Definir definições de redirecionamento de dispositivo cliente para a Aplicação Windows e a aplicação Ambiente de Trabalho Remoto com o Microsoft Intune

Importante

As definições de redirecionamento para a aplicação Ambiente de Trabalho Remoto no Android e a Aplicação Windows no Android com o Microsoft Intune estão atualmente em Pré-visualização. Definir configurações de redirecionamento para o Aplicativo do Windows no iOS/iPadOS usando o Microsoft Intune está disponível em geral. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Gorjeta

Este artigo contém informações sobre vários produtos que usam o protocolo RDP (Remote Desktop Protocol) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

O redirecionamento de recursos e periféricos do dispositivo local de um usuário para uma sessão remota da Área de Trabalho Virtual do Azure ou do Windows 365 pelo RDP (Protocolo de Área de Trabalho Remota), como área de transferência, câmera e áudio, normalmente é regido pela configuração central de um pool de hosts e seus hosts de sessão. O redirecionamento de dispositivo cliente é configurado para o Aplicativo do Windows e o aplicativo de Área de Trabalho Remota usando uma combinação de políticas de configuração de aplicativo do Microsoft Intune, políticas de proteção de aplicativo e Acesso Condicional do Microsoft Entra no dispositivo local de um usuário.

Esses recursos permitem que você obtenha os seguintes cenários:

• Aplique configurações de redirecionamento em um nível mais granular com base nos critérios especificados. Por exemplo, talvez você queira ter configurações diferentes dependendo do grupo de segurança em que um usuário está, do sistema operacional do dispositivo que está usando ou se os usuários usam dispositivos corporativos e pessoais para acessar uma sessão remota.

• Forneça uma camada extra de proteção contra redirecionamento mal configurado no pool de hosts ou no host de sessão.

• Aplique configurações de segurança adicionais ao Aplicativo do Windows e ao aplicativo Área de Trabalho Remota, como exigir um PIN, bloquear teclados de terceiros e restringir operações de recortar, copiar e colar entre outros aplicativos no dispositivo cliente.

Se as configurações de redirecionamento em um dispositivo cliente entrarem em conflito com as propriedades RDP do pool de hosts e o host de sessão para a Área de Trabalho Virtual do Azure ou o Cloud PC para Windows 365, a configuração mais restritiva entre os dois entrará em vigor. Por exemplo, se o host da sessão não permitir o redirecionamento de unidade e o dispositivo cliente permitir o redirecionamento de unidade, o redirecionamento de unidade não será permitido. Se as configurações de redirecionamento no host da sessão e no dispositivo cliente forem as mesmas, o comportamento de redirecionamento será consistente.

Importante

Definir configurações de redirecionamento em um dispositivo cliente não substitui a configuração correta de seus pools de hosts e hosts de sessão com base em suas necessidades. Usar o Microsoft Intune para configurar o Aplicativo do Windows e o aplicativo Área de Trabalho Remota pode não ser adequado para cargas de trabalho que exigem um nível mais alto de segurança.

As cargas de trabalho com requisitos de segurança mais altos devem continuar a definir o redirecionamento no pool de hosts ou no host de sessão, onde todos os usuários do pool de hosts teriam a mesma configuração de redirecionamento. Uma solução de Proteção contra Perda de Dados (DLP) é recomendada e o redirecionamento deve ser desativado em hosts de sessão sempre que possível para minimizar as oportunidades de perda de dados.

Em um alto nível, há três áreas para configurar:

• Políticas de configuração da aplicação do Intune: utilizadas para gerir definições de redirecionamento para a Aplicação Windows e a aplicação Ambiente de Trabalho Remoto num dispositivo cliente. Há dois tipos de políticas de configuração de aplicativo; Uma política de Aplicativos Gerenciados é usada para gerenciar configurações de um aplicativo, independentemente de o dispositivo cliente estar registrado ou cancelado, e uma política de Dispositivos Gerenciados é usada além de gerenciar configurações em um dispositivo registrado. Use filtros para segmentar usuários com base em critérios específicos.

• Políticas de proteção de aplicativos do Intune: usadas para especificar requisitos de segurança que devem ser atendidos pelo aplicativo e pelo dispositivo cliente. Use filtros para segmentar usuários com base em critérios específicos.

• Políticas de Acesso Condicional: usadas para controlar o acesso à Área de Trabalho Virtual do Azure e ao Windows 365 com base somente se os critérios definidos nas políticas de configuração do aplicativo e nas políticas de proteção do aplicativo forem atendidos.

Plataformas e tipos de inscrição suportados

A tabela a seguir mostra qual aplicativo você pode gerenciar com base na plataforma do dispositivo e no tipo de registro:

Para o Windows App:

Plataforma de dispositivo	Dispositivos geridos	Dispositivos não geridos
iOS e iPadOS	✅	✅
Android	✅	✅

Para a aplicação Ambiente de Trabalho Remoto:

Plataforma de dispositivo	Dispositivos geridos	Dispositivos não geridos
Android	✅	✅

Cenários de exemplo

Os valores especificados em filtros e políticas dependem de seus requisitos, portanto, você precisa determinar o que é melhor para sua organização. Aqui estão alguns cenários de exemplo do que você precisa configurar para alcançá-los.

Cenário 1

Os usuários de um grupo têm permissão para redirecionamento de unidade ao se conectarem a partir de seus dispositivos corporativos Windows, mas o redirecionamento de unidade não é permitido em seus dispositivos corporativos iOS/iPadOS ou Android. Para alcançar este cenário:

1. Verifique se as configurações de hosts de sessão ou Cloud PCs e pools de hosts estão configuradas para permitir o redirecionamento da unidade.

2. Crie um filtro de dispositivo para aplicativos gerenciados para iOS e iPadOS e um filtro separado para Android.

3. Apenas para iOS e iPadOS, crie uma política de configuração de aplicativo para dispositivos gerenciados.

4. Crie uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento de unidade desativado. Você pode criar uma única política para iOS/iPadOS e Android, ou criar uma política separada para iOS/iPadOS e Android.

5. Crie duas políticas de proteção de aplicativos, uma para iOS/iPadOS e outra para Android.

Cenário 2

Os usuários de um grupo que têm um dispositivo Android executando a versão mais recente do Android têm permissão de redirecionamento de unidade, mas os mesmos usuários que o dispositivo está executando uma versão mais antiga do Android não têm permissão de redirecionamento de unidade. Para alcançar este cenário:

1. Verifique se as configurações de hosts de sessão ou Cloud PCs e pools de hosts estão configuradas para permitir o redirecionamento da unidade.

2. Crie dois filtros de dispositivo:

   1. Um filtro de dispositivo para aplicativos gerenciados para Android, onde a versão da versão é definida como o número da versão mais recente do Android.

   2. Um filtro de dispositivo para aplicações geridas para Android, em que a versão da versão está definida para um número de versão mais antigo do que a versão mais recente do Android.

3. Crie duas políticas de configuração de aplicativo:

   1. Uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento de unidade habilitado. Atribua-lhe um ou mais grupos com o filtro para o número da versão mais recente do Android.

   2. Uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento de unidade desabilitado. Atribua-lhe um ou mais grupos com o filtro para o número da versão mais antiga do Android.

4. Crie uma política de proteção de aplicativos, combinada para iOS/iPadOS e Android.

Cenário 3

Os usuários de um grupo que usam um dispositivo iOS/iPadOS não gerenciado para se conectar a uma sessão remota têm permissão para redirecionamento da área de transferência, mas os mesmos usuários que usam um dispositivo Android não gerenciado não podem redirecionar a área de transferência. Para alcançar este cenário:

1. Verifique se as configurações de hosts de sessão ou Cloud PCs e pools de hosts estão configuradas para permitir o redirecionamento da área de transferência.

2. Crie dois filtros de dispositivo:

   1. Um filtro de dispositivo para aplicativos gerenciados para iOS e iPadOS, onde o tipo de gerenciamento de dispositivos não é gerenciado.

   2. Um filtro de dispositivo para aplicativos gerenciados para Android, onde o tipo de gerenciamento de dispositivos não é gerenciado.

3. Crie duas políticas de configuração de aplicativo:

   1. Uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento da área de transferência habilitado. Atribua-lhe um ou mais grupos com o filtro para dispositivos iOS ou iPadOS não gerenciados.

   2. Uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento da área de transferência desabilitado. Atribua-lhe um ou mais grupos com o filtro para dispositivos Android não gerenciados.

4. Crie uma política de proteção de aplicativos, combinada para iOS/iPadOS e Android.

Configurações de política recomendadas

Aqui estão algumas configurações de política recomendadas que você deve usar com o Intune e o Acesso Condicional. As configurações que você usa devem ser baseadas em suas necessidades.

• Intune:

  • Desative todo o redirecionamento em dispositivos pessoais.
  • Exigir acesso PIN ao aplicativo.
  • Bloqueie teclados de terceiros.
  • Especifique uma versão mínima do sistema operacional do dispositivo.
  • Especifique um número mínimo de versão da Aplicação Windows e/ou da Aplicação de Ambiente de Trabalho Remoto.
  • Bloqueie dispositivos com jailbreak/root.
  • Exija uma solução de defesa contra ameaças móveis (MTD) em dispositivos, sem ameaças detetadas.

• Acesso Condicional:

  • Bloqueie o acesso, a menos que os critérios definidos nas políticas de gerenciamento de aplicativos móveis do Intune sejam atendidos.
  • Conceder acesso, exigindo uma ou mais das seguintes opções:
    • Requer autenticação multifator.
    • Exigir uma política de proteção de aplicativos do Intune.

Pré-requisitos

Antes de definir as configurações de redirecionamento em um dispositivo cliente usando o Microsoft Intune e o Acesso Condicional, você precisa:

• Um pool de hosts existente com hosts de sessão ou Cloud PCs.

• Pelo menos um grupo de segurança contendo usuários aos quais aplicar as políticas.

• Para utilizar a Aplicação Windows com dispositivos inscritos no iOS e iPadOS, tem de adicionar cada aplicação ao Intune a partir da App Store. Para obter mais informações, consulte Adicionar aplicativos da loja iOS ao Microsoft Intune.

• Um dispositivo cliente que executa uma das seguintes versões do Aplicativo do Windows ou do aplicativo Área de Trabalho Remota:

  • Para o Windows App:

    • iOS/iPadOS: 11.0.4 ou posterior.
    • Android: 1.0.145 ou posterior.

  • Aplicação Ambiente de Trabalho Remoto:

    • Android: 10.0.19.1279 ou posterior.

• A última versão de:

  • iOS/iPadOS: aplicativo Microsoft Authenticator
  • Android: aplicativo Portal da Empresa, instalado no mesmo perfil do aplicativo do Windows para dispositivos pessoais. Ambos os aplicativos no perfil pessoal OU ambos os aplicativos no perfil de trabalho.

• Há mais pré-requisitos do Intune para configurar políticas de configuração de aplicativo, políticas de proteção de aplicativo e políticas de Acesso Condicional. Para obter mais informações, consulte:

  • Políticas de configuração de aplicativos para o Microsoft Intune.
  • Como criar e atribuir políticas de proteção de aplicativos.
  • Utilize políticas de Acesso Condicional baseadas em aplicações com o Intune.

Importante

A funcionalidade de gestão de aplicações móveis (MAM) do Intune não é atualmente suportada no Android 15 pelo Ambiente de Trabalho Remoto ou pela Aplicação Windows (pré-visualização). MAM é executado em versões mais antigas do Android. O suporte para MAM no Android 15 para Windows App (visualização) será suportado em uma próxima versão.

Criar um filtro de aplicativo gerenciado

Ao criar um filtro de aplicativo gerenciado, você pode aplicar configurações de redirecionamento somente quando os critérios definidos no filtro forem correspondidos, permitindo que você restrinja o escopo de atribuição de uma política. Se você não configurar um filtro, as configurações de redirecionamento serão aplicadas a todos os usuários. O que você especifica em um filtro depende de suas necessidades.

Para saber mais sobre filtros e como criá-los, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis no Microsoft Intune e Propriedades de filtro de aplicativos gerenciados.

Criar uma política de configuração de aplicativo para dispositivos gerenciados

Para dispositivos iOS e iPadOS inscritos apenas, você precisa criar uma política de configuração de aplicativo para dispositivos gerenciados para Windows App. Esta etapa não é necessária para Android.

Para criar e aplicar uma política de configuração de aplicativo para dispositivos gerenciados, siga as etapas em Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados e use as seguintes configurações:

• Na guia Noções básicas, para aplicativo direcionado, selecione Aplicativo do Windows na lista. Tem de ter adicionado a aplicação ao Intune a partir da App Store para que seja apresentada nesta lista.

• Na guia Configurações, para a lista suspensa Formato das definições de configuração, selecione Usar designer de configuração e insira as seguintes configurações exatamente como mostrado:

  Chave da configuração	Tipo de Valor	Valor de configuração
  IntuneMAMUPN	String	{{userprincipalname}}
  IntuneMAMOID	String	{{userid}}
  IntuneMAMDeviceID	String	{{deviceID}}

• Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.

Criar uma política de configuração de aplicativo para aplicativos gerenciados

Você precisa criar uma política de configuração de aplicativo separada para aplicativos gerenciados para o Aplicativo do Windows (iOS/iPadOS) e o Aplicativo do Windows (visualização) ou o aplicativo de Área de Trabalho Remota (Android), que permite fornecer definições de configuração. Não configure o Android e o iOS na mesma política de configuração ou não poderá configurar a segmentação por política com base em dispositivos geridos e não geridos.

Para criar e aplicar uma política de configuração de aplicativo para aplicativos gerenciados, siga as etapas em Políticas de configuração de aplicativo para aplicativos gerenciados do SDK de aplicativo do Intune e use as seguintes configurações:

• No separador Noções básicas, selecione Selecionar aplicações públicas e, em seguida, procure e selecione Ambiente de Trabalho Remoto para Android e Aplicação Windows para iOS/iPadOS. Selecione Selecionar aplicativos personalizados e digite com.microsoft.rdc.androidx.beta no campo Pacote ou ID do Pacote em Mais Aplicativos para Windows App (visualização) para Android.

• Na guia Configurações, expanda Definições gerais de configuração e insira os seguintes pares de nome e valor para cada configuração de redirecionamento que você deseja configurar exatamente como mostrado. Esses valores correspondem às propriedades RDP listadas em Propriedades RDP suportadas, mas a sintaxe é diferente:

  Nome	Descrição	valor
  audiocapturemode	Indica se o redirecionamento de entrada de áudio está habilitado.	0: A captura de áudio do dispositivo local está desativada. 1: A captura de áudio do dispositivo local e o redirecionamento para um aplicativo de áudio na sessão remota estão habilitados.
  camerastoredirect	Determina se o redirecionamento da câmera está habilitado.	0: O redirecionamento da câmera está desativado. 1: O redirecionamento da câmera está ativado.
  drivestoredirect	Determina se o redirecionamento da unidade de disco está habilitado.	0: O redirecionamento da unidade de disco está desativado. 1: O redirecionamento da unidade de disco está ativado.
  redirectclipboard	Determina se o redirecionamento da área de transferência está habilitado.	0: O redirecionamento da área de transferência no dispositivo local está desativado na sessão remota. 1: O redirecionamento da área de transferência no dispositivo local está ativado na sessão remota.

  Aqui está um exemplo de como as configurações devem parecer:

  

• Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.

Criar uma política de proteção de aplicativos

Você precisa criar uma política de proteção de aplicativo separada para o Aplicativo do Windows (iOS/iPadOS) e o aplicativo Área de Trabalho Remota (Android), que permitem controlar como os dados são acessados e compartilhados por aplicativos em dispositivos móveis. Não configure o Android e o iOS/iPadOS na mesma política de proteção ou não poderá configurar a segmentação por políticas com base em dispositivos geridos e não geridos.

Para criar e aplicar uma política de proteção de aplicativos, siga as etapas em Como criar e atribuir políticas de proteção de aplicativos e use as configurações a seguir.

• No separador Aplicações, selecione Selecionar aplicações públicas e, em seguida, procure e selecione Ambiente de Trabalho Remoto para Android e Aplicação Windows para iOS/iPadOS. Selecione Selecionar aplicativos personalizados e digite com.microsoft.rdc.androidx.beta no campo Pacote ou ID do Pacote em Mais Aplicativos para Windows App (visualização) para Android.

• No separador Proteção de dados , apenas as seguintes definições são relevantes para a Aplicação Windows e a aplicação Ambiente de Trabalho Remoto. As outras configurações não se aplicam à medida que o Aplicativo do Windows e o aplicativo Área de Trabalho Remota interagem com o host da sessão e não com os dados no aplicativo. Em dispositivos móveis, teclados não aprovados são uma fonte de registro de pressionamento de teclas e roubo.

  • Para iOS e iPadOS, você pode definir as seguintes configurações:

    • Restringir cortar, copiar e colar entre outras aplicações
    • Teclados de terceiros

  • Para Android, você pode definir as seguintes configurações:

    • Restringir cortar, copiar e colar entre outras aplicações
    • Captura de tela e Google Assistente
    • Teclados aprovados

  Gorjeta

  Se você desabilitar o redirecionamento da área de transferência em uma política de configuração de aplicativo, deverá definir Restringir recortar, copiar e colar entre outros aplicativos como Bloqueado.

• Na guia Início condicional, recomendamos que você adicione as seguintes condições:

  Condição	Tipo de condição	Value	Ação
  Versão mínima do aplicativo	Condição do aplicativo	Com base nas suas necessidades.	Bloquear o acesso
  Versão Min OS	Estado do dispositivo	Com base nas suas necessidades.	Bloquear o acesso
  Serviço MTD primário	Estado do dispositivo	Com base nas suas necessidades. O conector MTD deve ser configurado. Para o Microsoft Defender for Endpoint, configure o Microsoft Defender for Endpoint no Intune.	Bloquear o acesso
  Nível máximo de ameaça de dispositivo permitido	Estado do dispositivo	Protegido	Bloquear o acesso

  Para obter detalhes sobre a versão, consulte Novidades na Aplicação Windows e Novidades no cliente de Ambiente de Trabalho Remoto para Android e SO Chrome.

  Para obter mais informações sobre as configurações disponíveis, consulte Inicialização condicional nas configurações da política de proteção de aplicativos iOS e Inicialização condicional nas configurações da política de proteção de aplicativos Android.

• Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.

Criar uma política de Acesso Condicional

A criação de uma política de Acesso Condicional permite-lhe restringir o acesso a uma sessão remota apenas quando é aplicada uma política de proteção de aplicações com a Aplicação Windows e a aplicação Ambiente de Trabalho Remoto. Se você criar uma segunda política de Acesso Condicional, também poderá bloquear o acesso usando um navegador da Web.

Para criar e aplicar uma política de Acesso Condicional, siga os passos em Configurar políticas de Acesso Condicional baseadas em aplicações com o Intune. As configurações a seguir fornecem um exemplo, mas você deve ajustá-las com base em suas necessidades:

1. Para a primeira política a conceder acesso a uma sessão remota somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo do Windows e o aplicativo Área de Trabalho Remota:

   • Em Atribuições, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor.

   • Em Recursos de destino, selecione para aplicar a política a aplicativos de nuvem e, em seguida, para Incluir, selecione Selecionar aplicativos. Procure e selecione Área de Trabalho Virtual do Azure e Windows 365. Você só terá a Área de Trabalho Virtual do Azure na lista se tiver registrado o Microsoft.DesktopVirtualization provedor de recursos em uma assinatura em seu locatário do Microsoft Entra.

   • Para Condições:

     • Selecione Plataformas de dispositivos e, em seguida, inclua iOS e Android.
     • Selecione Aplicativos cliente e, em seguida, inclua aplicativos móveis e clientes de desktop.

   • Para Controles de acesso, selecione Conceder acesso e, em seguida, marque a caixa Exigir política de proteção de aplicativo e selecione o botão de opção para Exigir todos os controles selecionados.

   • Para Ativar política, defina-a como Ativado.

2. Para a segunda política para bloquear o acesso a uma sessão remota usando um navegador da Web:

   • Em Atribuições, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor.

   • Em Recursos de destino, selecione para aplicar a política a aplicativos de nuvem e, em seguida, para Incluir, selecione Selecionar aplicativos. Procure e selecione Área de Trabalho Virtual do Azure e Windows 365. Você só terá a Área de Trabalho Virtual do Azure na lista se tiver registrado o Microsoft.DesktopVirtualization provedor de recursos em uma assinatura em seu locatário do Microsoft Entra. O aplicativo de nuvem para Windows 365 também abrange o Microsoft Dev Box.

   • Para Condições:

     • Selecione Plataformas de dispositivos e, em seguida, inclua iOS e Android.
     • Selecione Aplicativos cliente e, em seguida, inclua Navegador.

   • Para Controles de acesso, selecione Bloquear acesso e, em seguida, selecione o botão de opção para Exigir todos os controles selecionados.

   • Para Ativar política, defina-a como Ativado.

Verificar a configuração

Agora que você configura o Intune para gerenciar o redirecionamento de dispositivo em dispositivos pessoais, pode verificar sua configuração conectando-se a uma sessão remota. O que você deve testar depende se você configurou políticas para aplicar a dispositivos registrados ou não registrados, quais plataformas e as configurações de redirecionamento e proteção de dados definidas. Verifique se você só pode executar as ações que você pode executar correspondem ao que você espera.

Problemas conhecidos

• O Aplicativo do Windows é encerrado sem aviso se o Portal da Empresa e o Aplicativo do Windows não estiverem instalados no mesmo perfil. Instale ambos os aplicativos em um perfil pessoal ou ambos os aplicativos em um perfil de trabalho.