Perguntas frequentes sobre o MAM e a proteção do aplicativo

Descrição Geral da MAM

Políticas de proteção do aplicativo são regras que garantem que os dados de uma organização permanecem seguros ou contidos em um aplicativo gerenciado. Uma política é uma regra que o Intune impõe quando o utilizador tenta aceder ou mover dados "empresariais". Também pode definir ações que o Intune bloqueia ou monitoriza enquanto o utilizador está na aplicação.

Para obter detalhes sobre cada definição de política de proteção de aplicações, consulte Definições de política de proteção de aplicações android e definições de política de proteção de aplicações iOS/iPadOS.

Se aplicar uma política de MAM ao utilizador sem definir o estado de gestão de dispositivos, o utilizador obtém a política de MAM em ambos os dispositivos pessoais, também conhecidos como BYOD (bring your own device) e dispositivo gerido pelo Intune. Também pode aplicar uma política de MAM com base no estado de gestão de dispositivos. Por isso, quando cria uma política de proteção de aplicações, junto a Direcionar para aplicações em todos os tipos de dispositivo, seleciona Não. Em seguida, escolha uma das seguintes opções:

• Aplique uma política de MAM menos rígida a dispositivos gerenciados pelo Intune e uma política de MAM mais restritiva a dispositivos não registrados no MDM.
• Aplique uma política de MAM igualmente rigorosa a dispositivos geridos pelo Intune e a dispositivos não geridos pela Microsoft.
• Aplique uma política de MAM apenas a dispositivos não registrados.

Para obter mais informações, veja Como monitorizar políticas de proteção de aplicações.

Qualquer aplicação integrada com o SDK da Aplicação do Intune ou encapsulada pela App Wrapping Tool do Intune pode ser gerida através de políticas de proteção de aplicações do Intune. Veja a lista oficial de aplicativos gerenciados pelo Intune disponíveis para uso público.

• O utilizador final tem de ter uma conta Microsoft Entra. Para obter mais informações sobre como criar utilizadores do Intune no Microsoft Entra ID, veja Adicionar utilizadores e conceder permissão administrativa ao Intune.

• O utilizador final tem de ter uma licença do Microsoft Intune atribuída à respetiva conta Microsoft Entra. Para obter mais informações sobre como atribuir licenças do Intune a utilizadores finais, veja Gerir licenças do Intune.

• O utilizador final tem de pertencer a um grupo de segurança visado por uma política de proteção de aplicações. A mesma política de proteção de aplicativo deve ser aplicada ao aplicativo específico que está sendo usado. Proteção de aplicativos políticas podem ser criadas e implementadas no centro de administração do Microsoft Intune. No momento, grupos de segurança podem ser criados no centro de administração do Microsoft 365.

• O utilizador final tem de iniciar sessão na aplicação com a respetiva conta Microsoft Entra.

A equipe de desenvolvimento do SDK do Intune testa ativamente e mantém o suporte para aplicativos criados com as plataformas nativas do Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Alguns clientes integram com êxito o SDK do Intune noutras plataformas, como React Native e NativeScript. No entanto, a Microsoft não fornece orientações ou plug-ins para plataformas diferentes das suportadas.

O SDK da Aplicação do Intune pode utilizar a Biblioteca de Autenticação da Microsoft para os cenários de autenticação e iniciação condicional. Também depende da MSAL para registar a identidade do utilizador no serviço MAM para gestão sem cenários de inscrição de dispositivos.

• O utilizador final tem de ter a aplicação Outlook para dispositivos móveis instalada no respetivo dispositivo.

• O utilizador final tem de ter uma caixa de correio e uma licença do Microsoft 365 Exchange Online associadas à respetiva conta Microsoft Entra.

  Observação

  Atualmente, a aplicação Outlook para dispositivos móveis só suporta a Proteção de Aplicações do Intune para Microsoft Exchange Online e Exchange Server com autenticação moderna híbrida e não suporta o Exchange no Office 365 Dedicado.

• O utilizador final tem de ter uma licença para Microsoft 365 Apps para Pequenos e Médios negócios ou empresa associada à respetiva conta Microsoft Entra. A subscrição tem de incluir as aplicações do Office em dispositivos móveis e pode incluir uma conta de armazenamento na nuvem com armazenamento na nuvem do OneDrive e partilha de ficheiros para empresas. As licenças do Microsoft 365 podem ser atribuídas no Centro de Administração do Microsoft 365 seguindo estas instruções.

• O usuário final deve configurar um local gerenciado usando o salvamento granular como funcionalidade na configuração "Salvar cópias de dados da organização" da política de proteção do aplicativo. Por exemplo, se a localização gerida for o OneDrive, a aplicação OneDrive deve ser configurada na aplicação Word, Excel ou PowerPoint do utilizador final.

• Se o local gerenciado for o OneDrive, será necessário direcionar o aplicativo de acordo com a política de proteção do aplicativo implantada para o usuário final.

  Observação

  No momento, os aplicativos móveis do Office dão suporte apenas ao SharePoint Online e não ao SharePoint local.

O Intune marca todos os dados na aplicação como "empresariais" ou "pessoais". Os dados são considerados "empresariais" quando têm origem numa localização empresarial. Para aplicações do Office, o Intune trata o e-mail (Exchange) e o armazenamento na nuvem (OneDrive) como localizações empresariais.

Consulte os requisitos de licença do Skype for Business. Para configurações híbridas e no local do Skype for Business (SfB), veja Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB on-premises with Microsoft Entra ID (Autenticação Moderna Híbrida para SfB e Exchange goes GA) e Modern Auth para SfB no local com Microsoft Entra ID, respetivamente.

O suporte de várias identidades é a capacidade de o SDK da Aplicação Intune aplicar apenas políticas de proteção de aplicações à conta escolar ou profissional com sessão iniciada na aplicação. Se uma conta pessoal estiver conectada ao aplicativo, os dados permanecerão inalterados.

O suporte de várias identidades permite que as aplicações com audiências "empresariais" e de consumidores (ou seja, as aplicações do Office) sejam lançadas publicamente com as capacidades de proteção de aplicações do Intune para as contas "empresariais".

Uma vez que o Outlook tem uma vista de e-mail combinada de e-mails pessoais e "empresariais", a aplicação Outlook pede o PIN do Intune no lançamento.

O PIN (Número de Identificação Pessoal) é uma senha usada para verificar se o usuário correto está acessando os dados da organização em um aplicativo.

O Intune solicitará o PIN do aplicativo do usuário quando o usuário estiver prestes a acessar dados "corporativos". Em aplicações de várias identidades, como Word/Excel/PowerPoint, é pedido ao utilizador o pin quando tenta abrir um documento ou ficheiro "empresarial". Em aplicações de identidade única, como aplicações de linha de negócio geridas com a App Wrapping Tool do Intune, o PIN é solicitado no início, porque o SDK da Aplicação intune sabe que a experiência do utilizador na aplicação é sempre "empresarial".

O administrador de TI pode definir a definição de política de proteção de aplicações do Intune "Verificar novamente os requisitos de acesso após (minutos)" no centro de administração do Microsoft Intune. Esta definição especifica a quantidade de tempo antes de os requisitos de acesso serem verificados no dispositivo e o ecrã de PIN da aplicação é apresentado novamente. No entanto, são apresentados detalhes importantes sobre o PIN que afetam a frequência com que os utilizadores são solicitados:

• O PIN é partilhado entre aplicações do mesmo fabricante para melhorar a usabilidade: No iOS/iPadOS, um PIN da aplicação é partilhado entre todas as aplicações do mesmo editor de aplicações. No Android, um PIN de aplicação é partilhado entre todas as aplicações.
• O comportamento "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo: Um "temporizador de PIN" monitoriza o número de minutos de inatividade que determinam quando mostrar o PIN da aplicação Intune seguinte. No iOS/iPadOS, o temporizador do PIN não é afetado pelo reinício do dispositivo. Assim, o reinício do dispositivo não afeta o número de minutos em que o utilizador está inativo a partir de uma aplicação iOS/iPadOS com a política de PIN do Intune. No Android, o temporizador do PIN é reposto no reinício do dispositivo. Como tal, as aplicações Android com a política de PIN do Intune provavelmente pedirão um PIN da aplicação, independentemente do valor de definição "Verificar novamente os requisitos de acesso após (minutos)" após um reinício do dispositivo.
• A natureza sem interrupção do temporizador associado ao PIN: Depois de introduzir um PIN para aceder a uma aplicação (aplicação A) e a aplicação sair do primeiro plano (foco de entrada principal) no dispositivo, o temporizador do PIN é reposto para esse PIN. Qualquer aplicação (aplicação B) que partilhe este PIN não pede ao utilizador a entrada de PIN porque o temporizador foi reposto. A solicitação será exibida novamente quando o valor "Verificar novamente os requisitos de acesso após (minutos)" for atendido novamente.

Em dispositivos iOS/iPadOS, as aplicações de diferentes fabricantes podem partilhar o mesmo PIN. No entanto, quando o valor Reverificar os requisitos de acesso após (minutos) for atingido, o Intune pede ao utilizador um PIN se a aplicação não for o foco de entrada principal. Por exemplo, um usuário tem o aplicativo A do fornecedor X e o aplicativo B do fornecedor Y, e esses dois aplicativos compartilham o mesmo PIN. O usuário está concentrado no aplicativo A (primeiro plano), e o aplicativo B está minimizado. Depois que o valor Verificar novamente os requisitos de acesso após (minutos) for atendido e o usuário alternar para o aplicativo B, o PIN será necessário.

O PIN do Intune funciona com base num temporizador baseado na inatividade (o valor de "Verificar novamente os requisitos de acesso após (minutos)"). Portanto, os prompts do PIN do Intune são mostrados independentemente dos prompts do PIN do aplicativo interno do Outlook e do OneDrive, que geralmente são vinculados à inicialização do aplicativo por padrão. Se o usuário recebe ambos os prompts de PIN ao mesmo tempo, o comportamento esperado é que o PIN do Intune tenha precedência.

O PIN serve para permitir que somente o usuário correto acesse os dados de sua organização no aplicativo. Portanto, um usuário final deve entrar com sua conta corporativa ou de estudante antes de definir ou redefinir o PIN do aplicativo do Intune. Microsoft Entra ID processa esta autenticação através de uma troca de tokens segura e não é transparente para o SDK da Aplicação intune. Sob a perspectiva de segurança, a melhor maneira de proteger dados corporativos ou de estudante é criptografá-los. A encriptação não está relacionada com o PIN da aplicação, mas é a sua própria política de proteção de aplicações.

Como parte da política de PIN do aplicativo, o administrador de TI pode definir o número máximo de vezes que um usuário pode tentar autenticar seu PIN antes do bloqueio do aplicativo. Depois de o número de tentativas ser cumprido, o SDK da Aplicação Intune pode apagar os dados "empresariais" na aplicação.

A MAM no iOS/iPadOS suporta PINs ao nível da aplicação com carateres alfanuméricos e especiais (denominado código de acesso). Para impor definições de código de acesso, as aplicações como Word, Excel, PowerPoint, Outlook, Managed Browser e Yammer têm de integrar o SDK da Aplicação Intune para iOS/iPadOS. Sem esta integração, o Intune não pode impor as definições de código de acesso para essas aplicações. O Intune introduziu esta funcionalidade na versão 7.1.12 do SDK para iOS/iPadOS.

Para suportar esta funcionalidade e manter a compatibilidade com versões anteriores do SDK do Intune para iOS/iPadOS, a versão 7.1.12 e posterior processa todos os PINs (numérico ou código de acesso) separadamente do PIN numérico utilizado em versões anteriores. Por conseguinte, se um dispositivo tiver aplicações com o SDK do Intune para versões iOS/iPadOS antes da versão 7.1.12 E depois da 7.1.12 do mesmo fabricante, terá de configurar dois PINs.

Dito isto, os dois PINs (para cada aplicação) não estão relacionados de forma alguma. Têm de cumprir a política de proteção de aplicações aplicada à aplicação. Como tal, apenas se as aplicações A e B tiverem as mesmas políticas aplicadas (no que diz respeito ao PIN), o utilizador pode configurar o mesmo PIN duas vezes.

Esse comportamento é específico ao PIN em aplicativos do iOS/iPadOS habilitados com o Gerenciamento de Aplicativo Móvel do Intune. Ao longo do tempo, à medida que os aplicativos adotam versões posteriores do SDK do Intune para iOS/iPadOS, a necessidade de definir um PIN duas vezes em aplicativos do mesmo editor se torna um problema menos significativo.

Os administradores de TI podem implantar uma política de proteção do aplicativo que exige a criptografia dos dados do aplicativo. Como parte da política, o administrador de TI também pode especificar quando o conteúdo é criptografado.

O Intune encripta dados de acordo com a definição de política de proteção de aplicações para encriptação. Para obter detalhes, consulte Definições de política de proteção de aplicações android e definições de política de proteção de aplicações iOS/iPadOS.

Somente os dados marcados como “corporativos” são criptografados, de acordo com a política de proteção do aplicativo do administrador de TI. Os dados são considerados “corporativos” quando tem como origem um local da empresa. Para aplicações do Office, o Intune trata o e-mail (Exchange) e o armazenamento na nuvem (OneDrive) como localizações empresariais. Para aplicações de linha de negócio geridas pela App Wrapping Tool do Intune, todos os dados da aplicação são considerados "empresariais".

O Intune pode eliminar dados da aplicação de três formas diferentes: eliminação completa de dispositivos, eliminação seletiva para MDM e eliminação seletiva de MAM. Para obter mais informações sobre o apagamento remoto para MDM, consulte Remover dispositivos usando o apagamento ou a desativação. Para obter mais informações sobre o apagamento seletivo usando MAM, confira A ação Desativar e Como apagar apenas dados corporativos dos aplicativos.

A eliminação remove todos os dados e definições do utilizador do dispositivo ao restaurar as predefinições de fábrica do dispositivo. O dispositivo é removido do Intune.

A eliminação seletiva da MDM remove apenas os dados da empresa do dispositivo sem afetar os dados pessoais. Para obter mais informações, consulte Remover dispositivos – extinguir.

O apagamento seletivo para MAM simplesmente remove dados de aplicativo da empresa de um aplicativo. O pedido é iniciado com o centro de administração do Microsoft Intune. Para saber como iniciar uma solicitação de apagamento, confira Como remover apenas dados corporativos dos aplicativos.

Se o utilizador estiver a utilizar a aplicação quando a eliminação seletiva é iniciada, o SDK da Aplicação Intune verifica a cada 30 minutos um pedido de eliminação seletiva do serviço MAM do Intune. Ele também verifica o apagamento seletivo quando o usuário inicia o aplicativo pela primeira vez e se conecta com sua conta corporativa ou de estudante.

A proteção de aplicações do Intune depende da identidade do utilizador para ser consistente entre a aplicação e o SDK da Aplicação do Intune. A única maneira de assegurar isso é por meio da autenticação moderna. Existem cenários em que as aplicações podem funcionar com uma configuração no local, mas não são consistentes ou garantidas.

Sim! O administrador de TI pode implementar e definir a política de proteção de aplicações para a aplicação Microsoft Edge. O administrador de TI pode exigir que todas as ligações Web nas aplicações geridas pelo Intune sejam abertas através da aplicação Microsoft Edge.

Aplicativo Portal da Empresa e Proteção de Aplicativo do Intune

As políticas de proteção de aplicações do Intune para acesso são aplicadas por uma ordem específica em dispositivos de utilizador final, uma vez que tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, um bloco teria precedência e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de versão de patch mínima do Android que avisa o usuário para fazer uma atualização de patch, que será aplicada após a configuração da versão de patch mínima do Android que bloqueia o acesso do usuário. Portanto, o cenário em que o administrador de TI configura a versão de patch de Android mínima 2018-03-01 e a versão de patch de Android mínima (somente Aviso) 2018-02-01, enquanto o dispositivo tentar acessar o aplicativo estava em uma versão de patch 2018-01-01, o usuário final seria bloqueado com base a configuração mais restritiva para a versão de patch de Android mínima que resulta em acesso bloqueado.

Ao lidar com diferentes tipos de configurações, um requisito de versão do aplicativo teria precedência, seguido por um requisito de versão do sistema operacional de versão de patch do Android. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados.

O serviço intune contacta o Google Play num intervalo não configurável determinado pela carga do serviço. Qualquer ação configurada pelo administrador de TI para a integridade do dispositivo do Google Play marcar definição será tomada com base no último resultado comunicado ao serviço do Intune no momento do lançamento condicional. Se o resultado da integridade do dispositivo da Google estiver em conformidade, não é efetuada qualquer ação. Se o resultado da integridade do dispositivo da Google não estiver em conformidade, a ação configurada pelo administrador de TI é executada imediatamente. Se o pedido à integridade do dispositivo do Google Play marcar falhar por qualquer motivo, o resultado em cache do pedido anterior será utilizado durante um máximo de 24 horas ou o próximo reinício do dispositivo, que será o primeiro. Nessa altura, as Políticas de Proteção de Aplicações do Intune bloqueiam o acesso até que seja possível obter um resultado atual.

As instruções sobre como fazê-lo variam ligeiramente consoante o dispositivo. O processo geral envolve acessar a Google Play Store, clicar em Meus aplicativos e jogos e clicar no resultado do último exame de aplicativo que o levará até o menu do Play Protect. Verifique se Examinar no dispositivo se há ameaças à segurança está ativado.

O Intune aplica as APIs de Integridade do Google Play para adicionar às nossas verificações de deteção de raiz existentes para dispositivos não inscritos. A Google desenvolveu e manteve este conjunto de API para as aplicações Android adotarem se não quiserem que as suas aplicações sejam executadas em dispositivos rooting. A aplicação Android Pay incorporou isto, por exemplo. Embora a Google não partilhe publicamente a totalidade das verificações de deteção de raiz que ocorrem, esperamos que estas APIs detetem utilizadores que tenham rooting nos seus dispositivos. Esses usuários podem ter o acesso bloqueado ou suas contas corporativas podem ser apagadas dos aplicativos habilitados por política. "Verificar integridade básica" informa-o sobre a integridade geral do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. "Verificar a integridade básica & dispositivos certificados" informa-o sobre a compatibilidade do dispositivo com os serviços da Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. Os dispositivos que falham incluem:

• dispositivos que apresentam falha na integridade básica
• dispositivos com um carregador de inicialização desbloqueado
• Dispositivos com uma imagem/ROM do sistema personalizada
• Dispositivos para os quais o fabricante não se candidatou ou passou na certificação Google
• Dispositivos com uma imagem do sistema criada diretamente de arquivos de origem do Programa de Software Livre do Android
• dispositivos com uma imagem do sistema de versão prévia beta/do desenvolvedor

Veja a documentação da Google sobre a API de Integridade do Jogo para obter detalhes técnicos.

As verificações da API de Integridade do Google Play exigem que o utilizador final esteja online, pelo menos durante o período em que a "ida e volta" para determinar os resultados do atestado é executada. Se o utilizador final estiver offline, o administrador de TI ainda pode esperar que um resultado seja imposto a partir da definição "dispositivos desbloqueados por jailbreak/rooting". Dito isto, se o utilizador final estiver offline há demasiado tempo, o valor "Período de tolerância offline" entra em jogo e todo o acesso aos dados escolares ou profissionais é bloqueado assim que esse valor de temporizador for atingido, até que o acesso à rede esteja disponível. Ativar ambas as definições permite uma abordagem em camadas para manter os dispositivos do utilizador final em bom estado de funcionamento, o que é importante quando os utilizadores finais acedem a dados escolares ou profissionais em dispositivos móveis.

Tanto as definições "Reproduzir veredicto de integridade" como "Análise de ameaças nas aplicações" requerem que a versão determinada pela Google dos Serviços do Google Play funcione corretamente. Uma vez que se tratam de definições que se enquadram na área de segurança, o utilizador final é bloqueado se for visado por estas definições e não estiver a cumprir a versão adequada do Google Play Services ou não tiver acesso ao Google Play Services.

As políticas de Proteção de Aplicativo do Intune permitem controlar o acesso do aplicativo somente para o usuário licenciado do Intune. Uma das maneiras de controlar o acesso ao aplicativo é exigir uma Touch ID ou a Face ID da Apple em dispositivos com suporte. O Intune implementa um comportamento em que, se houver alguma alteração na base de dados biométrica do dispositivo, o Intune pede ao utilizador um PIN quando o próximo valor de tempo limite de inatividade for cumprido. As alterações aos dados biométricos incluem a adição ou a remoção de uma impressão digital ou detecção facial. Se o utilizador do Intune não tiver um conjunto de PIN, será levado a configurar um PIN do Intune.

O objetivo é continuar a manter os dados da sua organização na aplicação seguros e protegidos ao nível da aplicação. Esta funcionalidade só está disponível para iOS/iPadOS e requer a participação de aplicações que integram o SDK da APLICAÇÃO do Intune para iOS/iPadOS, versão 9.0.1 ou posterior. A integração do SDK é necessária para que o comportamento possa ser aplicado aos aplicativos de destino. Essa integração ocorre sem interrupção, e depende de equipes do aplicativo específico. Alguns aplicativos que participam incluem WXP, Outlook, Managed Browser e Yammer.

A política de proteção de aplicações do Intune não consegue controlar a extensão de partilha do iOS sem gerir o dispositivo. Por conseguinte, o Intune encripta dados "empresariais" antes de serem partilhados fora da aplicação. Pode validar esta situação ao tentar abrir o ficheiro "empresarial" fora da aplicação gerida. O arquivo deve ser criptografado e não pode ser aberto fora do aplicativo gerenciado.

As políticas de proteção de aplicações do Intune para acesso serão aplicadas por uma ordem específica nos dispositivos dos utilizadores finais enquanto tentam aceder a uma aplicação de destino a partir da respetiva conta empresarial. Em geral, uma eliminação teria precedência, seguida de um bloqueio e, em seguida, um aviso dispensável. Por exemplo, se aplicável ao usuário/aplicativo em questão, uma configuração de sistema operacional mínima do iOS/iPadOS que avisa o usuário para atualizar a versão de iOS/iPadOS, que será aplicada após a configuração de sistema operacional mínima do iOS/iPadOS que bloqueia o acesso do usuário. Assim, no cenário em que o administrador de TI configura o sistema operativo iOS/iPadOS mínimo para 11.0.0.0 e o sistema operativo iOS/iPadOS mínimo (apenas aviso) para 11.1.0.0, enquanto o dispositivo que tentava aceder à aplicação estava no iOS/iPadOS 10, o utilizador final seria bloqueado com base na definição mais restritiva para a versão mínima do sistema operativo iOS/iPadOS que resulta num acesso bloqueado.

Ao lidar com diferentes tipos de definições, um requisito de versão do SDK da Aplicação Intune teria precedência e, em seguida, um requisito de versão da aplicação, seguido do requisito de versão do sistema operativo iOS/iPadOS. Em seguida, os avisos para todos os tipos de configurações na mesma ordem são verificados. Recomendamos que o requisito de versão do SDK da Aplicação Intune seja configurado apenas após a orientação da equipa de produtos do Intune para cenários de bloqueio essenciais.

Confira também

• Implantar o Intune
• Criar um plano de distribuição
• Definições de política de gestão de aplicações móveis android no Microsoft Intune
• Definições de política de gestão de aplicações móveis iOS/iPadOS
• atualização da política de políticas de Proteção de aplicativos
• Validar as políticas de proteção de aplicações
• Adicionar políticas de configuração de aplicativo para aplicativos gerenciados sem registro de dispositivo
• Como obter suporte no Microsoft Intune