Partilhar via


Configurações de política de proteção de aplicativo iOS

Este artigo descreve as configurações da política de proteção de aplicativo para dispositivos iOS/iPadOS. As configurações de política descritas podem ser configuradas para uma política de proteção de aplicativo no painel Configurações no portal quando você cria uma política.

Há três categorias de configurações de política: Realocação de dados, Requisitos de acesso e Inicialização condicional. Neste artigo, o termo aplicações geridas por políticas refere-se a aplicações configuradas com políticas de proteção de aplicações.

Importante

O Intune Managed Browser foi desativado. Use o Microsoft Edge para obter uma experiência de navegação protegida no Intune.

Proteção de dados

Importante

Para aplicações que tenham sido atualizadas para v19.7.6 ou posterior para Xcode 15 e v20.2.1 ou posterior para xcode 16 do SDK, o bloco de captura de ecrã será aplicado se tiver configurado a definição Enviar dados da Organização para outras aplicações para um valor diferente de "Todas as aplicações". Pode configurar a definição com.microsoft.intune.mam.screencapturecontrol = Disabled de política de configuração de aplicações (Políticasdeconfiguração de aplicações>Políticasde configuração de aplicações > Criar >aplicações>geridas no passo Definições, selecione Definições de configuração gerais) se precisar de permitir a captura de ecrã para os seus dispositivos iOS.

Transferência de dados

Setting Como usar Valor padrão
Fazer backup de dados da organização para backups do iTunes e iCloud Selecione Bloquear para impedir que esse aplicativo faça backup de dados corporativos ou de estudante no iTunes e iCloud. Selecione Permitir para permitir que esse aplicativo faça backup de dados corporativos ou de estudante no iTunes e iCloud. Permitir
Enviar dados da organização para outros aplicativos Especifique quais aplicativos podem receber dados desse aplicativo:
  • Todos os aplicativos: permitir a transferência para qualquer aplicativo. O aplicativo de recebimento terá a capacidade de ler e editar os dados.
  • Nenhuma: não permitir a transferência de dados para nenhuma aplicação, incluindo outras aplicações geridas por políticas. Se o usuário executar uma função "abrir em" gerenciada e transferir um documento, os dados serão criptografados e não poderão ser lidos.
  • Aplicativos gerenciados por política: permita a transferência apenas para outros aplicativos gerenciados por política.

    Nota:os utilizadores poderão transferir conteúdo através de extensões Open-in ou Partilhar para aplicações não geridas em dispositivos não inscritos ou dispositivos inscritos que permitem a partilha para aplicações não geridas. Os dados transferidos são encriptados por Intune e ilegíveis por aplicações não geridas.

  • Aplicativos gerenciados por política com compartilhamento de sistema operacional: apenas permitem a transferência de dados para outros aplicativos gerenciados por política, bem como transferências de arquivo para outros aplicativos gerenciados por MDM em dispositivos registrados.

    Nota:as aplicações geridas por políticas com o valor de partilha do SO são aplicáveis apenas a dispositivos inscritos na MDM. Se esta definição for direcionada para um utilizador num dispositivo não inscrito, aplica-se o comportamento do valor Aplicações geridas por políticas. Os utilizadores poderão transferir conteúdo não encriptado através das extensões Open-in ou Share para qualquer aplicação permitida pela definição iOS MDM allowOpenFromManagedtoUnmanaged, partindo do princípio de que a aplicação de envio tem o IntuneMAMUPN e o IntuneMAMOID configurados; Para obter mais informações, veja Como gerir a transferência de dados entre aplicações iOS no Microsoft Intune. Veja https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf para obter mais informações sobre esta definição de MDM para iOS/iPadOS.

  • Aplicativos gerenciados por política com filtragem de Abrir em/Compartilhar: permitem a transferência apenas para outros aplicativos gerenciados por política e filtram caixas de diálogo de Abrir em/Compartilhar do sistema operacional para exibir somente aplicativos gerenciados por política. Para configurar a filtragem da caixa de diálogo Abrir em/Compartilhar, é necessário que tanto os aplicativos que funcionam como a origem do documento/arquivo, quanto os aplicativos que podem abrir esse arquivo/documento, tenham o SDK do Intune para iOS versão 8.1.1 ou posterior.

    Nota:os utilizadores poderão transferir conteúdo através de extensões Open-in ou Partilhar para aplicações não geridas se Intune tipo de dados privado for suportado pela aplicação. Os dados transferidos são encriptados por Intune e ilegíveis por aplicações não geridas.


A pesquisa spotlight (permite a pesquisa de dados nas aplicações) e os atalhos da Siri são bloqueados, a menos que estejam definidos como Todas as aplicações.

Essa política também pode se aplicar aos links universais do iOS/iPadOS. Links gerais da Web são gerenciados pela configuração de política Abrir links de aplicativo no Intune Managed Browser.

Há algumas isenções de aplicativos e serviços para os quais o Intune pode permitir transferência de dados por padrão. Além disso, você poderá criar suas próprias isenções se precisar permitir a transferência de dados para um aplicativo que não seja compatível com a APP do Intune. Consulte isenções de transferência de dados para obter mais informações.

Todos os aplicativos
    Selecionar aplicativos para isentar
Essa opção está disponível quando você seleciona Aplicativos gerenciados por política para a opção anterior.
    Selecione links universais para isentar
Especifique quais Links Universais do iOS/iPadOS devem ser abertos no aplicativo não gerenciado especificado em vez do navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Entre em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.
    Selecionar links universais gerenciados
Especifique quais Links Universais do iOS/iPadOS devem ser abertos no aplicativo gerenciado especificado em vez do navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Entre em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.
    Salvar cópias de dados da organização
Selecione Bloquear para desabilitar o uso da opção Salvar como neste aplicativo. Selecione Permitir se desejar permitir o uso do recurso Salvar como. Quando definido como Bloquear, você pode definir a configuração Permitir que o usuário salve cópias para serviços selecionados.

Observação:
  • Esta definição é suportada para o Microsoft Excel, OneNote, Outlook, PowerPoint, Word e Microsoft Edge. Também pode ser suportado por aplicações LOB e de terceiros.
  • Essa configuração só poderá ser definida se a configuração Enviar dados da organização para outros aplicativos estiver definida como Aplicativos gerenciados por política, Aplicativos gerenciados por política com compartilhamento do SO ou Aplicativos gerenciados por política com filtragem aberta/de compartilhamento.
  • Esta definição será "Permitir" quando a definição Enviar dados da organização para outras aplicações estiver definida como Todas as aplicações.
  • Esta definição será "Bloquear" sem localizações de serviço permitidas quando a definição Enviar dados da organização para outras aplicações estiver definida como Nenhuma.
Permitir
      Permitir que o usuário salve uma cópia para serviços selecionados
Os usuários podem salvar nos serviços selecionados (OneDrive for Business, SharePoint, Biblioteca de Fotos e Armazenamento Local). Todos os outros serviços estão bloqueados. OneDrive for Business: você pode salvar arquivos no OneDrive for Business e no SharePoint Online. SharePoint: você pode salvar arquivos no SharePoint local. Biblioteca de Fotos: você pode salvar arquivos na biblioteca de fotos localmente. Armazenamento Local: os aplicativos gerenciados podem salvar cópias dos dados da organização localmente. Isso NÃO inclui salvar arquivos em localidades locais não gerenciadas, como o aplicativo Arquivos do dispositivo. 0 selecionado
    Transferir dados de telecomunicações para
Normalmente, quando um usuário seleciona um número de telefone com hiperlinks em um aplicativo, um aplicativo discador é aberto com o número de telefone preenchido previamente e pronto para chamadas. Para essa configuração, escolha como processar esse tipo de transferência de conteúdo quando ele é iniciado por meio de um aplicativo gerenciado por política:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Uma aplicação de marcador específica: permita que uma aplicação de marcador gerida específica inicie o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de marcador: permita que qualquer aplicação de marcador gerido seja utilizada para iniciar o contacto quando for detetado um número de telefone.

Nota: esta definição requer Intune SDK 12.7.0 e posterior. Se as suas aplicações dependerem da funcionalidade do marcador e não estiverem a utilizar a versão correta Intune SDK, como solução, considere adicionar "tel; telprompt" como uma isenção de transferência de dados. Assim que as aplicações suportarem a versão correta do SDK Intune, a isenção pode ser removida.

Qualquer aplicativo discador
      Esquema de URL do Aplicativo Discador
Quando um aplicativo discador específico for selecionado, você precisará fornecer o esquema de URL do aplicativo discador que é usado para iniciá-lo em dispositivos iOS. Para obter mais informações, confira a documentação da Apple sobre Links de telefone. Blank
    Transferir dados de mensagens para
Normalmente, quando um utilizador seleciona uma ligação de mensagens hiperligadas numa aplicação, é aberta uma aplicação de mensagens com o número de telefone pré-preenchido e pronto para enviar. Para esta definição, escolha como lidar com este tipo de transferência de conteúdo quando é iniciada a partir de uma aplicação gerida por políticas. Poderão ser necessários passos adicionais para que esta definição entre em vigor. Primeiro, verifique se o sms foi removido da lista Selecionar aplicações a isentar. Em seguida, certifique-se de que a aplicação está a utilizar uma versão mais recente do SDK Intune (Versão > 19.0.0). Para essa configuração, escolha como processar esse tipo de transferência de conteúdo quando ele é iniciado por meio de um aplicativo gerenciado por política:
  • Nenhum, não transfira estes dados entre aplicações: não transfira dados de comunicação quando for detetado um número de telefone.
  • Uma aplicação de mensagens específica: permita que uma aplicação de mensagens geridas específica inicie o contacto quando é detetado um número de telefone.
  • Qualquer aplicação de mensagens: permita que qualquer aplicação de mensagens geridas seja utilizada para iniciar o contacto quando é detetado um número de telefone.

Nota: esta definição requer Intune SDK 19.0.0 e posterior.

Qualquer aplicação de mensagens
      Esquema de URL da Aplicação de Mensagens
Quando uma aplicação de mensagens específica tiver sido selecionada, tem de fornecer o esquema de URL da aplicação de mensagens que é utilizado para iniciar a aplicação de mensagens em dispositivos iOS. Para obter mais informações, confira a documentação da Apple sobre Links de telefone. Blank
Receber dados de outros aplicativos Especifique quais aplicativos podem transferir dados para esse aplicativo:
  • Todos os aplicativos: permitir a transferência de dados de qualquer aplicativo.
  • Nenhuma: não permita a transferência de dados a partir de nenhuma aplicação, incluindo outras aplicações geridas por políticas.
  • Aplicativos gerenciados por política: permita a transferência apenas de outros aplicativos gerenciados por política.
  • Todos os aplicativos contendo dados de entrada da organização: permitem a transferência de dados de qualquer aplicativo. Trate todos os dados de entrada sem uma identidade de usuário como dados de sua organização. Os dados serão marcados com a identidade do usuário registrada no MDM conforme definido pela configuração IntuneMAMUPN.

    Nota:todas as aplicações com o valor de dados Org recebido são aplicáveis apenas aos dispositivos inscritos na MDM. Se esta definição for direcionada para um utilizador num dispositivo não inscrito, aplica-se o comportamento do valor Qualquer aplicação.

Aplicativos habilitados para MAM com várias identidades tentarão alternar para uma conta não gerenciada ao receber dados não gerenciados se essa configuração estiver definida para Nenhum ou Aplicativos gerenciados por política. Se não existir nenhuma conta não gerida com sessão iniciada na aplicação ou a aplicação não conseguir mudar, os dados recebidos serão bloqueados.

Todos os aplicativos
    Abrir dados em documentos da organização
Selecione Bloquear para desabilitar o uso da opção Abrir ou de outras opções para compartilhar dados entre contas neste aplicativo. Selecione Permitir se quiser permitir o uso de Abrir.

Quando definido como Bloquear , pode configurar a opção Permitir que o utilizador abra dados de serviços selecionados para especificar os serviços permitidos para as localizações de dados da Organização.

Observação:
  • Esta configuração pode ser definida somente quando a opção Receber dados de outros aplicativos estiver definida como Aplicativos gerenciados por política.
  • Esta definição será "Permitir" quando a definição Receber dados de outras aplicações estiver definida como Todas as aplicações ou Todas as aplicações com dados da Organização recebidos.
  • Esta configuração será "Bloquear" sem locais de serviço permitidos quando a opção Receber dados de outros aplicativos estiver definida como Nenhum.
  • Os seguintes aplicativos dão suporte a essa configuração:
    • OneDrive 11.45.3 ou posterior.
    • Outlook para iOS 4.60.0 ou posterior.
    • Teams para iOS 3.17.0 ou posterior.
Permitir
      Permitir que os usuários abram dados dos serviços selecionados
Selecione os serviços de armazenamento de aplicativo dos quais os usuários podem abrir dados. Todos os outros serviços estão bloqueados. Se nenhum serviço for selecionado, isso impedirá que os usuários abram dados de locais externos.
Nota: Este controlo foi concebido para trabalhar em dados que estão fora do contentor empresarial.

Serviços com suporte:
  • OneDrive for Business
  • SharePoint Online
  • Câmera
  • Biblioteca de Fotos
Nota: A câmara não inclui acesso a Fotografias ou Galeria de Fotografias. Ao selecionar Biblioteca de Fotos na configuração Permitir que os usuários abram dados de serviços selecionados no Intune, você pode permitir que contas gerenciadas permitam receber dados da biblioteca de fotos de seus dispositivos para seus aplicativos gerenciados.
Todos selecionados
Restringir recortar, copiar e colar com outros aplicativos Especifique quando as ações recortar, copiar e colar podem ser usadas com esse aplicativo. Selecione:
  • Bloqueado: não permita ações cortar, copiar e colar entre esta aplicação e qualquer outra aplicação.
  • Aplicativos gerenciados por política: permita ações recortar, copiar e colar entre esse aplicativo e outros aplicativos gerenciados por política.
  • Aplicativos gerenciados por política com Colar Em: permita o recorte ou a cópia entre esse aplicativo e outros aplicativos gerenciados por política. Permita que dados de qualquer aplicativo sejam colados nesse aplicativo.
  • Qualquer aplicativo: sem restrições para recortar, copiar e colar para e desse aplicativo.
Qualquer aplicativo
    Limite de caracteres de recorte e cópia para qualquer aplicativo
Especifique o número de caracteres que pode ser cortado ou copiado de dados e contas da organização. Isso possibilita o compartilhamento do número de caracteres especificado para qualquer aplicativo, independentemente da configuração Restringir recortar, copiar e colar com outros aplicativos.

Valor padrão = 0

Observação: É necessário que o aplicativo tenha o SDK do Intune versão 9.0.14 ou superior.

0
Bloquear teclados de terceiros Escolha Bloquear para impedir o uso de teclados de terceiros em aplicativos gerenciados.

Quando essa configuração está habilitada, o usuário recebe uma mensagem avulsa informando que o uso de teclados de terceiros está bloqueado. Essa mensagem aparece na primeira vez que o usuário interage com os dados organizacionais que exigem o uso de um teclado. Somente o teclado padrão do iOS/iPadOS está disponível para usar aplicativos gerenciados. Todas as outras opções de teclado estão desabilitadas. Essa configuração afetará as contas pessoais e da organização de aplicativos de várias identidades. Esta definição não afeta a utilização de teclados de terceiros em aplicações não geridas.

Observação:Este recurso exige que o aplicativo use o SDK do Intune versão 12.0.16 ou posterior. As aplicações com versões do SDK da versão 8.0.14 para a 12.0.15 não terão esta funcionalidade corretamente aplicada a aplicações de várias identidades. Para obter mais detalhes, consulte Problema conhecido: Os teclados de terceiros não estão bloqueados no iOS/iPadOS para contas pessoais.

Permitir

Observação

Uma política de proteção de aplicativo é necessária com o IntuneMAMUPN para dispositivos gerenciados. Isto aplica-se a qualquer definição que necessite também de dispositivos inscritos.

Criptografia

Setting Como usar Valor padrão
Criptografar dados da organização Escolha Exigir para habilitar a criptografia de dados corporativos ou de estudante nesse aplicativo. Intune impõe a encriptação ao nível do dispositivo iOS/iPadOS para proteger os dados da aplicação enquanto o dispositivo está bloqueado. Os aplicativos podem ainda, opcionalmente, criptografar os dados de aplicativo usando a criptografia do Intune App SDK. O SDK do aplicativo do Intune usa métodos de criptografia do iOS/iPadOS para aplicar a criptografia AES de 256 bits a dados de aplicativo.

Quando você habilita essa configuração, talvez o usuário tenha que configurar e usar um PIN do dispositivo para acessá-lo. Se não houver nenhum PIN de dispositivo e a criptografia for necessária, o usuário deverá definir um PIN com a mensagem: "Para acessar este aplicativo, sua organização exige primeiro a habilitação de um PIN de dispositivo".

Aceda à documentação oficial da Apple para ler mais sobre as respetivas Classes de Proteção de Dados, como parte da Segurança da Plataforma Apple.
Exigir

Funcionalidade

Setting Como usar Valor padrão
Sincronizar dados do aplicativo gerenciado por política com suplementos ou aplicativos nativos Selecione Bloquear para impedir que as aplicações geridas por políticas guardem dados nas aplicações nativas do dispositivo (Contactos, Calendário e widgets) e para impedir a utilização de suplementos nas aplicações geridas por políticas. Se não for suportado pela aplicação, será permitido guardar dados em aplicações nativas e utilizar suplementos.

Se você escolher Permitir, o aplicativo gerenciado por política poderá salvar dados nos aplicativos nativos ou usar suplementos, se esses recursos forem compatíveis e habilitados no aplicativo gerenciado por política.

As aplicações podem fornecer controlos adicionais para personalizar o comportamento da sincronização de dados para aplicações nativas específicas ou não respeitar este controlo.

Nota: quando efetua uma eliminação seletiva para remover dados escolares ou profissionais da aplicação, os dados sincronizados diretamente a partir da aplicação gerida por políticas para a aplicação nativa são removidos. Os dados sincronizados da aplicação nativa para outra origem externa não serão apagados.

Nota: as seguintes aplicações suportam esta funcionalidade:
Permitir
Imprimindo dados da organização Selecione Bloquear para impedir que o aplicativo imprima dados corporativos ou de estudante. Se você mantiver essa configuração como Permitir, o valor padrão, os usuários poderão exportar e imprimir todos os dados da Organização. Permitir
Restringir a transferência de conteúdo Web com outros aplicativos Especifique como o conteúdo da Web (links http/https) é aberto de aplicativos gerenciados por política. Escolha entre:
  • Qualquer aplicativo: permitir links da Web em qualquer aplicativo.
  • Intune Managed Browser: Permita que o conteúdo da Web seja aberto somente no Intune Managed Browser. Esse navegador é um navegador gerenciado por política.
  • Microsoft Edge: Permita que o conteúdo da Web seja aberto somente no Microsoft Edge. Esse navegador é um navegador gerenciado por política.
  • Browser não-gerenciado:Permita que o conteúdo da Web abra somente no navegador não gerenciado definido pela configuração Protocolo do navegador não gerenciado. O conteúdo da Web não será gerenciado no navegador de destino.
    Observação: é necessário que o aplicativo tenha o SDK do Intune versão 11.0.9 ou superior.
Se estiver usando o Intune para gerenciar seus dispositivos, confira Gerenciar o acesso à Internet usando políticas do navegador gerenciado com o Microsoft Intune.

Se for necessário um browser gerido por políticas, mas não estiver instalado, ser-lhe-á pedido aos utilizadores finais que instalem o Microsoft Edge.

Se for necessário um browser gerido por políticas, as Ligações Universais para iOS/iPadOS são geridas pela definição de política Enviar dados da Organização para outras aplicações .

Registro do dispositivo do Intune
Se estiver usando o Intune para gerenciar seus dispositivos, confira Gerenciar o acesso à Internet usando políticas do navegador gerenciado com o Microsoft Intune.

Microsoft Edge gerenciado por política
O navegador Microsoft Edge para dispositivos móveis (iOS/iPadOS e Android) agora é compatível com políticas de proteção de aplicativo do Intune. Os utilizadores que iniciarem sessão com as respetivas contas de Microsoft Entra empresariais na aplicação de browser Microsoft Edge serão protegidos por Intune. O navegador Microsoft Edge integra o SDK do Intune e é compatível com a todas as suas políticas de proteção de dados, com exceção de prevenir:

  • Guardar como: o browser Microsoft Edge não permite que um utilizador adicione ligações diretas na aplicação a fornecedores de armazenamento na cloud (como o OneDrive).
  • Sincronização de contactos: o browser Microsoft Edge não guarda em listas de contactos nativas.

Observação: O SDK do Intune não pode determinar se um aplicativo de destino é um navegador. Em dispositivos iOS/iPadOS, nenhum outro aplicativo de navegador gerenciado é permitido.
Não configurado
    Protocolo do navegador não gerenciado
Insira o protocolo para um único navegador não gerenciado. O conteúdo da Web (links http/https) de aplicativos gerenciados por políticas será aberto em qualquer aplicativo que aceite esse protocolo. O conteúdo da Web não será gerenciado no navegador de destino.

Esta funcionalidade só deve ser utilizada se quiser partilhar conteúdos protegidos com um browser específico que não esteja ativado com Intune políticas de proteção de aplicações. Você deve entrar em contato com o fornecedor do navegador para determinar o protocolo compatível no navegador desejado.

Observação: Inclua apenas o prefixo de protocolo. Se o navegador exigir links do formulário mybrowser://www.microsoft.com, insira mybrowser.
Os links serão convertidos como:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Notificações de dados da organização Especifique como os dados da organização são compartilhados por meio de notificações do sistema operacional para as contas da organização. Essa configuração de política afetará o dispositivo local e todos os dispositivos conectados, como dispositivos vestíveis e alto-falantes inteligentes. Os aplicativos podem fornecer controles adicionais para personalizar o comportamento de notificação ou podem optar por não respeitar todos os valores. Selecione:
  • Bloqueado: não partilhe notificações.
    • Se não forem compatíveis com o aplicativo, as notificações serão permitidas.
  • Bloquear Dados da organização: por exemplo, não partilhe dados da Organização em notificações.
    • "Você tem um novo email"; "Você tem uma reunião".
    • Se não forem compatíveis com o aplicativo, as notificações serão permitidas.
  • Permitir: Compartilha dados da organização nas notificações.

Observação:
Esta definição requer o seguinte suporte para a aplicação:

  • Outlook para iOS 4.34.0 ou posterior
  • Teams para iOS 2.0.22 ou posterior
  • Microsoft 365 (Office) para iOS 2.72 ou posterior
Permitir

Observação

Em dispositivos iOS/iPadOS, nenhuma das configurações de proteção de dados controla o recurso "Abrir em" gerenciado pela Apple. Para usar o recurso "Abrir em" gerenciado pela Apple, confira Gerenciar a transferência de dados entre aplicativos iOS/iPadOS com o Microsoft Intune.

Isenções de transferência de dados

Há algumas isenções de aplicativos e serviços de plataforma em que a política de proteção de aplicativo do Intune pode permitir a transferência de dados de/para determinados cenários. Esta lista está sujeita a alterações e reflete os serviços e os aplicativos considerados úteis para produtividade segura.

Aplicativos não gerenciados de terceiros podem ser adicionados à lista de isenções, o que pode permitir exceções de transferência de dados. Para ver detalhes e exemplos adicionais, confira Como criar exceções para a política de transferência de dados da APP (Política de Proteção de Aplicativo) do Intune. O aplicativo não gerenciado isento deve ser invocado com base no protocolo de URL do iOS. Por exemplo, quando uma isenção de transferência de dados é adicionada para um aplicativo não gerenciado, ela ainda impede os usuários de executar operações de recortar, copiar e colar se elas forem restritas pela política. Este tipo de isenção também impediria os utilizadores de utilizarem a ação Open-in numa aplicação gerida para partilhar ou guardar dados na aplicação isenta, uma vez que não se baseia no protocolo de URL do iOS. Para saber mais sobre Abrir em, confira Usar a proteção de aplicativo com aplicativos iOS.

Nomes do aplicativo/serviço Descrição
skype Skype
app-settings Configurações do dispositivo
itms; itmss; itms-apps; itms-appss; itms-services Loja de aplicativos
calshow Calendário nativo

Importante

As políticas de Proteção de Aplicativo criadas antes de 15 de junho de 2020 incluem os esquemas de URL tel e telprompt como parte das isenções de transferência de dados padrão. Esses esquemas de URL permitem que aplicativos gerenciados iniciem o discador. A configuração da política de Proteção de Aplicativo Transferir dados de telecomunicação para substituiu essa funcionalidade. Os administradores devem remover tel;telprompt; das isenções de transferência de dados e contar com a configuração da política de Proteção de Aplicativo, desde que os aplicativos gerenciados que iniciam a funcionalidade do discador incluam o SDK do Intune 12.7.0 ou posterior.

Importante

No SDK do Intune 14.5.0 ou posterior, incluindo os esquemas de URL de SMS e de mailto nas isenções de transferência de dados também permitirá o compartilhamento de dados Org para os controladores de exibição MFMessageCompose (para SMS) e MFMailCompose (para mailto) nos aplicativos gerenciados pela política.

Os links universais permitem que o usuário inicie diretamente um aplicativo associado ao link em vez de um navegador protegido especificado pela configuração Restringir a transferência de conteúdo da Web com outros aplicativos. Você deve entrar em contato com o desenvolvedor do aplicativo para determinar o formato de link universal correto para cada aplicativo.

As Ligações de Clipes de Aplicações predefinidas também são geridas pela política de ligação universal.

Ao adicionar Links Universais aos aplicativos não gerenciados, você pode iniciar o aplicativo especificado. Para adicionar o aplicativo, você deve adicionar o link à lista de isenções.

Cuidado

Os aplicativos de destino para esses Links Universais não são gerenciados e adicionar uma isenção pode resultar em vazamentos de segurança de dados.

As isenções de Link Universal do aplicativo padrão são as seguintes:

Link universal isento Descrição
http://maps.apple.com; https://maps.apple.com Aplicativo Mapas
http://facetime.apple.com; https://facetime.apple.com Aplicativo FaceTime

Se você não quiser permitir as isenções de Link Universal padrão, poderá excluí-las. Você também pode adicionar Links Universais para aplicativos LOB ou de terceiros. Os links universais isentos permitem curingas como http://*.sharepoint-df.com/*.

Ao adicionar Links Universais aos aplicativos gerenciados, você pode iniciar o aplicativo especificado com segurança. Para adicionar a aplicação, tem de adicionar a ligação universal da aplicação à lista gerida. Se a aplicação de destino suportar Intune política de Proteção de Aplicações, selecionar a ligação tentará iniciar a aplicação. Se a aplicação não conseguir abrir, a ligação é aberta no browser protegido. Se a aplicação de destino não integrar o SDK Intune, selecionar a ligação iniciará o browser protegido.

Os Links Universais gerenciados padrão são os seguintes:

Link Universal do Aplicativo Gerenciado Descrição
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Zoom

Se você não quiser permitir os Links Universais gerenciados padrão, poderá excluí-los. Você também pode adicionar Links Universais para aplicativos LOB ou de terceiros.

Requisitos de acesso

Setting Como usar Valor padrão
PIN para acesso Selecione Exigir para exigir um PIN para usar esse aplicativo. O usuário deverá configurar esse PIN na primeira vez que executar o aplicativo em um contexto corporativo ou de estudante. O PIN é aplicado ao trabalhar online ou offline.

Você pode configurar a complexidade do PIN usando as configurações disponíveis na seção PIN para acesso.

Nota: Os utilizadores finais com permissão para aceder à aplicação podem repor o PIN da aplicação. Esta definição pode não estar visível em alguns casos em dispositivos iOS. Os dispositivos iOS têm uma limitação máxima de quatro atalhos disponíveis. Para ver o atalho repor PIN da Aplicação, o utilizador final poderá ter de aceder ao atalho a partir de uma aplicação gerida diferente.
Exigir
    Tipo de PIN
Defina um requisito de tipo numérico ou de senha PIN antes de acessar um aplicativo que tenha políticas de proteção de aplicativo aplicadas. Os requisitos numéricos envolvem apenas números, enquanto uma senha pode ser definida com pelo menos uma letra do alfabeto ou pelo menos um caractere especial.

Nota:para configurar o tipo de código de acesso, é necessário que a aplicação tenha Intune versão 7.1.12 ou superior do SDK. O tipo numérico não tem Intune restrição de versão do SDK. Os carateres especiais permitidos incluem os carateres especiais e símbolos no teclado de iOS/iPadOS em inglês.
Numérica
    PIN simples
Selecione Permitir para permitir que os usuários usem sequências de PIN simples como 1234, 1111, abcd ou aaaa. Selecione Bloquear para impedi-los de usar sequências simples. Sequências simples são verificadas em janelas deslizantes com três caracteres. Se Bloquear estiver configurado, 1235 ou 1112 não seria aceite como PIN definido pelo utilizador final, mas 1122 seria permitido.

Observação: Se o PIN do tipo senha estiver configurado e Permitir PIN simples estiver definido como Sim, o usuário precisará de pelo menos 1 letra ou pelo menos 1 caractere especial em seu PIN. Se o tipo de senha PIN estiver configurado e Permitir PIN simples estiver definido como Não, o usuário precisará de pelo menos 1 número e 1 letra e pelo menos 1 caractere especial em seu PIN.
Permitir
    Escolher tamanho mínimo do PIN
Especifique o número mínimo de dígitos em uma sequência de PIN. 4
    Touch ID em vez de PIN para acesso (iOS 8 +)
Selecione Permitir para permitir que o usuário use o Touch ID em vez de um PIN para acesso ao aplicativo. Permitir
      Substituir o Touch ID com PIN após o tempo limite
Para usar essa configuração, selecione Exigir e, em seguida, configure o tempo limite de inatividade. Exigir
        Tempo limite (minutos de inatividade)
Especifique um tempo em minutos após o qual uma senha ou PIN numérico (conforme configurado) substituirá o uso de uma impressão digital ou detecção facial como método de acesso. Esse valor de tempo limite deve ser maior que o valor especificado em "Verificar novamente os requisitos de acesso após (minutos de inatividade)". 30
      Face ID em vez de PIN para acesso (iOS 11+)
Selecione Permitir para permitir que o usuário use a tecnologia de reconhecimento facial para autenticar usuários em dispositivos iOS/iPadOS. Se permitido, o Face ID deve ser usado para acessar o aplicativo em um dispositivo compatível com o Face ID. Permitir
    Redefinir PIN após número de dias
Selecione Sim para exigir que os usuários alterem o PIN do seu aplicativo após um período definido de tempo, em dias.

Quando definido como Sim, você, em seguida, configure o número de dias antes que a redefinição do PIN seja necessária.
Não
      Número de dias
Configure o número de dias antes que a redefinição do PIN seja necessária. 90
    PIN do aplicativo quando o PIN do dispositivo for gerenciado
Selecione Desabilitar para desabilitar o PIN do aplicativo quando um bloqueio de dispositivo for detectado em um dispositivo registrado com o Portal da Empresa configurado.

Nota:requer que a aplicação tenha Intune versão 7.0.1 ou superior do SDK. A definição IntuneMAMUPN tem de ser configurada para que as aplicações detetem o estado de inscrição.

Em dispositivos iOS/iPadOS, é possível permitir que o usuário prove sua identidade usando um Touch ID ou Face ID em vez de um PIN. O Intune usa a API LocalAuthentication para autenticar usuários usando o Touch ID e o Face ID. Para saber mais sobre o Touch ID e o Face ID, consulte o Guia de segurança do iOS.

Quando o usuário tenta usar esse aplicativo com sua conta corporativa ou de estudante, ele é solicitado a fornecer a identidade de impressão digital ou a identidade facial em vez de inserir um PIN. Quando essa configuração for habilitada, a imagem de visualização do alternador de aplicativo será indefinida enquanto usar uma conta corporativa ou escolar. Se houver alguma alteração na base de dados biométrica do dispositivo, Intune pede ao utilizador um PIN quando o próximo valor de tempo limite de inatividade for cumprido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o utilizador do Intune não tiver um PIN definido, é-lhe pedido que configure um PIN Intune.
Enable
Credenciais de conta corporativa ou de estudante para acesso Selecione Exigir para exigir que o usuário entre com sua conta corporativa ou de estudante em vez de inserir um PIN para acesso ao aplicativo. Se você definir isso como Exigir e prompts de PIN ou biometria estiverem ativados, tanto as credenciais corporativas quanto os prompts de PIN ou biometria serão exibidos. Não obrigatório
Verificar novamente os requisitos de acesso após (minutos de inatividade) Configure o número de minutos de inatividade que deve decorrer antes de o aplicativo requisitar ao usuário que especifique novamente os requisitos de acesso.

Por exemplo, um administrador ativa o PIN e Bloqueia dispositivos rooting na política, um utilizador abre uma aplicação gerida Intune, tem de introduzir um PIN e tem de estar a utilizar a aplicação num dispositivo nãorotado. Ao utilizar esta definição, o utilizador não teria de introduzir um PIN ou submeter-se a outro marcar de deteção de raiz em qualquer aplicação gerida Intune durante um período de tempo igual ao valor configurado.

Nota:no iOS/iPadOS, o PIN é partilhado entre todas as aplicações geridas Intune do mesmo publicador. O temporizador de PIN para um PIN específico é reposto assim que a aplicação sair do primeiro plano do dispositivo. O utilizador não teria de introduzir um PIN em nenhuma aplicação gerida Intune que partilhe o PIN durante o tempo limite definido nesta definição. Este formato de definição de política suporta um número inteiro positivo.
30

Observação

Para saber mais sobre como diversas configurações de Proteção de Aplicativo do Intune configuradas na seção Acesso para o mesmo conjunto de usuários e aplicativos funcionam no iOS/iPadOS, confira Perguntas frequentes sobre o MAM e a proteção do aplicativo e Apagar dados seletivamente usando ações de acesso da política de Proteção de Aplicativo no Intune.

Inicialização condicional

Defina as configurações de inicialização condicional para definir os requisitos de segurança de entrada para sua política de proteção de acesso.

Por padrão, várias configurações são fornecidas com ações e valores previamente configurados. Você pode excluir alguns deles, como a versão mínima do sistema operacional. Você também pode selecionar configurações adicionais na lista suspensa Selecionar um.

Setting Como usar
Versão máxima do sistema operacional Especifique um sistema operacional iOS/iPadOS máximo para usar este aplicativo.

Ações incluem:

  • Aviso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o usuário verá uma notificação. Essa notificação pode ser descartada.
  • Bloquear acesso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o acesso do usuário será bloqueado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Nota:requer que a aplicação tenha Intune versão 14.4.0 ou superior do SDK.
Versão mínima do sistema operacional Especifique um sistema operacional iOS/iPadOS mínimo para usar este aplicativo.

Ações incluem:

  • Aviso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o usuário verá uma notificação. Essa notificação pode ser descartada.
  • Bloquear acesso – se a versão do iOS/iPadOS no dispositivo não atender ao requisito, o acesso do usuário será bloqueado.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esse formato de configuração de política oferece suporte major.minor, major.minor.build, major.minor.build.revision.

Nota:requer que a aplicação tenha Intune versão 7.0.1 ou superior do SDK.
Máximo de tentativas de PIN Especifique o número de tentativas que o usuário tem para inserir o PIN com êxito antes da ação configurada. Se o usuário não conseguir inserir o PIN com êxito após as tentativas máximas de PIN, ele deverá redefinir o PIN após fazer logon com êxito em sua conta e concluir um desafio de MFA (Autenticação Multifator), se necessário. Esse formato de configuração de política dá suporte a um número inteiro positivo.

Ações incluem:

  • Redefinir o PIN – o usuário precisa redefinir o PIN.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Valor padrão = 5
Período de cortesia offline O número de minutos que aplicativos gerenciados por políticas podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente.

Ações incluem:

  • Bloquear acesso (minutos) – o número de minutos que aplicativos gerenciados por políticas podem ser executados offline. Especifique o tempo (em minutos) antes que os requisitos de acesso ao aplicativo sejam verificados novamente. Quando o período configurado expirar, o aplicativo bloqueará o acesso aos dados da escola ou do trabalho, até que o acesso à rede esteja disponível. O temporizador do período de tolerância Offline para bloquear o acesso a dados é calculado individualmente para cada aplicação com base no último marcar com o serviço Intune. Esse formato de configuração de política é compatível com um número inteiro positivo.

    Valor predefinido = 1440 minutos (24 horas)

    Nota: Configurar o temporizador do período de tolerância Offline para bloquear o acesso para ser inferior ao valor predefinido pode resultar em interrupções mais frequentes do utilizador à medida que a política é atualizada. Escolher um valor inferior a 30 minutos não é recomendado, uma vez que pode resultar em interrupções do utilizador em cada iniciação ou retoma da aplicação.

    Nota: Parar a atualização da política de período de tolerância Offline, incluindo fechar ou suspender a aplicação, resultará na interrupção do utilizador na próxima iniciação ou retoma da aplicação.

  • Limpar dados (dias) – após este número de dias (definido pelo administrador) de execução offline, o aplicativo exigirá que o usuário se conecte à rede e realize a autenticação novamente. Se o usuário for autenticado com êxito, ele poderá continuar a acessar seus dados e o intervalo offline será redefinido. Se a autenticação do usuário falhar, o aplicativo realizará um apagamento seletivo dos dados e da conta do usuário. Consulte Como apagar somente dados corporativos de aplicativos gerenciados pelo Intune para obter mais informações sobre quais dados são removidos com um apagamento seletivo. O temporizador do período de cortesia offline para apagar dados é calculado individualmente para cada aplicativo com base no último check-in com o serviço do Intune. Esse formato de configuração de política dá suporte a um número inteiro positivo.

    Valor padrão = 90 dias
Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Dispositivos com jailbreak/desbloqueados por rooting Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear acesso – impeça que esse aplicativo seja executado em dispositivos com jailbreak ou desbloqueados por rooting. O usuário continuará podendo usar esse aplicativo para tarefas pessoais, mas deverá usar um dispositivo diferente para acessar dados corporativos ou de estudante nesse aplicativo.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Conta desabilitada Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear o acesso – quando confirmamos que o utilizador foi desativado no Microsoft Entra ID, a aplicação bloqueia o acesso aos dados escolares ou profissionais.
  • Apagar dados – quando tivermos confirmado que o utilizador foi desativado no Microsoft Entra ID, a aplicação efetuará uma eliminação seletiva da conta e dos dados dos utilizadores.
Versão mínima do aplicativo Especifique um valor para o valor mínimo da versão do aplicativo.

Ações incluem:

  • Aviso – o usuário vê uma notificação se a versão do aplicativo no dispositivo não atende ao requisito. Essa notificação pode ser descartada.
  • Bloquear acesso – o usuário tem o acesso bloqueado se a versão do aplicativo no dispositivo não atende ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Como os aplicativos geralmente têm esquemas de controle de versão diferentes entre si, crie uma política com uma versão mínima de aplicativo que direciona um aplicativo (por exemplo, política de versão do Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.

Esta definição de política suporta formatos de versão do pacote de aplicações iOS correspondentes (major.minor ou major.minor.patch).

Nota:requer que a aplicação tenha Intune versão 7.0.1 ou superior do SDK.

Além disso, configure em que local os usuários finais podem obter uma versão atualizada de um aplicativo LOB (linha de negócios). Os usuários finais verão isso na caixa de diálogo de inicialização condicional Versão mínima do aplicativo, que solicitará que os usuários finais façam a atualização para uma versão mínima do aplicativo LOB. No iOS/iPadOS, esta funcionalidade requer que a aplicação seja integrada (ou encapsulada com a ferramenta de encapsulamento) com o SDK Intune para iOS v. 10.0.7 ou superior. Para configurar o local em que um usuário final deve atualizar um aplicativo LOB, o aplicativo precisa que uma política de configuração de aplicativos gerenciados seja enviada a ele com a chave, com.microsoft.intune.myappstore. O valor enviado define de qual repositório o usuário final baixará o aplicativo. Se o aplicativo for implantado por meio do Portal da Empresa, o valor deverá ser CompanyPortal. Para qualquer outro repositório, você deverá inserir uma URL completa.
Versão mínima do SDK Especifique um valor mínimo para a versão do SDK do Intune.

Ações incluem:

  • Bloquear acesso – o usuário terá o acesso bloqueado se a versão do SDK da política de Proteção de Aplicativo do Intune do aplicativo não atender ao requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
  • Avisar – o utilizador verá uma notificação se a versão do SDK para iOS/iPadOS da aplicação não cumprir o requisito mínimo do SDK. O utilizador será instruído a atualizar para a versão mais recente da aplicação. Essa notificação pode ser descartada.
Para saber mais sobre o SDK de política de proteção de aplicativo do Intune, veja Visão geral do SDK de aplicativo do Intune. Como os aplicativos geralmente têm versões diferentes do SDK do Intune entre si, crie uma política com uma versão mínima do SDK do Intune direcionada a um aplicativo (por exemplo, política de versão do SDK do Intune para Outlook).

Essa entrada pode aparecer várias vezes, com cada instância dando suporte a uma ação diferente.
Modelos de dispositivo Especifique uma lista de identificadores de modelo separados por ponto e vírgula. Estes valores não são sensíveis a maiúsculas e minúsculas.

Ações incluem:

  • Permitir especificado (bloquear não especificados) – somente dispositivos que correspondam ao modelo de dispositivo especificado podem usar o aplicativo. Todos os outros modelos de dispositivo são bloqueados.
  • Permitir especificado (apagamento não especificado) – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Para obter mais informações sobre como aplicar essa configuração, confira o tópico Ações de inicialização condicional.
Nível máximo permitido de ameaça ao dispositivo As políticas de proteção do aplicativo podem aproveitar o conector Intune-MTD. Especifique um nível máximo de ameaça aceitável para usar este aplicativo. As ameaças serão determinadas pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) que você escolher no dispositivo do usuário final. Especifique Protegido, Baixo, Médio ou Alto. Protegido exige que não haja ameaças no dispositivo e é o valor configurável mais restritivo, enquanto Alto basicamente requer uma conexão ativa do Intune com o MTD.

Ações incluem:

  • Bloquear acesso – o usuário será impedido de acessar se o nível de ameaça determinado pelo aplicativo do fornecedor de MTD (Defesa contra Ameaças Móveis) no dispositivo do usuário final não atender a esse requisito.
  • Apagar dados – a conta de usuário associada ao aplicativo é apagada do dispositivo.
Nota:requer que a aplicação tenha Intune versão 12.0.15 ou superior do SDK.

Para obter mais informações sobre como usar essa configuração, confira Habilitar MTD para dispositivos não registrados.
Serviço MTD principal Se tiver configurado vários conectores Intune MTD, especifique a aplicação principal do fornecedor mtd que deve ser utilizada no dispositivo do utilizador final.

Os valores incluem:

  • Microsoft Defender para Ponto de Extremidade - se o conector MTD estiver configurado, especifique Microsoft Defender para Ponto de Extremidade fornecerá as informações do nível de ameaça do dispositivo.
  • Defesa Contra Ameaças para Dispositivos Móveis (Não Microsoft) – se o conector MTD estiver configurado, especifique que o MTD não Microsoft fornecerá as informações de nível de ameaça do dispositivo.

Tem de configurar a definição "Nível máximo de ameaça de dispositivo permitido" para utilizar esta definição.

Não existem Ações para esta definição.

Tempo de descanso Não há valor a ser definido para essa configuração.

Ações incluem:

  • Bloquear o acesso – o acesso do utilizador é bloqueado porque a conta de utilizador associada à aplicação está em tempo útil.
  • Avisar – o utilizador vê uma notificação se a conta de utilizador associada à aplicação estiver em tempo de descanso. A notificação pode ser dispensada.
Nota: esta definição só tem de ser configurada se o inquilino tiver sido integrado com a API de Tempo Útil. Para obter mais informações sobre como integrar esta definição com a API de Tempo Útil, consulte Limitar o acesso ao Microsoft Teams quando os trabalhadores de primeira linha estão fora do turno. Configurar esta definição sem integrar com a API de Tempo Útil pode fazer com que as contas possam ser bloqueadas devido à falta de tempo útil status para a conta gerida associada à aplicação.

As seguintes aplicações suportam esta funcionalidade:

  • Teams para iOS v6.9.2 ou posterior
  • Edge para iOS v126.2592.56 ou posterior

Saiba mais