Partilhar via


Estrutura de proteção de dados usando políticas de proteção de aplicativo

À medida que mais organizações implementam estratégias de dispositivos móveis para aceder a dados escolares ou profissionais, a proteção contra a fuga de dados torna-se fundamental. A solução de gestão de aplicações móveis do Intune para proteger contra fugas de dados é Políticas de Proteção de Aplicações (APP). AS APLICAÇÕES são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida, independentemente de o dispositivo estar inscrito. Para obter mais informações, veja descrição geral Proteção de aplicativos políticas.

Quando configura políticas de proteção de aplicações, o número de várias definições e opções permite que as organizações adaptem a proteção às suas necessidades específicas. Devido a esta flexibilidade, pode não ser óbvio que permutação das definições de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar os esforços de proteção de pontos finais de cliente, a Microsoft introduziu uma nova taxonomia para configurações de segurança no Windows 10 e Intune está a tirar partido de uma taxonomia semelhante para a sua arquitetura de proteção de dados de APLICAÇÕES para gestão de aplicações móveis.

A estrutura de configuração da proteção de dados da APLICAÇÃO está organizada em três cenários de configuração distintos:

  • Proteção de dados básica de nível 1 empresarial – a Microsoft recomenda esta configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.

  • Proteção de dados melhorada para empresas de nível 2 – a Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedam a informações confidenciais ou confidenciais. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem a dados escolares ou profissionais. Alguns dos controles poderão afetar a experiência do usuário.

  • Proteção de dados elevada para empresas de nível 3 – a Microsoft recomenda esta configuração para dispositivos executados por uma organização com uma equipa de segurança maior ou mais sofisticada, ou para utilizadores ou grupos específicos que estejam em risco único (utilizadores que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização susceptível de ser alvo de adversários bem financiados e sofisticados deve aspirar a esta configuração.

Metodologia de implementação do App Data Protection Framework

Tal como acontece com qualquer implementação de novo software, funcionalidades ou definições, a Microsoft recomenda investir numa metodologia de cadência para testar a validação antes de implementar a estrutura de proteção de dados da APLICAÇÃO. Definir anéis de implementação é geralmente um evento único (ou pelo menos pouco frequente), mas as TI devem rever estes grupos para garantir que a sequenciação ainda está correta.

A Microsoft recomenda a seguinte abordagem de cadência de implementação para a estrutura de proteção de dados da APLICAÇÃO:

Anel de implantação Tenant Equipes de avaliação Saída Linha do tempo
Garantia de qualidade Inquilino de pré-produção Proprietários de capacidades móveis, segurança, avaliação de risco, privacidade, UX Validação de cenário funcional, documentação de rascunho 0 a 30 dias
Visualização Locatário de produção Proprietários de capacidades móveis, UX Validação de cenário do usuário final, documentação voltada para o usuário 7 a 14 dias, após a Garantia de Qualidade
Produção Locatário de produção Proprietários de capacidades móveis, suporte técnico de TI N/D 7 dias a várias semanas, após a Versão Prévia

Como indica a tabela acima, todas as alterações às Políticas de Proteção de Aplicações devem ser executadas primeiro num ambiente de pré-produção para compreender as implicações da definição de política. Quando o teste estiver concluído, as alterações podem ser movidas para produção e aplicadas a um subconjunto de utilizadores de produção, geralmente, ao departamento de TI e a outros grupos aplicáveis. Por fim, a implementação pode ser concluída para o resto da comunidade de utilizadores móveis. A implementação para produção pode demorar mais tempo, dependendo da escala de impacto relativamente à alteração. Se não houver impacto no utilizador, a alteração deverá ser implementada rapidamente, enquanto que, se a alteração resultar no impacto do utilizador, a implementação poderá ter de ir mais lentamente devido à necessidade de comunicar alterações à população do utilizador.

Ao testar as alterações a uma APLICAÇÃO, tenha em atenção o tempo de entrega. A status da entrega de APLICAÇÕES para um determinado utilizador pode ser monitorizada. Para obter mais informações, veja Como monitorizar políticas de proteção de aplicações.

As definições individuais da APLICAÇÃO para cada aplicação podem ser validadas em dispositivos com o Microsoft Edge e o URL about:Intunehelp. Para obter mais informações, veja Rever os registos de proteção de aplicações cliente e Utilizar o Microsoft Edge para iOS e Android para aceder aos registos de aplicações geridas.

Definições do App Data Protection Framework

As seguintes definições da Política de Proteção de Aplicações devem ser ativadas para as aplicações aplicáveis e atribuídas a todos os utilizadores móveis. Para obter mais informações sobre cada definição de política, consulte Definições de política de proteção de aplicações iOS e definições de política de proteção de aplicações Android.

A Microsoft recomenda rever e categorizar cenários de utilização e, em seguida, configurar os utilizadores com a orientação prescritiva para esse nível. Tal como acontece com qualquer arquitetura, as definições dentro de um nível correspondente podem ter de ser ajustadas com base nas necessidades da organização, uma vez que a proteção de dados tem de avaliar o ambiente de ameaças, o apetite pelo risco e o impacto na usabilidade.

Os administradores podem incorporar os níveis de configuração abaixo na respetiva metodologia de implementação de cadências para fins de teste e utilização de produção ao importar o exemplo Intune modelos JSON do App Protection Policy Configuration Framework com os scripts do PowerShell do Intune.

Observação

Ao utilizar a MAM para Windows, consulte Proteção de aplicativos definições de política para Windows.

Políticas de Acesso Condicional

Para garantir que apenas as aplicações que suportam Políticas de Proteção de Aplicações acedem a dados de contas escolares ou profissionais, Microsoft Entra são necessárias políticas de Acesso Condicional. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

Veja Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis no Acesso Condicional: Exigir aplicações cliente aprovadas ou política de proteção de aplicações para obter os passos para implementar as políticas específicas. Por fim, implemente os passos em Bloquear autenticação legada para bloquear aplicações iOS e Android compatíveis com autenticação legada.

Observação

Estas políticas tiram partido dos controlos de concessão Exigir aplicação cliente aprovada e Exigir política de proteção de aplicações.

Aplicações a incluir nas Políticas de Proteção de Aplicações

Para cada Política de Proteção de Aplicações, o grupo core Microsoft Apps é direcionado, que inclui as seguintes aplicações:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

As políticas devem incluir outras aplicações Microsoft com base nas necessidades empresariais, aplicações públicas de terceiros adicionais que integraram o SDK Intune utilizado na organização, bem como aplicações de linha de negócio que integraram o SDK Intune (ou foram encapsuladas).

Proteção de dados básica de nível 1 empresarial

O Nível 1 é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Esta configuração substitui a necessidade de políticas básicas de acesso a dispositivos Exchange Online ao exigir um PIN para aceder a dados escolares ou profissionais, encriptar os dados da conta escolar ou profissional e fornecer a capacidade de eliminar seletivamente os dados escolares ou profissionais. No entanto, ao contrário Exchange Online políticas de acesso a dispositivos, as definições da Política de Proteção de Aplicações abaixo aplicam-se a todas as aplicações selecionadas na política, garantindo assim que o acesso aos dados está protegido para além dos cenários de mensagens móveis.

As políticas no nível 1 impõem um nível de acesso a dados razoável, minimizando o impacto para os utilizadores e espelho as definições predefinidas de proteção de dados e requisitos de acesso ao criar uma Política de Proteção de Aplicações no Microsoft Intune.

Proteção de dados

Setting Descrição da definição Valor Plataforma
Transferência de dados Fazer uma cópia de segurança dos dados da organização para... Permitir iOS/iPadOS, Android
Transferência de dados Enviar dados da organização para outras aplicações Todos os aplicativos iOS/iPadOS, Android
Transferência de dados Enviar dados da organização para Todos os destinos Windows
Transferência de dados Receber dados de outros aplicativos Todos os aplicativos iOS/iPadOS, Android
Transferência de dados Receber dados de Todas as origens Windows
Transferência de dados Restringir cortar, copiar e colar entre aplicações Qualquer aplicativo iOS/iPadOS, Android
Transferência de dados Permitir cortar, copiar e colar para Qualquer destino e qualquer origem Windows
Transferência de dados Teclados de terceiros Permitir iOS/iPadOS
Transferência de dados Teclados aprovados Não é necessário Android
Transferência de dados Captura de ecrã e Assistente do Google Permitir Android
Criptografia Encriptar dados da organização Exigir iOS/iPadOS, Android
Criptografia Encriptar dados da organização em dispositivos inscritos Exigir Android
Funcionalidade Sincronizar a aplicação com a aplicação de contactos nativos Permitir iOS/iPadOS, Android
Funcionalidade Imprimir dados da organização Permitir iOS/iPadOS, Android, Windows
Funcionalidade Restringir a transferência de conteúdo Web com outros aplicativos Qualquer aplicativo iOS/iPadOS, Android
Funcionalidade Notificações de dados da organização Permitir iOS/iPadOS, Android

Requisitos de acesso

Setting Valor Plataforma Notas
PIN para acesso Exigir iOS/iPadOS, Android
Tipo de PIN Numérico iOS/iPadOS, Android
PIN simples Permitir iOS/iPadOS, Android
Selecione Comprimento mínimo do PIN 4 iOS/iPadOS, Android
Touch ID em vez de PIN para acesso (iOS 8+/iPadOS) Permitir iOS/iPadOS
Substituir a biometria com PIN após o tempo limite Exigir iOS/iPadOS, Android
Tempo limite (minutos de atividade) 1440 iOS/iPadOS, Android
Face ID em vez de PIN para acesso (iOS 11+/iPadOS) Permitir iOS/iPadOS
Biométrico em vez de PIN para acesso Permitir iOS/iPadOS, Android
Redefinir PIN após número de dias Não iOS/iPadOS, Android
Selecionar o número de valores de PIN anteriores a manter 0 Android
PIN do aplicativo quando o PIN do dispositivo for gerenciado Exigir iOS/iPadOS, Android Se o dispositivo estiver inscrito no Intune, os administradores podem considerar definir esta opção como "Não necessário" se estiverem a impor um PIN de dispositivo forte através de uma política de conformidade do dispositivo.
Credenciais de conta corporativa ou de estudante para acesso Não é necessário iOS/iPadOS, Android
Verificar novamente os requisitos de acesso após (minutos de inatividade) 30 iOS/iPadOS, Android

Inicialização condicional

Setting Descrição da definição Valor/Ação Plataforma Notas
Condições da aplicação Máximo de tentativas de PIN 5/Repor PIN iOS/iPadOS, Android
Condições da aplicação Período de cortesia offline 10080/Bloquear o acesso (minutos) iOS/iPadOS, Android, Windows
Condições da aplicação Período de cortesia offline 90/ Apagar dados (dias) iOS/iPadOS, Android, Windows
Condições do dispositivo Dispositivos com jailbreak/desbloqueados por rooting N/D/Bloquear acesso iOS/iPadOS, Android
Condições do dispositivo Atestado de dispositivo SafetyNet Integridade básica e dispositivos certificados/Bloquear o acesso Android

Esta definição configura a integridade do dispositivo do Google Play marcar em dispositivos de utilizador final. A integridade básica valida a integridade do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica.

A integridade básica e dispositivos certificados validam a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação.

Condições do dispositivo Exigir análise de ameaças nas aplicações N/D/Bloquear acesso Android Essa configuração garante que o exame Verificar Aplicativos do Google esteja ativado para dispositivos de usuário final. Se estiver configurado, o acesso do utilizador final será bloqueado até ativar a análise de aplicações da Google no respetivo dispositivo Android.
Condições do dispositivo Nível máximo permitido de ameaça ao dispositivo Acesso baixo/bloqueado Windows
Condições do dispositivo Exigir bloqueio do dispositivo Baixa/Aviso Android Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe.

Observação

As definições de início condicional do Windows são identificadas como Verificações de Estado de Funcionamento.

Proteção de dados melhorada para empresas de nível 2

O Nível 2 é a configuração de proteção de dados recomendada como padrão para dispositivos em que os utilizadores acedem a informações mais confidenciais. Atualmente, esses dispositivos são um alvo natural nas empresas. Estas recomendações não assumem uma grande equipa de profissionais de segurança altamente qualificados, pelo que devem estar acessíveis à maioria das organizações empresariais. Esta configuração expande-se após a configuração no Nível 1 ao restringir cenários de transferência de dados e exigir uma versão mínima do sistema operativo.

Importante

As definições de política impostas no nível 2 incluem todas as definições de política recomendadas para o nível 1. No entanto, o Nível 2 lista apenas as definições que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 1. Embora estas definições possam ter um impacto ligeiramente maior para os utilizadores ou para as aplicações, impõem um nível de proteção de dados mais proporcional aos riscos que os utilizadores enfrentam com acesso a informações confidenciais em dispositivos móveis.

Proteção de dados

Setting Descrição da definição Valor Plataforma Notas
Transferência de dados Fazer uma cópia de segurança dos dados da organização para... Bloquear iOS/iPadOS, Android
Transferência de dados Enviar dados da organização para outras aplicações Aplicativos gerenciados por política iOS/iPadOS, Android

Com o iOS/iPadOS, os administradores podem configurar este valor como "Aplicações geridas por políticas", "Aplicações geridas por políticas com partilha de SO" ou "Aplicações geridas por políticas com filtragem Open-In/Share".

As aplicações geridas por políticas com partilha de SO estão disponíveis quando o dispositivo também está inscrito no Intune. Esta definição permite a transferência de dados para outras aplicações geridas por políticas e transferências de ficheiros para outras aplicações geridas por Intune.

As aplicações geridas por políticas com a filtragem Open-In/Share filtram as caixas de diálogo Open-in/Share do SO para apresentar apenas aplicações geridas por políticas.

Para obter mais informações, veja Definições de política de proteção de aplicações iOS.

Transferência de dados Enviar ou enviar dados para Sem destinos Windows
Transferência de dados Receber dados de Sem origens Windows
Transferência de dados Selecionar aplicativos para isentar Predefinição/skype; definições de aplicação; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS
Transferência de dados Salvar cópias de dados da organização Bloquear iOS/iPadOS, Android
Transferência de dados Permitir que os utilizadores guardem cópias nos serviços selecionados OneDrive for Business, SharePoint Online, Biblioteca de Fotografias iOS/iPadOS, Android
Transferência de dados Transferir dados de telecomunicações para Qualquer aplicativo discador iOS/iPadOS, Android
Transferência de dados Restringir cortar, copiar e colar entre aplicações Aplicações geridas por políticas com colar em iOS/iPadOS, Android
Transferência de dados Permitir cortar, copiar e colar para Sem destino ou origem Windows
Transferência de dados Captura de ecrã e Assistente do Google Bloquear Android
Funcionalidade Restringir a transferência de conteúdo Web com outros aplicativos Microsoft Edge iOS/iPadOS, Android
Funcionalidade Notificações de dados da organização Bloquear Dados da Organização iOS/iPadOS, Android Para obter uma lista das aplicações que suportam esta definição, consulte Definições de política de proteção de aplicações iOS e definições de políticas de proteção de aplicações Android.

Inicialização condicional

Setting Descrição da definição Valor/Ação Plataforma Notas
Condições da aplicação Conta desabilitada N/D/Bloquear acesso iOS/iPadOS, Android, Windows
Condições do dispositivo Versão mínima do sistema operacional Formato: Major.Minor.Build
Exemplo: 14.8
/Bloquear acesso
iOS/iPadOS A Microsoft recomenda configurar a versão principal mínima do iOS de modo a corresponder às versões do iOS compatíveis com os aplicativos da Microsoft. As aplicações Microsoft suportam uma abordagem N-1 em que N é a versão principal do iOS atual. Para valores de versão secundária e de build, a Microsoft recomenda garantir que os dispositivos estejam atualizados com os respectivos patches de segurança. Veja Atualizações de segurança da Apple para obter as mais recentes recomendações da Apple
Condições do dispositivo Versão mínima do sistema operacional Formato: Major.Minor
Exemplo: 9.0
/Bloquear acesso
Android A Microsoft recomenda configurar a versão principal do Android mínima a fim de corresponder às versões do Android com suporte para aplicativos da Microsoft. Os OEMs e os dispositivos que seguem os requisitos recomendados do Android Enterprise devem dar suporte à atualização da versão de remessa atual + uma letra. Atualmente, o Android recomenda o Android 9.0 e versões posteriores para trabalhadores de conhecimento. Veja Requisitos recomendados do Android Enterprise para obter as recomendações mais recentes do Android
Condições do dispositivo Versão mínima do sistema operacional Formato: Criar
Exemplo: 10.0.22621.2506
/Bloquear acesso
Windows A Microsoft recomenda configurar a compilação mínima do Windows para corresponder às versões suportadas do Windows para aplicações Microsoft. Atualmente, a Microsoft recomenda o seguinte:
Condições do dispositivo Versão mínima do patch Formato: AAAA-MM-DD
Exemplo: 2020-01-01
/Bloquear acesso
Android Os dispositivos Android podem receber patches de segurança mensais, mas a versão depende dos OEMs e/ou das operadoras. As organizações devem garantir que os dispositivos Android implantados recebam patches de segurança antes de implementar essa configuração. Consulte Boletins de Segurança do Android para obter as versões mais recentes do patch.
Condições do dispositivo Tipo de avaliação SafetyNet obrigatória Chave com backup em hardware Android O atestado com suporte de hardware melhora o serviço de Integridade do Jogo da Google existente marcar ao aplicar um novo tipo de avaliação chamado Hardware Backed, proporcionando uma deteção de raiz mais robusta em resposta a novos tipos de ferramentas e métodos de raiz que nem sempre podem ser detetados de forma fiável por uma solução apenas de software.

Como o nome indica, o atestado com suporte de hardware utiliza um componente baseado em hardware, que foi enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala.

Condições do dispositivo Exigir bloqueio do dispositivo Acesso Médio/Bloqueado Android Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe.
Condições do dispositivo Atestado de dispositivo Samsung Knox Bloquear Acesso Android A Microsoft recomenda configurar a definição de atestado do dispositivo Samsung Knox para Bloquear o acesso para garantir que a conta de utilizador está bloqueada de acesso se o dispositivo não cumprir a verificação do estado de funcionamento do dispositivo baseada em hardware knox da Samsung. Esta definição verifica todas as Intune respostas do cliente MAM ao serviço Intune foram enviadas a partir de um dispositivo em bom estado de funcionamento.

Esta definição aplica-se a todos os dispositivos visados. Para aplicar esta definição apenas a dispositivos Samsung, pode utilizar filtros de atribuição de "Aplicações geridas". Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.

Condições da aplicação Período de cortesia offline 30/Apagar dados (dias) iOS/iPadOS, Android, Windows

Observação

As definições de início condicional do Windows são identificadas como Verificações de Estado de Funcionamento.

Proteção de dados de nível 3 empresarial elevada

O Nível 3 é a configuração de proteção de dados recomendada como padrão para organizações com organizações de segurança grandes e sofisticadas ou para utilizadores e grupos específicos que serão exclusivamente visados por adversários. Essas organizações são normalmente alvo de adversários bem financiados e sofisticados e, como tal, merecem as restrições e controlos adicionais descritos. Esta configuração expande-se após a configuração no Nível 2 ao restringir cenários adicionais de transferência de dados, aumentar a complexidade da configuração do PIN e adicionar a deteção de ameaças para dispositivos móveis.

Importante

As definições de política impostas no nível 3 incluem todas as definições de política recomendadas para o nível 2, mas apenas listam as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 2. Estas definições de política podem ter um impacto potencialmente significativo para os utilizadores ou para as aplicações, ao impor um nível de segurança proporcional aos riscos que as organizações visadas enfrentam.

Proteção de dados

Setting Descrição da definição Valor Plataforma Notas
Transferência de dados Transferir dados de telecomunicações para Qualquer aplicação de marcador gerida por políticas Android Os administradores também podem configurar esta definição para utilizar uma aplicação de marcador que não suporta Políticas de Proteção de Aplicações ao selecionar uma aplicação de marcador específica e ao fornecer os valores ID do Pacote de Aplicação Do Dialer e Nome da Aplicação Do Marcador .
Transferência de dados Transferir dados de telecomunicações para Uma aplicação de marcador específica iOS/iPadOS
Transferência de dados Esquema de URL do Aplicativo Discador replace_with_dialer_app_url_scheme iOS/iPadOS No iOS/iPadOS, este valor tem de ser substituído pelo esquema de URL da aplicação de marcador personalizada que está a ser utilizada. Se o esquema de URL não for conhecido, contacte o programador da aplicação para obter mais informações. Para obter mais informações sobre esquemas de URL, veja Defining a Custom URL Scheme for Your App (Definir um Esquema de URL Personalizado para a Sua Aplicação).
Transferência de dados Receber dados de outros aplicativos Aplicativos gerenciados por política iOS/iPadOS, Android
Transferência de dados Abrir dados em documentos da organização Bloquear iOS/iPadOS, Android
Transferência de dados Permitir que os usuários abram dados dos serviços selecionados OneDrive for Business, SharePoint, Câmara, Biblioteca de Fotografias iOS/iPadOS, Android Para obter informações relacionadas, veja Definições de políticas de proteção de aplicações android e definições de políticas de proteção de aplicações iOS.
Transferência de dados Teclados de terceiros Bloquear iOS/iPadOS No iOS/iPadOS, isto bloqueia o funcionamento de todos os teclados de terceiros na aplicação.
Transferência de dados Teclados aprovados Exigir Android
Transferência de dados Selecionar teclados a aprovar adicionar/remover teclados Android Com o Android, os teclados têm de ser selecionados para serem utilizados com base nos seus dispositivos Android implementados.
Funcionalidade Imprimir dados da organização Bloquear iOS/iPadOS, Android, Windows

Requisitos de acesso

Setting Valor Plataforma
PIN simples Bloquear iOS/iPadOS, Android
Selecione Comprimento mínimo do PIN 6 iOS/iPadOS, Android
Redefinir PIN após número de dias Sim iOS/iPadOS, Android
Número de dias 365 iOS/iPadOS, Android
Biometria de Classe 3 (Android 9.0+) Exigir Android
Substituir a Biometria com PIN após atualizações biométricas Exigir Android

Inicialização condicional

Setting Descrição da definição Valor/Ação Plataforma Notas
Condições do dispositivo Exigir bloqueio do dispositivo Acesso Elevado/Bloqueado Android Esta definição garante que os dispositivos Android têm uma palavra-passe de dispositivo que cumpre os requisitos mínimos de palavra-passe.
Condições do dispositivo Nível máximo permitido de ameaça ao dispositivo Acesso protegido/bloqueado Windows
Condições do dispositivo Dispositivos com jailbreak/desbloqueados por rooting N/D/Limpar dados iOS/iPadOS, Android
Condições do dispositivo Nível máximo de ameaça permitido Acesso protegido/bloqueado iOS/iPadOS, Android

Os dispositivos não inscritos podem ser inspecionados quanto a ameaças através da Defesa Contra Ameaças para Dispositivos Móveis. Para obter mais informações, veja Defesa Contra Ameaças para Dispositivos Móveis para dispositivos não inscritos.

Se o dispositivo estiver inscrito, esta definição pode ser ignorada a favor da implementação da Defesa Contra Ameaças para Dispositivos Móveis para dispositivos inscritos. Para saber mais, consulte Defesa contra Ameaças Móveis para dispositivos inscritos.

Condições do dispositivo Versão máxima do sistema operacional Formato: Major.Minor
Exemplo: 11.0
/Bloquear acesso
Android A Microsoft recomenda a configuração da versão principal máxima do Android para garantir que as versões beta ou não suportadas do sistema operativo não são utilizadas. Veja Requisitos recomendados do Android Enterprise para obter as recomendações mais recentes do Android
Condições do dispositivo Versão máxima do sistema operacional Formato: Major.Minor.Build
Exemplo: 15.0
/Bloquear acesso
iOS/iPadOS A Microsoft recomenda a configuração da versão principal máxima do iOS/iPadOS para garantir que não são utilizadas versões beta ou não suportadas do sistema operativo. Veja Atualizações de segurança da Apple para obter as mais recentes recomendações da Apple
Condições do dispositivo Versão máxima do sistema operacional Formato: Major.Minor
Exemplo: 22631.
/Bloquear acesso
Windows A Microsoft recomenda a configuração da versão principal máxima do Windows para garantir que as versões beta ou não suportadas do sistema operativo não são utilizadas.
Condições do dispositivo Atestado de dispositivo Samsung Knox Apagar os dados Android A Microsoft recomenda a configuração da definição de atestado do dispositivo Samsung Knox para Apagar dados para garantir que os dados da organização são removidos se o dispositivo não cumprir a verificação do estado de funcionamento do dispositivo baseada em hardware knox da Samsung. Esta definição verifica todas as Intune respostas do cliente MAM ao serviço Intune foram enviadas a partir de um dispositivo em bom estado de funcionamento.

Esta definição será aplicada a todos os dispositivos visados. Para aplicar esta definição apenas a dispositivos Samsung, pode utilizar filtros de atribuição de "Aplicações geridas". Para obter mais informações sobre filtros de atribuição, consulte Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.

Condições da aplicação Período de cortesia offline 30/Bloquear acesso (dias) iOS/iPadOS, Android, Windows

Próximas etapas

Os administradores podem incorporar os níveis de configuração acima na respetiva metodologia de implementação de cadências para fins de teste e utilização de produção ao importar o exemplo Intune modelos JSON do App Protection Policy Configuration Framework com os scripts do PowerShell do Intune.

Confira também