Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode usar uma combinação de Acesso Condicional do Microsoft Intune e do Microsoft Entra para exigir que os dispositivos dos usuários atendam aos seus requisitos de segurança específicos antes que eles possam se conectar à Área de Trabalho Virtual do Azure, ao Windows 365 e ao Microsoft Dev Box. Essa abordagem permite que você imponha requisitos de segurança para o Aplicativo Windows nos seguintes cenários:
| Plataforma do dispositivo | Gerenciamento de dispositivos do Microsoft Intune |
|---|---|
| iOS/iPadOS | Gerenciado ou não gerenciado |
| Android¹ | Gerenciado ou não gerenciado |
| Navegador da Web (somente Microsoft Edge no Windows) | Somente não gerenciado |
- Não inclui suporte para o Chrome OS.
Para obter informações sobre como usar políticas de proteção de aplicativo com dispositivos gerenciados e não gerenciados, consulte as políticas de proteção de aplicativo de destino com base no estado de gerenciamento de dispositivos.
Algumas das configurações de política que você pode impor incluem exigir um PIN, uma versão específica do sistema operacional, bloquear teclados de terceiros e restringir operações de recortar, copiar e colar entre outros aplicativos em dispositivos cliente locais. Para obter a lista completa das configurações disponíveis, consulte Inicialização condicional nas configurações de política de proteção de aplicativo do iOS e inicialização condicional nas configurações de política de proteção de aplicativo Android.
Depois de definir os requisitos de segurança, você também poderá gerenciar se, em dispositivos iOS/iPadOS e Android, seus recursos locais, como câmeras, microfones, armazenamento e área de transferência, serão redirecionados para uma sessão remota. Exigir a conformidade de segurança do dispositivo local é um pré-requisito para gerenciar as configurações de redirecionamento de dispositivo local. Para saber mais sobre como gerenciar as configurações de redirecionamento de dispositivo local, consulte Gerenciar configurações de redirecionamento de dispositivo local com o Microsoft Intune.
Em um alto nível, há duas áreas a serem configuradas:
Política de proteção de aplicativo do Intune: usada para especificar os requisitos de segurança que o aplicativo e o dispositivo cliente local devem atender. Você pode usar filtros para direcionar usuários com base em critérios específicos.
Política de acesso condicional: usada para controlar o acesso à Área de Trabalho Virtual do Azure e ao Windows 365 somente se os critérios definidos nas políticas de proteção do aplicativo forem atendidos.
Pré-requisitos
Antes de exigir a conformidade de segurança do dispositivo cliente local usando o Intune e o Acesso Condicional, você precisa:
Um pool de hosts existente com hosts de sessão ou computadores na nuvem.
Pelo menos um grupo de segurança do Microsoft Entra ID que contenha usuários aos quais se devem aplicar as políticas.
Somente para dispositivos gerenciados, você precisa adicionar cada um dos seguintes aplicativos que deseja usar ao Intune:
- Para o aplicativo do Windows para iOS/iPadOS, consulte Adicionar aplicativos da loja do iOS ao Microsoft Intune.
- Para o Microsoft Edge no Windows, consulte Adicionar o Microsoft Edge para Windows 10/11 ao Microsoft Intune.
Um dispositivo cliente local executando uma das seguintes versões do Aplicativo Windows ou usando o Aplicativo Windows no Microsoft Edge:
Aplicativo do Windows:
- iOS/iPadOS: 11.1.1 ou posterior.
- Android 1.0.0.161 ou posterior.
Microsoft Edge no Windows: 134.0.3124.51 ou posterior.
Também no dispositivo cliente local, você precisa da versão mais recente de:
- iOS/iPadOS: aplicativo Microsoft Authenticator
- Android: aplicativo Portal da Empresa, instalado no mesmo perfil que o Windows App para dispositivos pessoais. Ambos os aplicativos precisam estar em um perfil pessoal ou em um perfil de trabalho, não um em cada perfil.
Há mais pré-requisitos do Intune para configurar políticas de proteção de aplicativo e políticas de Acesso Condicional. Para obter mais informações, consulte:
Crie um filtro
Ao criar um filtro, você pode aplicar as configurações de política somente quando os critérios definidos no filtro forem correspondidos, permitindo que você restrinja o escopo de atribuição de uma política. Com o Aplicativo Windows, você pode usar os seguintes filtros:
iOS/iPadOS:
- Crie um filtro de aplicativos gerenciados para dispositivos gerenciados e não gerenciados.
- Crie um filtro para dispositivos gerenciados.
Andróide:
- Crie um filtro de aplicativos gerenciados para dispositivos gerenciados e não gerenciados.
Windows: Os filtros não são aplicáveis ao Microsoft Edge no Windows.
Use filtros para restringir o escopo de atribuição de uma política. A criação de um filtro é opcional; se você não configurar um filtro, as mesmas configurações de conformidade de segurança do dispositivo e redirecionamento de dispositivo se aplicam a um usuário, independentemente de estarem em um dispositivo gerenciado ou não. O que você especifica em um filtro depende de seus requisitos.
Para saber mais sobre filtros e como criá-los, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis no Microsoft Intune e propriedades de filtro de aplicativo gerenciado.
Criar uma política de proteção de aplicativos
As políticas de proteção de aplicativo permitem controlar como aplicativos e dispositivos acessam e compartilham dados. Você precisa criar uma política de proteção de aplicativo separada para iOS/iPadOS, Android e Microsoft Edge no Windows. Não configure o iOS/iPadOS e o Android na mesma política de proteção de aplicativo que você não consegue configurar o direcionamento de política com base em dispositivos gerenciados e não gerenciados.
Selecione a guia relevante.
Para criar e aplicar uma política de proteção de aplicativo, siga as etapas em Como criar e atribuir políticas de proteção de aplicativo e usar as seguintes configurações:
Crie uma política de proteção de aplicativo para iOS/iPadOS.
Na guia Aplicativos , selecione Selecionar aplicativos públicos, pesquise e selecione o Aplicativo Windows e selecione Selecionar.
Na guia Proteção de dados , somente as configurações a seguir são relevantes para o Aplicativo do Windows. As outras configurações não se aplicam à medida que o Windows App interage com o host da sessão e não com os dados no aplicativo. Teclados não aprovados em dispositivos móveis são uma fonte de registro de pressionamento de teclas e roubo de dados.
Você pode configurar as seguintes definições:
Parâmetro Valor/Descrição Transferência de dados Enviar dados da organização para outras aplicações Defina como Nenhum para habilitar a proteção de captura de tela. Para obter mais informações sobre a proteção de captura de tela na Área de Trabalho Virtual do Azure, consulte Habilitar proteção de captura de tela na Área de Trabalho Virtual do Azure. Restringir recortar, copiar e colar entre outros aplicativos Defina como Bloqueado e desabilite o redirecionamento da área de transferência entre o aplicativo do Windows e o dispositivo local. Use com a desabilitação do redirecionamento da área de transferência em uma política de configuração de aplicativo. Teclados de terceiros Definido como Bloqueado para bloquear teclados de terceiros. Na guia Inicialização condicional, recomendamos que você adicione as seguintes condições:
Condição Tipo de condição Valor Ação Versão mínima do aplicativo Condição do aplicativo Com base em seus requisitos. Insira um número de versão para o aplicativo Windows no iOS/iPadOS Bloquear acesso Versão mínima do sistema operacional Condição do dispositivo Com base em seus requisitos. Bloquear acesso Serviço de MTD primário Condição do dispositivo Com base em seus requisitos.
Seu conector MTD deve ser configurado. Para o Microsoft Defender para Ponto de Extremidade, configure o Microsoft Defender para Ponto de Extremidade no Intune.Bloquear acesso Nível máximo permitido de ameaça ao dispositivo Condição do dispositivo Protegido Bloquear acesso Para obter mais informações sobre as configurações disponíveis, consulte Inicialização condicional nas configurações de política de proteção de aplicativo do iOS.
Na guia Atribuições , atribua a política ao grupo de segurança que contém os usuários aos quais você deseja aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.
Criar uma política de Acesso Condicional
Uma política de Acesso Condicional permite controlar o acesso à Área de Trabalho Virtual do Azure, ao Windows 365 e ao Microsoft Dev Box com base em critérios específicos do usuário que está se conectando e do dispositivo que está usando. Recomendamos que você crie várias políticas de Acesso Condicional para obter cenários granulares com base em seus requisitos. Algumas políticas de exemplo estão nas seções a seguir.
Importante
Considere cuidadosamente o intervalo de serviços de nuvem, dispositivos e versões do Aplicativo Windows que você deseja que seus usuários possam usar. Estes exemplos de políticas de Acesso Condicional não abrangem todos os cenários e você precisa ter cuidado para não bloquear inadvertidamente o acesso. Você deve criar políticas e ajustar as configurações com base em seus requisitos.
Para criar e aplicar uma política de Acesso Condicional, siga as etapas em Configurar políticas de Acesso Condicional baseadas em aplicativo com o Intune e use as informações e as configurações nos exemplos a seguir.
Exemplo 1: permitir o acesso somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo windows
Este exemplo permite o acesso somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo Windows:
Para Atribuições, em usuários ou identidades de carga de trabalho, selecione 0 usuários ou identidades de carga de trabalho selecionadas e, em seguida, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito.
Para recursos de destino, selecione para aplicar a política a Recursos e, em seguida, para Incluir, selecione Selecionar recursos. Pesquise e selecione os recursos a seguir. Você só terá esses recursos se tiver registrado o serviço relevante em seu locatário.
Nome do recurso ID do aplicativo Anotações Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Em vez disso, pode ser chamado de Área de Trabalho Virtual do Windows . Verifique com a ID do aplicativo. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Também se aplica ao Microsoft Dev Box. Logon na Nuvem do Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponível quando um dos outros serviços é registrado. Para Condições:
- Selecione Plataformas de dispositivo, para Configurar, selecioneSim, em Incluir, selecione Selecionar plataformas de dispositivo e verifique o iOS e o Android.
- Selecione aplicativos cliente, para configurar selecione Sim, depois marque Navegador e aplicativos móveis e clientes de desktop.
Para controles de acesso, em Conceder acesso, selecione 0 controles selecionados, selecione a caixa Exigir política de proteção do aplicativo e selecione o botão de opção Exigir todos os controles selecionados.
Para Habilitar política, defina-o como Habilitado.
Exemplo 2: Exigir uma política de proteção de aplicativo para dispositivos Windows
Este exemplo limita dispositivos Windows pessoais não gerenciados a usar o Microsoft Edge para acessar uma sessão remota usando o Aplicativo Windows somente em um navegador da Web. Para obter mais detalhes sobre esse cenário, consulte Exigir política de proteção de aplicativo para dispositivos Windows.
Para Atribuições, em usuários ou identidades de carga de trabalho, selecione 0 usuários ou identidades de carga de trabalho selecionadas e, em seguida, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito.
Para recursos de destino, selecione para aplicar a política a Recursos e, em seguida, para Incluir, selecione Selecionar recursos. Pesquise e selecione os recursos a seguir. Você só terá esses recursos se tiver registrado o serviço relevante em seu locatário.
Nome do recurso ID do aplicativo Anotações Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Em vez disso, pode ser chamado de Área de Trabalho Virtual do Windows . Verifique com a ID do aplicativo. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Também se aplica ao Microsoft Dev Box. Logon na Nuvem do Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponível quando um dos outros serviços é registrado. Para Condições:
- Selecione Plataformas de dispositivo, para Configurar, selecioneSim, em Incluir, selecione Selecionar plataformas de dispositivo e verifique o Windows.
- Selecione aplicativos cliente, para Configurar, selecioneSim e, em seguida, verifique o Navegador.
Para controles de acesso, selecione Conceder acesso, marque a caixa de seleção Exigir política de proteção do aplicativo e selecione o botão de opção Exigir um dos controles selecionados.
Para Habilitar política, defina-o como Habilitado.
Verificar a configuração
Agora que você configura o Intune e o Acesso Condicional para exigir a conformidade de segurança do dispositivo em dispositivos pessoais, você pode verificar sua configuração conectando-se a uma sessão remota. O que você deve testar depende se você configurou políticas a serem aplicadas a dispositivos registrados ou não registrados, quais plataformas e configurações de proteção de dados você definiu. Verifique se você só pode executar as ações que você pode executar correspondem ao esperado.