Solução de problemas de implantação da política de proteção de aplicativos no Intune

Este artigo ajuda os administradores de TI a entender e solucionar problemas quando você aplica políticas de proteção de aplicativo (APP) em Microsoft Intune. Siga as instruções nas seções que se aplicam à sua situação. Procure o guia para obter diretrizes adicionais de solução de problemas relacionadas ao APP, como Solucionar problemas de usuário da política de proteção de aplicativo e Solucionar problemas de transferência de dados entre aplicativos.

Antes de começar

Antes de iniciar a solução de problemas, colete algumas informações básicas para ajudá-lo a entender melhor o problema e reduzir o tempo para encontrar uma resolução.

Colete as seguintes informações em segundo plano:

• Qual configuração de política é ou não aplicada? Alguma política é aplicada?
• Qual é a experiência do usuário? Os usuários instalaram e iniciaram o aplicativo de destino?
• Quando o problema começou? A proteção de aplicativo já funcionou?
• Qual plataforma (Android ou iOS) tem o problema?
• Quanto usuários são afetados? Todos os usuários ou apenas alguns usuários são afetados?
• Quantos dispositivos são afetados? Todos os dispositivos ou apenas alguns dispositivos são afetados?
• Embora Intune políticas de proteção de aplicativo não exijam um serviço de MDM (gerenciamento de dispositivo móvel), os usuários afetados usam Intune ou uma solução MDM de terceiros?
• Todos os aplicativos gerenciados ou apenas aplicativos específicos são afetados? Por exemplo, os aplicativos LOB (linha de negócios) são criados com o SDK do aplicativo Intune afetado, mas os aplicativos de loja não são?
• Algum serviço de gerenciamento diferente Intune está sendo usado no dispositivo?

Com as informações acima em vigor, você pode iniciar a solução de problemas.

Fluxo de investigação recomendado

A implantação bem-sucedida da política de proteção de aplicativo depende da configuração adequada das configurações e de outras dependências. O fluxo recomendado para investigar problemas comuns com Intune APP é o seguinte, que examinamos com mais detalhes neste artigo:

1. Verifique se você cumpriu os pré-requisitos para implantar políticas de proteção de aplicativo.
2. Verifique a status de política de proteção de aplicativo e o direcionamento de marcar.
3. Verifique se o usuário está direcionado.
4. Verifique se o aplicativo gerenciado está direcionado.
5. Verifique se o usuário entrou no aplicativo afetado usando sua conta corporativa de destino.
6. Coletar dados do dispositivo.

Etapa 1: Verificar os pré-requisitos da política de proteção do aplicativo

A primeira etapa na solução de problemas é marcar se todos os pré-requisitos são atendidos. Embora você possa usar Intune APP independente de qualquer solução MDM, os seguintes pré-requisitos devem ser atendidos:

• O usuário deve ter uma licença do Intune atribuída.

• O usuário deve pertencer a um grupo de segurança que é alvo de uma política de proteção de aplicativo. A mesma política de proteção de aplicativo deve ter como destino o aplicativo específico usado.

• Para dispositivos Android, o aplicativo do Portal da Empresa é necessário para receber políticas de proteção de aplicativo.

• Se você usar aplicativos Word, Excel ou PowerPoint, os seguintes requisitos adicionais devem ser atendidos:

  • O usuário deve ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa vinculada à conta de Microsoft Entra do usuário. A assinatura deve incluir os aplicativos do Office em dispositivos móveis e pode incluir uma conta de armazenamento em nuvem com o OneDrive for Business. As licenças do Microsoft 365 podem ser atribuídas no Centro de administração do Microsoft 365 seguindo estas instruções.
  • O usuário deve ter um local gerenciado configurado usando a funcionalidade Salvar como granular. Esse comando está localizado na configuração de política de proteção de aplicativo Salvar Cópias de Dados da Organização. Por exemplo, se o local gerenciado for o OneDrive, o aplicativo OneDrive deverá ser configurado no aplicativo Word, Excel ou PowerPoint do usuário.
  • Se o local gerenciado for o OneDrive, o aplicativo deverá ser direcionado pela política de proteção do aplicativo que é implantada para o usuário.

  Observação

  No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

• Se você usar Intune políticas de proteção de aplicativo junto com recursos locais (Microsoft Skype for Business e Microsoft Exchange Server), deverá habilitar a Autenticação Moderna Híbrida para Skype for Business e Exchange.

Etapa 2: verificar o status da política de proteção do aplicativo

Examine os seguintes detalhes para entender o status de suas políticas de proteção de aplicativo:

• Houve um check-in de usuário do dispositivo afetado?
• Os aplicativos para o cenário de problema são gerenciados por meio da política de destino?
• Verifique se o tempo de entrega da política está dentro do comportamento esperado. Para obter mais informações, consulte Entender o tempo de entrega da política de proteção de aplicativo.

Use estas etapas para obter informações detalhadas:

1. Entre no Centro de administração do Microsoft Intune.
2. SelecioneMonitor>deAplicativos> Proteção de aplicativos status e selecione o bloco Usuários Atribuídos.
3. Na página Relatório de aplicativos, selecione Selecionar usuário para criar uma lista de usuários e grupos.
4. Pesquise e selecione um dos usuários afetados na lista e selecione Selecionar usuário. Na parte superior da página Relatório de aplicativos, você pode ver se o usuário está licenciado para proteção de aplicativo e tem uma licença para o Microsoft 365. Você também pode ver o status do aplicativo para todos os dispositivos do usuário.
5. Anote informações importantes como os aplicativos de destino, tipos de dispositivo, políticas, status de marcar de dispositivo e a última hora de sincronização.

Observação

As políticas de proteção de aplicativos são aplicadas somente quando os aplicativos são usados no contexto de trabalho. Por exemplo, quando o usuário está acessando aplicativos usando uma conta corporativa.

Para obter mais informações, consulte Como validar a configuração da política de proteção de aplicativo no Microsoft Intune.

Etapa 3: verificar se o usuário está direcionado

Intune políticas de proteção de aplicativo devem ser direcionadas aos usuários. Se você não atribuir uma política de proteção de aplicativo a um usuário ou grupo de usuários, a política não será aplicada.

Para verificar se a política é aplicada ao usuário de destino, siga estas etapas:

1. Entre no Centro de administração do Microsoft Intune.
2. SelecioneMonitor> de Aplicativos>Proteção de aplicativos status e selecione o bloco status de usuário (com base na plataforma do sistema operacional do dispositivo). No painel Relatório de Aplicativos que é aberto, selecione Selecionar usuário para pesquisar um usuário.
3. Selecione o usuário na lista. Você pode ver os detalhes desse usuário. Observe que pode levar até 24 horas para que um usuário recém-direcionado apareça em relatórios.

Ao atribuir a política a um grupo de usuários, verifique se o usuário está no grupo de usuários. Para fazer isso, siga estas etapas:

1. Entre no Centro de administração do Microsoft Intune.
2. Selecione Grupos > Todos os grupos e, em seguida, pesquise e selecione o grupo usado para a atribuição da política de proteção de aplicativo.
3. Na seção Gerenciar, selecione Membros.
4. Se o usuário afetado não estiver listado, examine Gerenciar acesso a aplicativos e recursos usando Microsoft Entra grupos e suas regras de associação de grupo. Verifique se o usuário afetado está incluído no grupo.
5. Verifique se o usuário afetado não está em nenhum dos grupos excluídos da política.

Importante

• A Intune de proteção do aplicativo deve ser atribuída a grupos de usuários e não a grupos de dispositivos.
• Se o dispositivo afetado usar o Android Enterprise, somente perfis de trabalho de propriedade pessoal darão suporte a políticas de proteção de aplicativo.
• Se o dispositivo afetado usar o ADE (Registro automatizado de dispositivo) da Apple, verifique se a Afinidade de Usuário está habilitada. A Afinidade de usuário é necessária para qualquer aplicativo que exija autenticação de usuário no ADE. Para obter mais informações sobre o registro do ADE do iOS/iPadOS, consulte Registrar automaticamente dispositivos iOS/iPadOS.

Etapa 4: verificar se o aplicativo gerenciado está direcionado

Ao configurar Intune políticas de proteção de aplicativo, os aplicativos de destino devem usar Intune SDK do aplicativo. Caso contrário, as políticas de proteção de aplicativo podem não funcionar corretamente.

Verifique se o aplicativo de destino está listado em Microsoft Intune aplicativos protegidos. Para lob ou aplicativos personalizados, verifique se os aplicativos usam a versão mais recente do SDK do aplicativo Intune.

Para o iOS, essa prática é importante porque cada versão contém correções que afetam como essas políticas são aplicadas e como funcionam. Para obter mais informações, consulte as versões do iOS do SDK de Aplicativos do Intune. Os usuários do Android devem ter a versão mais recente do aplicativo Portal da Empresa instalado porque o aplicativo funciona como o agente do agente de política.

Etapa 5: verificar se o usuário entrou no aplicativo afetado usando sua conta corporativa de destino

Alguns aplicativos podem ser usados sem a entrada do usuário, mas para gerenciar com êxito um aplicativo usando Intune APP, seus usuários devem entrar no aplicativo usando suas credenciais corporativas. Intune políticas de proteção de aplicativo exigem que a identidade do usuário seja consistente entre o aplicativo e Intune SDK do aplicativo. Verifique se o usuário afetado entrou com êxito no aplicativo com sua conta corporativa.

Na maioria dos cenários, os usuários entrarão em suas contas com o nome UPN (nome UPN). No entanto, em alguns ambientes (como cenários locais), os usuários podem usar alguma outra forma de credenciais de entrada. Nesses casos, você pode descobrir que o UPN usado no aplicativo não corresponde ao objeto UPN em Microsoft Entra ID. Quando esse problema ocorre, as políticas de proteção de aplicativo não são aplicadas conforme o esperado.

As melhores práticas recomendadas da Microsoft são corresponder o UPN ao endereço SMTP primário. Essa prática permite que os usuários façam logon em aplicativos gerenciados, Intune proteção de aplicativos e outros recursos Microsoft Entra tendo uma identidade consistente. Para obter mais informações, consulte Microsoft Entra população de UserPrincipalName.

A única maneira de garantir essa consistência é por meio da autenticação moderna. Há cenários em que os aplicativos podem funcionar em uma configuração local sem autenticação moderna. No entanto, os resultados não são consistentes ou garantidos.

Se o ambiente exigir métodos alternativos de entrada, consulte Configurando a ID de Logon Alternativo, especificamente Autenticação Moderna Híbrida com ID Alternativa.

Etapa 6: Coletar dados do dispositivo com o Microsoft Edge

Trabalhe com o usuário para coletar detalhes sobre o que ele está tentando fazer e as etapas que está tomando. Peça ao usuário para coletar capturas de tela ou gravação de vídeo do comportamento. Isso ajuda a esclarecer as ações explícitas do dispositivo que estão sendo executadas. Em seguida, colete logs de aplicativos gerenciados por meio do Microsoft Edge no dispositivo.

Os usuários com o Microsoft Edge instalado em seu dispositivo iOS ou Android podem exibir o status de gerenciamento de todos os aplicativos publicados pela Microsoft. Eles podem usar as etapas a seguir para enviar logs para ajudar na solução de problemas.

1. Abra Microsoft Edge para iOS e Android em seu dispositivo.
2. Na barra de endereços, digite about:intunehelp.
3. O Microsoft Edge para iOS e Android é iniciado no modo de solução de problemas.

Nesta tela, você será apresentado com duas opções e dados sobre o dispositivo.

Selecione Exibir Intune Status do Aplicativo para ver uma lista de aplicativos. Se você selecionar um aplicativo específico, ele mostrará as configurações do APP associadas a esse aplicativo que estão atualmente ativas no dispositivo.

Se as informações exibidas para um aplicativo específico estiverem limitadas à versão do aplicativo e ao pacote com o carimbo de data/hora marcar de política, isso significa que nenhuma política será aplicada atualmente a esse aplicativo no dispositivo.

A opção Introdução permite coletar logs sobre os aplicativos habilitados para APP. Se você abrir um tíquete de suporte com a Microsoft para políticas de proteção de aplicativo, sempre deverá fornecer esses logs de um dispositivo afetado, se possível. Para obter instruções específicas do Android, consulte Upload e logs de email.

Para obter uma lista das configurações armazenadas nos logs de Intune (APP), consulte Examinar os logs de proteção do aplicativo cliente.

Cenários de solução de problemas adicionais

Examine os seguintes cenários comuns ao solucionar problemas do APP. Você também pode examinar os cenários em problemas comuns de transferência de dados.

Cenário: as alterações de política não estão se aplicando

O SDK do aplicativo Intune verifica regularmente as alterações de política. No entanto, esse processo pode ser atrasado por qualquer um dos seguintes motivos:

• O aplicativo não fez check-in com o serviço.
• O aplicativo Portal da Empresa foi removido do dispositivo.

A política de proteção de aplicativo do Intune depende da identidade do usuário. Portanto, é necessário um logon válido que usa uma conta corporativa ou escolar para o aplicativo e uma conexão consistente com o serviço. Se o usuário não tiver entrado no aplicativo ou o aplicativo Portal da Empresa tiver sido removido do dispositivo, as atualizações de políticas não serão aplicadas.

Importante

O SDK do aplicativo Intune verifica a cada 30 minutos o apagamento seletivo. No entanto, as alterações na política existente para usuários que já estão conectados podem não aparecer por até 8 horas. Para acelerar esse processo, faça com que o usuário faça logon do aplicativo e faça logon ou reinicie seu dispositivo.

Para marcar status de proteção de aplicativo, siga estas etapas:

1. Entre no Centro de administração do Microsoft Intune.
2. SelecioneMonitor>deAplicativos> Proteção de aplicativos status e selecione o bloco Usuários Atribuídos.
3. Na página Relatório de aplicativos, selecione Selecionar usuário para abrir uma lista de usuários e grupos.
4. Pesquise e selecione um dos usuários afetados na lista e selecione Selecionar usuário.
5. Examine as políticas que atualmente são aplicadas, incluindo a status e a última vez de sincronização.
6. Se o status não estiver check-in ou se a exibição indicar que não houve uma sincronização recente, marcar se o usuário tem uma conexão de rede consistente. Para usuários Android, verifique se eles têm a versão mais recente do aplicativo Portal da Empresa instalado.

As políticas de proteção de aplicativo do Intune incluem suporte a várias identidades. O Intune pode aplicar políticas de proteção de aplicativo somente à conta corporativa ou de estudante que está conectada ao aplicativo. No entanto, há suporte apenas para uma conta corporativa ou de estudante por dispositivo.

Cenário: dispositivos iOS registrados Intune exigem configuração adicional

Ao criar uma política de proteção de aplicativo, você pode direcioná-la para todos os tipos de aplicativo ou para os seguintes tipos de aplicativo:

• Aplicativos em dispositivos não gerenciados
• Aplicativos em Intune gerenciados por aplicativos
• Aplicativos no perfil de trabalho de propriedade pessoal do Android

Observação

Para especificar os tipos de aplicativo, defina Destino para todos os tipos de aplicativo como Não e selecione na lista Tipos de aplicativo.

Se você estiver direcionando apenas dispositivos gerenciados por Intune para iOS, as seguintes configurações adicionais de configuração de aplicativo serão necessárias para serem direcionadas junto com sua política de proteção de aplicativo:

• O IntuneMAMUPN deve ser configurado para todos os aplicativos gerenciados por MDM (Intune ou EMM de terceiros). Para obter mais informações, consulte Configurar a configuração UPN do usuário para Microsoft Intune ou EMM de terceiros.
• O IntuneMAMDeviceID deve ser configurado para todos os aplicativos gerenciados por MDM de terceiros e LOB.
• IntuneMAMDeviceID deve ser configurado como o token de ID do dispositivo. Por exemplo, key=IntuneMAMDeviceID, value={{deviceID}}. Para obter mais informações, consulte Adicionar políticas de configuração de aplicativo para dispositivos iOS gerenciados.
• Se apenas o valor IntuneMAMDeviceID estiver configurado, Intune APP considerará o dispositivo como não gerenciado.

Próximas etapas

• Solução de problemas do usuário da política de proteção do aplicativo
• Perguntas frequentes sobre o MAM e a proteção do aplicativo
• Validar a configuração da política de proteção do aplicativo no Microsoft Intune