiros.
• Aplique uma política de MAM apenas a dispositivos não registrados.

Para obter mais informações, veja Como monitorizar políticas de proteção de aplicações.

Qualquer aplicação que tenha sido integrada com o SDK da Aplicação Intune ou encapsulada pelo Intune App Wrapping Tool pode ser gerida com Intune políticas de proteção de aplicações. Veja a lista oficial de aplicativos gerenciados pelo Intune disponíveis para uso público.

• O utilizador final tem de ter uma conta Microsoft Entra. Veja Adicionar utilizadores e conceder permissão administrativa para Intune para saber como criar Intune utilizadores no Microsoft Entra ID.

• O utilizador final tem de ter uma licença para Microsoft Intune atribuída à respetiva conta Microsoft Entra. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.

• O usuário final deve pertencer a um grupo de segurança que esteja sob uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implementadas no centro de administração do Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.

• O utilizador final tem de iniciar sessão na aplicação com a respetiva conta Microsoft Entra.

A equipe de desenvolvimento do SDK do Intune testa ativamente e mantém o suporte para aplicativos criados com as plataformas nativas do Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Embora alguns clientes tenham tido sucesso com Intune integração do SDK com outras plataformas, como React Native e NativeScript, não fornecemos orientações explícitas ou plug-ins para programadores de aplicações que utilizem outra coisa que não as nossas plataformas suportadas.

O SDK da Aplicação Intune pode utilizar a Biblioteca de Autenticação da Microsoft para os respetivos cenários de autenticação e iniciação condicional. Também depende da MSAL para registar a identidade do utilizador no serviço MAM para gestão sem cenários de inscrição de dispositivos.

• O utilizador final tem de ter a aplicação Outlook para dispositivos móveis instalada no respetivo dispositivo.

• O utilizador final tem de ter uma caixa de correio e uma licença do Microsoft 365 Exchange Online associadas à respetiva conta Microsoft Entra.

  Observação

  Atualmente, a aplicação Outlook para dispositivos móveis só suporta Intune App Protection para Microsoft Exchange Online e Exchange Server com autenticação moderna híbrida e não suporta o Exchange no Office 365 Dedicado.

• O utilizador final tem de ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa associada à respetiva conta Microsoft Entra. A assinatura deve incluir os aplicativos do Office em dispositivos móveis e pode incluir uma conta de armazenamento em nuvem com o OneDrive for Business. As licenças do Microsoft 365 podem ser atribuídas no Centro de Administração do Microsoft 365 seguindo estas instruções.

• O usuário final deve configurar um local gerenciado usando o salvamento granular como funcionalidade na configuração "Salvar cópias de dados da organização" da política de proteção do aplicativo. Por exemplo, se a localização gerida for o OneDrive, a aplicação OneDrive deve ser configurada na aplicação Word, Excel ou PowerPoint do utilizador final.

• Se o local gerenciado for o OneDrive, será necessário direcionar o aplicativo de acordo com a política de proteção do aplicativo implantada para o usuário final.

  Observação

  No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

Intune marca todos os dados na aplicação como "empresariais" ou "pessoais". Os dados são considerados "empresariais" quando têm origem numa localização empresarial. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas).

Consulte os requisitos de licença do Skype for Business. Para configurações híbridas e no local do Skype for Business (SfB), veja Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID (Autenticação Moderna Híbrida para SfB e Exchange goes GA) e Modern Auth for SfB no local com Microsoft Entra ID, respetivamente.

O suporte de várias identidades é a capacidade de o SDK da Aplicação Intune aplicar apenas políticas de proteção de aplicações à conta escolar ou profissional com sessão iniciada na aplicação. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados.

O suporte de várias identidades permite que as aplicações com audiências "empresariais" e de consumidores (ou seja, as aplicações do Office) sejam lançadas publicamente com Intune capacidades de proteção de aplicações para as contas "empresariais".

Uma vez que o Outlook tem uma vista de e-mail combinada de e-mails pessoais e "empresariais", a aplicação Outlook pede o PIN Intune ao iniciar.

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.

O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos". Em aplicações de várias identidades, como Word/Excel/PowerPoint, é pedido ao utilizador o pin quando tenta abrir um documento ou ficheiro "empresarial". Em aplicações de identidade única, como aplicações de linha de negócio geridas com o Intune App Wrapping Tool, o PIN é pedido no início, porque o SDK da Aplicação Intune sabe que a experiência do utilizador na aplicação é sempre "empresarial".

O administrador de TI pode definir a definição de política de proteção de aplicações Intune "Verificar novamente os requisitos de acesso após (minutos)" no centro de administração do Microsoft Intune. Esta definição especifica a quantidade de tempo antes de os requisitos de acesso serem verificados no dispositivo e o ecrã de PIN da aplicação é apresentado novamente. No entanto, detalhes importantes sobre o PIN que afetam a frequência com que o usuário será consultado são:

• O PIN é partilhado entre aplicações do mesmo fabricante para melhorar a usabilidade: No iOS/iPadOS, é partilhado um PIN de aplicação entre todas as aplicações do mesmo publicador de aplicações. No Android, o PIN de um aplicativo é compartilhado com todos os aplicativos.
• O comportamento "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo: Um "temporizador de PIN" monitoriza o número de minutos de inatividade que determinam quando mostrar o PIN da aplicação Intune seguinte. No iOS/iPadOS, o temporizador do PIN não é afetado pelo reinício do dispositivo. Assim, o reinício do dispositivo não afeta o número de minutos em que o utilizador esteve inativo a partir de uma aplicação iOS/iPadOS com Intune política de PIN. No Android, o temporizador do PIN é reposto no reinício do dispositivo. Como tal, as aplicações Android com Intune política de PIN irão provavelmente pedir um PIN da aplicação, independentemente do valor de definição "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo.
• A natureza sem interrupção do temporizador associado ao PIN: Depois de introduzir um PIN para aceder a uma aplicação (aplicação A) e a aplicação sair do primeiro plano (main foco de entrada) no dispositivo, o temporizador do PIN é reposto para esse PIN. Qualquer aplicação (aplicação B) que partilhe este PIN não pedirá ao utilizador a entrada de PIN porque o temporizador foi reposto. A solicitação será exibida novamente quando o valor "Verificar novamente os requisitos de acesso após (minutos)" for atendido novamente.

Para dispositivos iOS/iPadOS, mesmo que o PIN seja partilhado entre aplicações de fabricantes diferentes, o pedido será apresentado novamente quando o valor Reverificar os requisitos de acesso após (minutos) for novamente cumprido para a aplicação que não é a main foco de entrada. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado. Depois que o valor Verificar novamente os requisitos de acesso após (minutos) for atendido e o usuário alternar para o aplicativo B, o PIN será necessário.

O INTUNE PIN funciona com base num temporizador baseado em inatividade (o valor de "Verificar novamente os requisitos de acesso após (minutos)"). Portanto, os prompts do PIN do Intune são mostrados independentemente dos prompts do PIN do aplicativo interno do Outlook e do OneDrive, que geralmente são vinculados à inicialização do aplicativo por padrão. Se o usuário recebe ambos os prompts de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.

O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo. Portanto, um usuário final deve entrar com sua conta corporativa ou de estudante antes de definir ou redefinir o PIN do aplicativo do Intune. Esta autenticação é processada por Microsoft Entra ID através de uma troca de tokens segura e não é transparente para o SDK da Aplicação Intune. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los. A encriptação não está relacionada com o PIN da aplicação, mas é a sua própria política de proteção de aplicações.

Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo. Após o número de tentativas ser cumprido, o SDK da Aplicação Intune pode apagar os dados "empresariais" na aplicação.

Atualmente, a MAM (no iOS/iPadOS) permite pin ao nível da aplicação com carateres alfanuméricos e especiais (denominado "código de acesso") que requer a participação de aplicações (ou seja, WXP, Outlook, Managed Browser, Yammer) para integrar o SDK da APLICAÇÃO Intune para iOS/iPadOS. Sem isto, as definições de código de acesso não são impostas corretamente para as aplicações de destino. Esta foi uma funcionalidade lançada no SDK Intune para iOS/iPadOS v. 7.1.12.

Para dar suporte a esse recurso e garantir a compatibilidade com versões anteriores do SDK do Intune para iOS/iPadOS, todos os PINs (numéricos ou de senha) na versão 7.1.12+ são tratados separadamente do PIN numérico das versões anteriores do SDK. Por conseguinte, se um dispositivo tiver aplicações com Intune SDK para versões iOS/iPadOS antes da versão 7.1.12 E depois da 7.1.12 do mesmo fabricante, terá de configurar dois PINs.

Dito isto, os dois PINs (para cada aplicação) não estão relacionados, ou seja, têm de cumprir a política de proteção de aplicações aplicada à aplicação. Sendo assim, o usuário poderá configurar o mesmo PIN duas vezes somente se os aplicativos A e B tiverem as mesmas políticas aplicadas com relação ao PIN.

Esse comportamento é específico ao PIN em aplicativos do iOS/iPadOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS/iPadOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo. Consulte a observação abaixo para obter um exemplo.

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.

Consulte Android app protection policy settings (Configurações da política de proteção do aplicativo Android) e iOS/iPadOS app protection policy settings (Configurações da política de proteção do aplicativo iOS) para obter informações detalhadas sobre a configuração da política de proteção do aplicativo para criptografia.

Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI. Os dados são considerados “corporativos” quando tem como origem um local da empresa. Para os aplicativos do Office, o Intune considera o seguinte como locais da empresa: email (Exchange) ou armazenamento em nuvem (aplicativo OneDrive com uma conta do OneDrive para Empresas). Para aplicações de linha de negócio geridas pela Intune App Wrapping Tool, todos os dados da aplicação são considerados "empresariais".

Intune pode eliminar dados da aplicação de três formas diferentes: eliminação completa de dispositivos, eliminação seletiva para MDM e eliminação seletiva de MAM. Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.

A eliminação remove todos os dados e definições do utilizador do dispositivo ao restaurar as predefinições de fábrica do dispositivo. O dispositivo é removido do Intune.

Confira Remover dispositivos – desativar para saber mais sobre a remoção de dados da empresa.

O apagamento seletivo para MAM simplesmente remove dados de aplicativo da empresa de um aplicativo. O pedido é iniciado com o centro de administração do Microsoft Intune. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.

Se o utilizador estiver a utilizar a aplicação quando a eliminação seletiva for iniciada, o SDK da Aplicação Intune verifica a cada 30 minutos um pedido de eliminação seletiva do serviço Intune MAM. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.

Intune proteção de aplicações depende da identidade do utilizador para ser consistente entre a aplicação e o SDK da Aplicação Intune. A única maneira de assegurar isso é por meio da autenticação moderna. Existem cenários em que as aplicações podem funcionar com uma configuração no local, mas não são consistentes nem garantidas.

Sim! O administrador de TI pode implementar e definir a política de proteção de aplicações para a aplicação Microsoft Edge. O administrador de TI pode exigir que todas as ligações Web em aplicações geridas Intune sejam abertas com a aplicação Microsoft Edge.

Aplicativo Portal da Empresa e Proteção de Aplicativo do Intune

Intune políticas de proteção de aplicações para acesso serão aplicadas por uma ordem específica em dispositivos de utilizador final enquanto tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, um bloco teria precedência e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de versão de patch mínima do Android que avisa o usuário para fazer uma atualização de patch, que será aplicada após a configuração da versão de patch mínima do Android que bloqueia o acesso do usuário. Portanto, o cenário em que o administrador de TI configura a versão de patch de Android mínima 2018-03-01 e a versão de patch de Android mínima (somente Aviso) 2018-02-01, enquanto o dispositivo tentar acessar o aplicativo estava em uma versão de patch 2018-01-01, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de patch de Android mínima que resulta em acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do aplicativo teria precedência, seguido por um requisito de versão do sistema operacional de versão de patch do Android. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.

O serviço Intune entrará em contacto com o Google Play num intervalo não configurável determinado pela carga do serviço. Qualquer ação configurada pelo administrador de TI para a definição de marcar de integridade do dispositivo do Google Play será tomada com base no último resultado comunicado ao serviço Intune no momento do lançamento condicional. Se o resultado da integridade do dispositivo da Google estiver em conformidade, não é efetuada qualquer ação. Se o resultado da integridade do dispositivo da Google não estiver em conformidade, a ação configurada pelo administrador de TI será executada imediatamente. Se o pedido à integridade do dispositivo do Google Play marcar falhar por qualquer motivo, o resultado em cache do pedido anterior será utilizado durante um máximo de 24 horas ou o próximo reinício do dispositivo, que será o primeiro. Nessa altura, Intune Políticas de Proteção de Aplicações bloquearão o acesso até que seja possível obter um resultado atual.

As instruções sobre como fazê-lo variam ligeiramente consoante o dispositivo. O processo geral envolve acessar a Google Play Store, clicar em Meus aplicativos e jogos e clicar no resultado do último exame de aplicativo que o levará até o menu do Play Protect. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.

Intune tira partido das APIs de Integridade do Google Play para adicionar às nossas verificações de deteção de raiz existentes para dispositivos não inscritos. A Google desenvolveu e manteve este conjunto de API para as aplicações Android adotarem se não quiserem que as suas aplicações sejam executadas em dispositivos rooting. O aplicativo Android Pay incorporou isso, por exemplo. Embora a Google não partilhe publicamente a totalidade das verificações de deteção de raiz que ocorrem, esperamos que estas APIs detetem utilizadores que tenham rooting nos seus dispositivos. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política. "Verificar integridade básica" informa-o sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. "Verificar a integridade básica & dispositivos certificados" informa-o sobre a compatibilidade do dispositivo com os serviços da Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. Dispositivos que falharão incluem o seguinte:

• dispositivos que apresentam falha na integridade básica
• dispositivos com um carregador de inicialização desbloqueado
• Dispositivos com uma imagem/ROM do sistema personalizada
• dispositivos que o fabricante não inscreveu na certificação do Google ou que não foram aprovados por ela
• Dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do Android
• dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedor

Veja a documentação da Google sobre a API de Integridade do Jogo para obter detalhes técnicos.

As verificações da API de Integridade do Google Play exigem que o utilizador final esteja online, pelo menos durante o período de tempo em que a "ida e volta" para determinar os resultados do atestado é executada. Se o utilizador final estiver offline, o administrador de TI ainda pode esperar que um resultado seja imposto a partir da definição "dispositivos desbloqueados por jailbreak/rooting". Dito isto, se o utilizador final estiver offline há demasiado tempo, o valor "Período de tolerância offline" entra em jogo e todo o acesso aos dados escolares ou profissionais é bloqueado assim que esse valor de temporizador for atingido, até que o acesso à rede esteja disponível. Ativar ambas as definições permite uma abordagem em camadas para manter os dispositivos do utilizador final em bom estado de funcionamento, o que é importante quando os utilizadores finais acedem a dados escolares ou profissionais em dispositivos móveis.

Tanto as definições "Reproduzir veredicto de integridade" como "Análise de ameaças nas aplicações" requerem que a versão determinada pela Google dos Serviços do Google Play funcione corretamente. Uma vez que estas são definições que se enquadram na área de segurança, o utilizador final será bloqueado se tiver sido visado com estas definições e não estiver a cumprir a versão adequada do Google Play Services ou não tiver acesso ao Google Play Services.

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte. Intune implementa um comportamento em que, se houver alguma alteração na base de dados biométrica do dispositivo, Intune pede ao utilizador um PIN quando o próximo valor de tempo limite de inatividade for cumprido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o utilizador do Intune não tiver um PIN definido, é-lhe pedido que configure um PIN Intune.

O objetivo é continuar a manter os dados da sua organização na aplicação seguros e protegidos ao nível da aplicação. Esta funcionalidade só está disponível para iOS/iPadOS e requer a participação de aplicações que integram o SDK da APLICAÇÃO Intune para iOS/iPadOS, versão 9.0.1 ou posterior. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico. Alguns aplicativos que participam incluem WXP, Outlook, Managed Browser e Yammer.

Intune política de proteção de aplicações não consegue controlar a extensão de partilha iOS sem gerir o dispositivo. Por conseguinte, Intune encripta dados "empresariais" antes de serem partilhados fora da aplicação. Pode validar esta situação ao tentar abrir o ficheiro "empresarial" fora da aplicação gerida. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.

Intune políticas de proteção de aplicações para acesso serão aplicadas por uma ordem específica em dispositivos de utilizador final enquanto tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, uma eliminação teria precedência, seguida de um bloqueio e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de sistema operacional mínima do iOS/iPadOS que avisa o usuário para atualizar a versão de iOS/iPadOS, que será aplicada após a configuração de sistema operacional mínima do iOS/iPadOS que bloqueia o acesso do usuário. Assim, no cenário em que o administrador de TI configura o sistema operativo iOS/iPadOS mínimo para 11.0.0.0 e o sistema operativo iOS/iPadOS mínimo (apenas aviso) para 11.1.0.0, enquanto o dispositivo que tentava aceder à aplicação estava no iOS/iPadOS 10, o utilizador final seria bloqueado com base na definição mais restritiva para a versão mínima do sistema operativo iOS/iPadOS que resulta num acesso bloqueado.

Ao lidar com diferentes tipos de definições, um requisito de versão do SDK da Aplicação Intune teria precedência e, em seguida, um requisito de versão da aplicação, seguido do requisito de versão do sistema operativo iOS/iPadOS. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados. Recomendamos que o requisito de versão do SDK da Aplicação Intune seja configurado apenas após a orientação da equipa do produto Intune para cenários de bloqueio essenciais.

Confira também

• Implantar o Intune
• Criar um plano de distribuição
• Definições de política de gestão de aplicações móveis android no Microsoft Intune
• Definições de política de gestão de aplicações móveis iOS/iPadOS
• atualização da política de políticas de Proteção de aplicativos
• Validar as políticas de proteção de aplicações
• Adicionar políticas de configuração de aplicativo para aplicativos gerenciados sem registro de dispositivo
• Como obter suporte no Microsoft Intune