Passo 2 – Adicionar, configurar e proteger aplicações com Intune
O próximo passo ao implementar Intune é adicionar e proteger aplicações que acedem aos dados da organização.
A gestão de aplicações em dispositivos na sua organização é uma parte central de um ecossistema empresarial seguro e produtivo. Pode utilizar Microsoft Intune para gerir as aplicações que a força de trabalho da sua empresa utiliza. Ao gerir aplicações, ajuda a controlar as aplicações que a sua empresa utiliza, bem como a configuração e proteção das aplicações. Esta funcionalidade é denominada gestão de aplicações móveis (MAM). A MAM no Intune foi concebida para proteger os dados da organização ao nível da aplicação, incluindo aplicações personalizadas e aplicações da loja. O gerenciamento de aplicativos pode ser usado em dispositivos de propriedade da organização e dispositivos pessoais. Quando é utilizado com dispositivos pessoais, apenas os dados e o acesso relacionados com a organização são geridos. Este tipo de gestão de aplicações chama-se MAM sem inscrição ou, do ponto de vista do utilizador final, traga o seu próprio dispositivo (BYOD).
Configurações de MAM
Quando os aplicativos são usados sem restrições, os dados corporativos e pessoais podem se misturar. Os dados corporativos podem acabar em locais como um armazenamento pessoal ou podem ser transferidos para aplicativos fora do seu alcance, resultando na perda de dados. Uma das principais razões para utilizar a MAM sem inscrição de dispositivos ou Intune MDM + MAM é ajudar a proteger os dados da sua organização.
Microsoft Intune suporta duas configurações de MAM:
MAM sem gestão de dispositivos
Esta configuração permite que as aplicações da sua organização sejam geridas por Intune, mas não inscreve os dispositivos para serem geridos por Intune. Esta configuração é normalmente referida como MAM sem inscrição de dispositivos. Os administradores de TI podem gerir aplicações através de MAM com Intune políticas de configuração e proteção em dispositivos não inscritos com Intune gestão de dispositivos móveis (MDM).
Observação
Esta configuração inclui a gestão de aplicações com Intune em dispositivos inscritos com fornecedores de gestão de mobilidade empresarial (EMM) de terceiros. Pode utilizar Intune políticas de proteção de aplicações independentemente de qualquer solução de MDM. Essa independência ajuda você a proteger os dados de sua empresa com ou sem o registro de dispositivos em uma solução de gerenciamento de dispositivos. Ao implementar as políticas de nível de aplicativos, é possível restringir o acesso aos recursos da empresa e manter os dados dentro do âmbito do seu departamento de TI.
A Gestão de Aplicações Móveis (MAM) é ideal para ajudar a proteger os dados da organização em dispositivos móveis utilizados por membros da sua organização para tarefas pessoais e profissionais. Ao certificar-se de que os membros da sua organização podem ser produtivos, quer evitar a perda de dados, intencional e não intencional. Também quer proteger os dados da empresa que são acedidos a partir de dispositivos que não são geridos por si. O MAM permite que você gerenciar e proteger os dados de sua organização dentro de um aplicativo.
Dica
Muitos aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo MAM do Intune. Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.
Para dispositivos BYOD não inscritos em nenhuma solução mdm, as políticas de proteção de aplicações podem ajudar a proteger os dados da empresa ao nível da aplicação. No entanto, existem algumas limitações a serem consideradas, como:
- Não é possível implantar aplicativos no dispositivo. O usuário final precisa obter os aplicativos na loja.
- Não é possível provisionar perfis de certificado nesses dispositivos.
- Não é possível provisionar as configurações de Wi-Fi e VPN da empresa nesses dispositivos.
Para obter mais informações sobre a proteção de aplicações no Intune, veja Descrição geral das políticas de Proteção de aplicativos.
MAM com gestão de dispositivos
Esta configuração permite que as aplicações e os dispositivos da sua organização sejam geridos. Esta configuração é normalmente denominada MAM + MDM. Os administradores de TI podem gerir aplicações através da MAM em dispositivos inscritos com Intune MDM.
O MDM juntamente com o MAM verificam se o aplicativo está protegido. Por exemplo, você pode exigir um PIN acessar o dispositivo ou pode implantar aplicativos gerenciados para o dispositivo. Você também pode implantar aplicativos em dispositivos por meio da solução MDM, para conferir mais controle sobre o gerenciamento de aplicativo.
Há benefícios adicionais ao usar MDM com políticas de proteção de aplicativo e as empresas podem usar as políticas de proteção de aplicativo com e sem MDM ao mesmo tempo. Por exemplo, um membro da sua organização pode ter um telemóvel emitido pela empresa e o seu próprio tablet pessoal. O telemóvel da empresa pode ser inscrito na MDM e protegido por políticas de proteção de aplicações enquanto o dispositivo pessoal está protegido apenas por políticas de proteção de aplicações.
Nos dispositivos inscritos que utilizam um serviço MDM, as políticas de proteção de aplicações podem adicionar uma camada adicional de proteção. Por exemplo, um usuário entra em um dispositivo com suas respectivas credenciais da organização. À medida que os dados da organização são usados, as políticas de proteção de aplicativo controlam como os dados são salvos e compartilhados. Quando os utilizadores iniciam sessão com a respetiva identidade pessoal, essas mesmas proteções (acesso e restrições) não são aplicadas. Dessa forma, o setor de TI tem controle dos dados da organização, enquanto os usuários finais mantêm o controle e a privacidade de seus dados pessoais.
A solução de MDM agrega valor fornecendo o seguinte:
- Registra o dispositivo
- Implanta os aplicativos no dispositivo
- Fornece gerenciamento e a conformidade contínuos no dispositivo
As políticas de proteção do aplicativo agregam valor fornecendo o seguinte:
- Ajudam a proteger os dados da empresa contra vazamento de serviços e aplicativos de consumidor
- Aplicam restrições, como salvar como, área de transferência ou PIN, aos aplicativos cliente
- Apagam os dados da empresa dos aplicativos, quando necessário, sem remover esses aplicativos do dispositivo
Benefícios da MAM com Intune
Quando as aplicações são geridas no Intune, os administradores podem fazer o seguinte:
- Proteger os dados da empresa ao nível da aplicação. Pode adicionar e atribuir aplicações móveis a grupos de utilizadores e dispositivos. Isto permite que os dados da sua empresa sejam protegidos ao nível da aplicação. Pode proteger os dados da empresa em dispositivos geridos e não geridos porque a gestão de aplicações móveis não requer gestão de dispositivos. O gerenciamento concentra-se na identidade do usuário, o que elimina a necessidade de gerenciar dispositivos.
- Configure aplicações para iniciar ou executar com definições específicas ativadas. Além disso, pode atualizar as aplicações existentes já existentes no dispositivo.
- Atribua políticas para limitar o acesso e impedir que os dados sejam utilizados fora da sua organização. Selecione a definição para estas políticas com base nos requisitos da sua organização. Por exemplo, você pode:
- Exigir um PIN para abrir um aplicativo em um contexto de trabalho.
- Bloquear a execução de aplicativos gerenciados em dispositivos com jailbreak ou com acesso raiz
- Controlar o compartilhamento de dados entre aplicativos.
- Impeça a gravação de dados de aplicações da empresa numa localização de armazenamento pessoal através de políticas de reposicionamento de dados, como Guardar cópias de dados da organização e Restringir cortar, copiar e colar.
- Suporte para aplicações em várias plataformas e sistemas operativos. Cada plataforma é diferente. Intune fornece definições disponíveis especificamente para cada plataforma suportada.
- Veja os relatórios sobre as aplicações que são utilizadas e controle a respetiva utilização. Além disso, o Intune fornece análise de pontos finais para o ajudar a avaliar e a resolve problemas.
- Faça um apagamento seletivo removendo somente os dados da organização dos aplicativos.
- Certifique-se de que os dados pessoais são mantidos separados dos dados geridos. A produtividade do usuário final não é afetada e as políticas não são aplicadas ao usar o aplicativo em um contexto pessoal. As políticas são aplicadas somente em um contexto corporativo, que proporciona a capacidade de proteger dados da empresa sem tocar em dados pessoais.
Adicionar aplicativos ao Intune
O primeiro passo ao fornecer aplicações à sua organização é adicionar as aplicações a Intune antes de as atribuir a dispositivos ou utilizadores a partir de Intune. Embora possa trabalhar com muitos tipos de aplicações diferentes, os procedimentos básicos são os mesmos. Com Intune, pode adicionar diferentes tipos de aplicações, incluindo aplicações escritas internamente (linha de negócio), aplicações da loja, aplicações incorporadas e aplicações na Web.
Os usuários de aplicativos e dispositivos na empresa (a força de trabalho da empresa) podem ter vários requisitos de aplicativo. Antes de adicionar aplicativos ao Intune e disponibilizá-los à sua força de trabalho, talvez seja útil avaliar e entender alguns conceitos básicos sobre os aplicativos. Há vários tipos de aplicativos disponíveis para o Intune. Você deve determinar os requisitos de aplicativo necessários para os usuários em sua empresa, como as plataformas e os recursos de que sua equipe precisa. Você precisa determinar se vai usar o Intune para gerenciar os dispositivos (incluindo aplicativos) ou se o próprio Intune gerenciará os aplicativos sem gerenciar os dispositivos. Além disso, você deve determinar os aplicativos e recursos de que a sua força de trabalho precisa e quem precisa deles. As informações neste artigo ajudarão você a começar.
Antes de adicionar aplicações a Intune, considere rever os tipos de aplicações de suporte e avaliar os requisitos da sua aplicação. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.
Dica
Para compreender melhor os tipos de aplicações, as compras de aplicações e as licenças de aplicações para Intune, veja a solução Comprar e adicionar aplicações para Microsoft Intune. Este conteúdo de solução também fornece passos recomendados para avaliar os requisitos da aplicação, criar categorias de aplicações, comprar aplicações e adicionar aplicações. Além disso, este conteúdo de solução explica como gerir aplicações e licenças de aplicações.
Adicionar aplicações Microsoft
Intune inclui várias aplicações Microsoft com base na licença da Microsoft que utiliza para Intune. Para saber mais sobre as diferentes licenças empresariais da Microsoft disponíveis que incluem Intune, consulte Microsoft Intune licenciamento. Para comparar as diferentes aplicações Microsoft que estão disponíveis com o Microsoft 365, consulte as opções de licenciamento disponíveis com o Microsoft 365. Para ver todas as opções para cada plano (incluindo as aplicações Microsoft disponíveis), transfira a tabela de comparação de subscrições microsoft completa e localize os planos que incluem Microsoft Intune.
Um dos tipos de aplicativos disponíveis é o Microsoft 365 Apps para dispositivos Windows 10. Ao selecionar este tipo de aplicação no Intune, pode atribuir e instalar aplicações do Microsoft 365 em dispositivos que gere que executam Windows 10. Também pode atribuir e instalar aplicações para o cliente de ambiente de trabalho Microsoft Project Online e o Microsoft Visio Online (Plano 2), caso possua licenças para as mesmas. As aplicações do Microsoft 365 disponíveis são apresentadas como uma única entrada na lista de aplicações na consola do Intune no Azure.
Adicione as seguintes aplicações principais da Microsoft ao Intune:
- Microsoft Edge
- Microsoft Excel
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Teams
- Microsoft To Do
- Microsoft Word
Para obter mais informações sobre como adicionar aplicações Microsoft a Intune, aceda aos seguintes tópicos:
- Adicionar aplicativos ao Microsoft Intune
- Adicionar Microsoft 365 Apps a dispositivos do Windows 10/11 com o Microsoft Intune
Adicionar aplicações da loja (opcional)
Muitas das aplicações padrão da loja apresentadas na consola do Intune estão disponíveis gratuitamente para adicionar e implementar aos membros da sua organização. Além disso, pode comprar aplicações da loja para cada plataforma de dispositivo.
A tabela seguinte fornece as diferentes categorias disponíveis para aplicações da loja:
Categoria de aplicações da Loja | Descrição |
---|---|
Aplicações da loja gratuita | Pode adicionar livremente estas aplicações para Intune e implementá-las nos membros da sua organização. Estas aplicações não necessitam de qualquer custo adicional para utilizar. |
Aplicações compradas | Tem de comprar licenças para estas aplicações antes de adicionar ao Intune. Cada plataforma de dispositivos (Windows, iOS, Android) oferece um método padrão para comprar licenças para estas aplicações. Intune fornece métodos para gerir a licença de aplicação para cada utilizador final. |
Aplicações que requerem uma conta, subscrição ou licença do programador de aplicações | Pode adicionar e implementar livremente estas aplicações a partir de Intune, no entanto, a aplicação pode necessitar de uma conta, subscrição ou licença do fornecedor da aplicação. Para obter uma lista das aplicações que suportam Intune funcionalidade de gestão, veja Aplicações de produtividade de parceiros e aplicações UEM de Parceiros. NOTA: Para aplicações que possam necessitar de uma conta, subscrição ou licença, tem de contactar o fornecedor da aplicação para obter detalhes específicos da aplicação. |
Aplicações incluídas com a sua licença de Intune | A licença que utiliza com Microsoft Intune pode incluir as licenças de aplicação necessárias. |
Observação
Além de comprar licenças de aplicações, pode criar políticas de Intune que permitem aos utilizadores finais adicionar contas pessoais aos respetivos dispositivos para comprar aplicações não geridas.
Para obter mais informações sobre como adicionar aplicações Microsoft a Intune, aceda aos seguintes tópicos:
- Adicionar aplicações da Microsoft Store ao Microsoft Intune
- Adicionar aplicativos da loja do iOS ao Microsoft Intune
- Adicionar aplicações da loja Android ao Microsoft Intune
Configurar aplicações com Intune
As políticas de configuração de aplicações podem ajudá-lo a eliminar problemas de configuração de aplicações ao permitir-lhe selecionar definições de configuração para uma política. Essa política é então atribuída aos utilizadores finais antes de executarem uma aplicação específica. As definições são fornecidas automaticamente quando a aplicação é configurada no dispositivo do utilizador final. Os utilizadores finais não precisam de tomar medidas. As definições de configuração são exclusivas para cada aplicativo.
Pode criar e utilizar políticas de configuração de aplicações para fornecer definições de configuração para aplicações iOS/iPadOS ou Android. Essas definições de configuração permitem que um aplicativo seja personalizado usando a configuração e o gerenciamento do aplicativo. As definições de política de configuração são usadas quando o aplicativo verifica essas configurações, normalmente na primeira vez que o aplicativo é executado.
Uma definição de configuração da aplicação, por exemplo, pode exigir que especifique qualquer um dos seguintes detalhes:
- Um número de porta personalizado
- Opções de linguagem
- Configurações de segurança
- Configurações de marca, como um logotipo da empresa
Se os utilizadores finais introduzissem estas definições, poderiam fazê-lo incorretamente. As políticas de configuração de aplicações podem ajudar a fornecer consistência numa empresa e reduzir as chamadas de suporte técnico de utilizadores finais que tentam configurar as definições por conta própria. Ao usar políticas de configuração de aplicativos, a adoção de novos aplicativos pode ser mais fácil e rápida.
Os parâmetros de configuração disponíveis são, em última análise, decididos pelos programadores da aplicação. A documentação do fornecedor da aplicação deve ser revista para ver se uma aplicação suporta a configuração e que configurações estão disponíveis. Para alguns aplicativos, o Intune preencherá as definições de configuração disponíveis.
Para obter mais informações sobre a configuração da aplicação, aceda aos seguintes tópicos:
- Políticas de configuração do aplicativo para o Microsoft Intune
- Adicionar políticas de configuração do aplicativo para dispositivos iOS gerenciados
- Adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise gerenciados
Configurar o Microsoft Outlook
A aplicação Outlook para iOS e Android foi concebida para permitir que os utilizadores da sua organização façam mais a partir dos respetivos dispositivos móveis, reunindo e-mail, calendário, contactos e outros ficheiros.
As funcionalidades de proteção mais avançadas e abrangentes para os dados do Microsoft 365 estão disponíveis quando subscreve o conjunto de Enterprise Mobility + Security, que inclui Microsoft Intune e Microsoft Entra ID funcionalidades P1 ou P2, como o Acesso Condicional. No mínimo, vai querer implementar uma política de Acesso Condicional que permita a conectividade ao Outlook para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicações Intune que garanta a proteção da experiência de colaboração.
Para obter mais informações sobre como configurar o Microsoft Outlook, aceda ao seguinte tópico:
Configurar o Microsoft Edge
O Edge para iOS e Android foi projetado para permitir que os usuários naveguem na Web e oferece suporte a múltiplas identidades. Os usuários podem adicionar uma conta corporativa, bem como uma conta pessoal, para navegação. Existe uma separação total entre as duas identidades, que é semelhante à oferecida noutras aplicações móveis da Microsoft.
Para obter mais informações sobre como configurar o Microsoft Edge, aceda ao seguinte tópico:
Configurar VPN
As redes privadas virtuais (VPN) permitem que os utilizadores acedam remotamente aos recursos da organização, incluindo a partir de casa, hotéis, cafés e muito mais. No Microsoft Intune, pode configurar aplicações cliente VPN em dispositivos Android Enterprise através de uma política de configuração de aplicações. Em seguida, implemente esta política com a respetiva configuração de VPN em dispositivos na sua organização.
Também pode criar políticas VPN que são utilizadas por aplicações específicas. Esta funcionalidade é denominada VPN por aplicação. Quando a aplicação está ativa, pode ligar à VPN e aceder aos recursos através da VPN. Quando a aplicação não está ativa, a VPN não é utilizada.
Para obter mais informações sobre como configurar o e-mail, aceda ao seguinte tópico:
Proteger aplicações com Intune
As políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permaneçam seguros ou armazenados em um aplicativo gerenciado. Uma política pode ser uma regra imposta quando o usuário tenta acessar ou mover dados “corporativos” ou um conjunto de ações proibidas ou monitoradas quando o usuário está no aplicativo. Um aplicativo gerenciado é um aplicativo que tem políticas de proteção de aplicativo aplicadas e que pode ser gerenciado pelo Intune.
As políticas de proteção do aplicativo para MAM (gerenciamento de aplicativo móvel) permitem gerenciar e proteger os dados da organização em um aplicativo. Muitos aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo MAM do Intune. Confira a lista oficial de aplicativos protegidos do Microsoft Intune disponíveis para uso público.
Uma das principais formas de Intune fornece segurança de aplicações móveis é através de políticas. Proteção de aplicativos políticas permitem-lhe realizar as seguintes ações:
- Utilize Microsoft Entra identidade para isolar os dados da organização dos dados pessoais. Portanto, as informações pessoais são isoladas do reconhecimento de TI organizacional. Os dados acessados usando as credenciais da organização recebem proteção de segurança adicional.
- Ajude a proteger o acesso em dispositivos pessoais ao restringir as ações que os utilizadores podem realizar com dados organizacionais, como copiar e colar, guardar e ver.
- Crie e implemente em dispositivos inscritos no Intune, inscritos noutro serviço de gestão de dispositivos móveis (MDM) ou não inscritos em nenhum serviço MDM.
Observação
Proteção de aplicativos políticas foram concebidas para serem aplicadas uniformemente a um grupo de aplicações, como aplicar uma política em todas as aplicações do Office para dispositivos móveis.
As organizações podem utilizar políticas de proteção de aplicações com e sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que utiliza um tablet emitido pela empresa e o seu próprio telemóvel pessoal. O tablet da empresa está inscrito na MDM e protegido por políticas de proteção de aplicações enquanto o telemóvel pessoal está protegido apenas por políticas de proteção de aplicações.
Para obter mais informações sobre a proteção de aplicações no Intune, aceda aos seguintes tópicos:
- Somente políticas de proteção de aplicativos
- Como criar e atribuir políticas de proteção de aplicações.
Níveis de proteção de aplicações
À medida que mais organizações implementam estratégias de dispositivos móveis para aceder a dados escolares ou profissionais, a proteção contra a fuga de dados torna-se fundamental. A solução de gestão de aplicações móveis do Intune para proteger contra fugas de dados é Políticas de Proteção de Aplicações (APP). AS APLICAÇÕES são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida, independentemente de o dispositivo estar inscrito.
Ao configurar Políticas de Proteção de Aplicações, as diferentes definições e opções disponíveis permitem que as organizações personalizem a proteção de acordo com as suas necessidades específicas. Devido a esta flexibilidade, pode não ser óbvio que permutação das definições de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar os esforços de proteção de pontos finais de cliente, a Microsoft introduziu uma nova taxonomia para configurações de segurança no Windows 10 e Intune está a tirar partido de uma taxonomia semelhante para a sua arquitetura de proteção de dados de APLICAÇÕES para gestão de aplicações móveis.
A estrutura de configuração da proteção de dados da APLICAÇÃO está organizada em três cenários de configuração distintos:
Proteção de dados básica de nível 1 empresarial – a Microsoft recomenda esta configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.
Proteção de dados melhorada para empresas de nível 2 – a Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedam a informações confidenciais ou confidenciais. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais. Alguns dos controles poderão afetar a experiência do usuário.
Proteção de dados elevada para empresas de nível 3 – a Microsoft recomenda esta configuração para dispositivos executados por uma organização com uma equipa de segurança maior ou mais sofisticada, ou para utilizadores ou grupos específicos que estejam em risco único (utilizadores que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização susceptível de ser alvo de adversários bem financiados e sofisticados deve aspirar a esta configuração.
Proteção de aplicações básica (nível 1)
A proteção de aplicações básica no Intune (nível 1) é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Esta configuração substitui a necessidade de políticas básicas de acesso a dispositivos Exchange Online ao exigir um PIN para aceder a dados escolares ou profissionais, encriptar os dados da conta escolar ou profissional e fornecer a capacidade de eliminar seletivamente os dados escolares ou profissionais. No entanto, ao contrário Exchange Online políticas de acesso a dispositivos, as definições da Política de Proteção de Aplicações abaixo aplicam-se a todas as aplicações selecionadas na política, garantindo assim que o acesso aos dados está protegido para além dos cenários de mensagens móveis.
As políticas no nível 1 impõem um nível de acesso a dados razoável, minimizando o impacto para os utilizadores e espelho as definições predefinidas de proteção de dados e requisitos de acesso ao criar uma Política de Proteção de Aplicações no Microsoft Intune.
Para proteção de dados específica, requisitos de acesso e definições de iniciação condicional para proteção de aplicações básica, aceda ao seguinte tópico:
Proteção de aplicações melhorada (nível 2)
A proteção de aplicações melhorada no Intune (nível 2) é a configuração de proteção de dados recomendada como padrão para dispositivos em que os utilizadores acedem a informações mais confidenciais. Atualmente, esses dispositivos são um alvo natural nas empresas. Estas recomendações não assumem uma grande equipa de profissionais de segurança altamente qualificados, pelo que devem estar acessíveis à maioria das organizações empresariais. Esta configuração expande-se após a configuração no Nível 1 ao restringir os cenários de transferência de dados e ao exigir uma versão mínima do sistema operativo.
As definições de política impostas no nível 2 incluem todas as definições de política recomendadas para o nível 1, mas apenas listam as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 1. Embora estas definições possam ter um impacto ligeiramente maior para os utilizadores ou para as aplicações, impõem um nível de proteção de dados mais proporcional aos riscos que os utilizadores enfrentam com acesso a informações confidenciais em dispositivos móveis.
Para obter definições específicas de proteção de dados e iniciação condicional para proteção de aplicações melhorada, aceda ao seguinte tópico:
Proteção de aplicações elevada (nível 3)
A proteção de aplicações elevada para Intune (nível 3) é a configuração de proteção de dados recomendada como padrão para organizações com organizações de segurança grandes e sofisticadas ou para utilizadores e grupos específicos que serão exclusivamente visados por adversários. Essas organizações são normalmente alvo de adversários bem financiados e sofisticados e, como tal, merecem as restrições e controlos adicionais descritos. Esta configuração expande-se após a configuração no Nível 2 ao restringir cenários adicionais de transferência de dados, aumentar a complexidade da configuração do PIN e adicionar a deteção de ameaças para dispositivos móveis.
As definições de política impostas no nível 3 incluem todas as definições de política recomendadas para o nível 2, mas apenas listam as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 2. Estas definições de política podem ter um impacto potencialmente significativo para os utilizadores ou para as aplicações, ao impor um nível de segurança proporcional aos riscos que as organizações visadas enfrentam.
Para proteção de dados específica, requisitos de acesso e definições de iniciação condicional para proteção de aplicações básica, aceda ao seguinte tópico:
Proteger o email do Exchange Online em dispositivos gerenciados
Pode utilizar políticas de conformidade de dispositivos com Acesso Condicional para garantir que os dispositivos da sua organização só podem aceder a Exchange Online e-mail se forem geridos por Intune e através de uma aplicação de e-mail aprovada. Pode criar uma política de conformidade Intune dispositivo para definir as condições que um dispositivo tem de cumprir para ser considerado conforme. Também pode criar uma política de Acesso Condicional Microsoft Entra que exija que os dispositivos se inscrevam no Intune, cumpram Intune políticas e utilizem a aplicação outlook para dispositivos móveis aprovada para aceder Exchange Online e-mail.
Para obter mais informações sobre como proteger Exchange Online, aceda ao seguinte tópico:
Requisitos do usuário final para usar políticas de proteção do aplicativo
A lista seguinte fornece os requisitos do utilizador final para utilizar políticas de proteção de aplicações em aplicações geridas por Intune incluem o seguinte:
- O utilizador final tem de ter uma conta Microsoft Entra. Veja Adicionar utilizadores e conceder permissão administrativa para Intune para saber como criar Intune utilizadores no Microsoft Entra ID.
- O utilizador final tem de ter uma licença para Microsoft Intune atribuída à respetiva conta Microsoft Entra. Confira Gerenciar licenças do Intune para saber como atribuir licenças do Intune aos usuários finais.
- O usuário final deve pertencer a um grupo de segurança que esteja sob uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implementadas no centro de administração do Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.
- O utilizador final tem de iniciar sessão na aplicação com a respetiva conta Microsoft Entra.
Siga as políticas de linha de base mínimas recomendadas
- Configurar o Microsoft Intune
- 🡺 Adicionar, configurar e proteger aplicações (Está aqui)
- Planear políticas de conformidade
- Configurar recursos do dispositivo
- Registrar dispositivos