Gerenciar as configurações de redirecionamento de aplicativo do Windows com o Microsoft Intune

Você pode gerenciar se recursos locais, como câmeras, microfones, armazenamento e área de transferência, são redirecionados para uma sessão remota da Área de Trabalho Virtual do Azure, do Windows 365 e do Microsoft Dev Box. Antes de fazer isso, exigir a conformidade de segurança do dispositivo local é um pré-requisito para gerenciar as configurações de redirecionamento de dispositivo local. Para obter mais informações, consulte Exigir conformidade de segurança do dispositivo cliente local com o Microsoft Intune e o Acesso Condicional do Microsoft Entra.

Em um alto nível, você gerencia as configurações de redirecionamento para o Aplicativo Windows em um dispositivo cliente usando políticas de configuração de aplicativo do Intune. Essas políticas funcionam junto com as políticas de proteção de aplicativo do Intune e as políticas de Acesso Condicional que já foram configuradas ao exigir a conformidade de segurança do dispositivo cliente local. Você pode usar filtros para direcionar usuários e dispositivos com base em critérios específicos.

Quando combinado com a exigência de conformidade de segurança do dispositivo local, você pode obter os seguintes cenários:

Aplique as configurações de redirecionamento em um nível mais granular com base nos critérios especificados. Por exemplo, talvez você queira ter configurações diferentes dependendo do grupo de segurança em que um usuário está, do sistema operacional do dispositivo que está usando ou se os usuários usam dispositivos corporativos e pessoais para acessar uma sessão remota.
Forneça uma camada extra de proteção contra o redirecionamento configurado incorretamente no pool de hosts ou host de sessão.
Aplique configurações de segurança extras ao Aplicativo do Windows e ao aplicativo da Área de Trabalho Remota, como, exija um PIN, bloqueie teclados de terceiros e restrinja operações de recortar, copiar e colar entre outros aplicativos no dispositivo cliente.

Se as configurações de redirecionamento em um dispositivo cliente entrarem em conflito com as propriedades RDP do pool de host e o host de sessão da Área de Trabalho Virtual do Azure ou do PC de Nuvem para Windows 365, a configuração mais restritiva entre os dois entrará em vigor. Por exemplo, se o host de sessão não permitir o redirecionamento da unidade e o dispositivo cliente permitindo o redirecionamento da unidade, o redirecionamento da unidade não será permitido. Se as configurações de redirecionamento no host de sessão e no dispositivo cliente forem as mesmas, o comportamento de redirecionamento será consistente.

Importante

Definir as configurações de redirecionamento em um dispositivo cliente não substitui a configuração correta de pools de host e hosts de sessão com base em seus requisitos. Usar o Microsoft Intune para configurar o Windows App e o aplicativo de Área de Trabalho Remota pode não ser adequado para cargas de trabalho que exigem um nível mais alto de segurança.

As cargas de trabalho com requisitos de segurança mais altos devem continuar a definir o redirecionamento no pool de hosts ou no host de sessão, em que todos os usuários do pool de hosts teriam a mesma configuração de redirecionamento. Uma solução DLP (Proteção contra Perda de Dados) é recomendada e o redirecionamento deve ser desabilitado em hosts de sessão sempre que possível para minimizar as oportunidades de perda de dados.

Cenário de exemplo

Aqui está um cenário de exemplo em que usuários em um grupo têm permissão para redirecionar a unidade ao se conectarem em seu dispositivo corporativo Windows, mas o redirecionamento de unidade não é permitido em seus dispositivos corporativos iOS/iPadOS ou Android.

Os valores especificados em filtros e políticas dependem de seus requisitos, portanto, você precisa determinar o que é melhor para sua organização.

Para alcançar este cenário:

Verifique se as configurações de hosts de sessão e pools de host, PCs na nuvem ou computadores de desenvolvimento estão definidas para permitir o redirecionamento da unidade.
Crie dois filtros:
1. Um para aplicativos gerenciados para dispositivos iOS/iPadOS gerenciados.
2. Um para aplicativos gerenciados para dispositivos Android gerenciados.
Crie duas políticas de proteção de aplicativo, uma para iOS/iPadOS e outra para Android.
Crie três políticas de configuração de aplicativo:
1. iOS/iPadOS:
  1. Uma política de dispositivos gerenciados para identificar a conta de usuário inscrita e o identificador do dispositivo.
  2. Uma política de aplicativos gerenciados com redirecionamento de unidade desabilitado. Atribua o filtro para iOS/iPadOS criado na etapa 2.
2. Android: um para aplicativos gerenciados para dispositivos Android com redirecionamento de unidade desabilitado. Atribua o filtro para Android criado na etapa 2.

Pré-requisitos

Antes de definir as configurações de redirecionamento em um dispositivo cliente local usando o Intune e o Acesso Condicional, você precisa:

Para concluir as etapas em Exigir conformidade de segurança do dispositivo cliente local com o Microsoft Intune e o Microsoft Entra Conditional Access. Todos os pré-requisitos nesse artigo também se aplicam a este artigo.
Há mais pré-requisitos do Intune para configurar políticas de proteção de aplicativo e políticas de Acesso Condicional. Para obter mais informações, consulte:
- Usar políticas de Acesso Condicional baseadas em aplicativo com o Intune.

Criar uma política de configuração de aplicativo para dispositivos gerenciados iOS/iPadOS

Para dispositivos iOS/iPadOS gerenciados apenas, você precisa criar uma política de configuração de aplicativo para dispositivos gerenciados para o Aplicativo Windows. Esta etapa não é necessária para o Android.

Importante

Para iOS/iPadOS, para que o tipo de Gerenciamento de Dispositivos seja imposto a dispositivos gerenciados do Intune, são necessárias configurações extras de configuração de aplicativo. Para obter mais informações, consulte os tipos de Gerenciamento de Dispositivos.

A partir da versão de serviço de setembro (2409) do Intune, os valores de configuração do aplicativo IntuneMAMUPN, IntuneMAMOID e IntuneMAMDeviceID são enviados automaticamente para aplicativos gerenciados em dispositivos iOS/iPadOS registrados no Intune para determinados aplicativos, incluindo o Windows App.

Para criar e aplicar uma política de configuração de aplicativo para dispositivos gerenciados, siga as etapas em Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados e use as seguintes configurações:

Na guia Noções básicas , para o aplicativo de destino, selecione o Windows App Mobile na lista. Você precisa ter adicionado o aplicativo ao Intune da App Store para que ele seja exibido nesta lista.
Na guia Configurações, e na lista suspensa Formato das configurações, selecione Usar o designer de configuração e insira as seguintes configurações exatamente como mostrado:

Chave de configuração Tipo de valor Valor de configuração

IntuneMAMUPN fio {{userprincipalname}}

IntuneMAMOID fio {{userid}}

IntuneMAMDeviceID fio {{deviceID}}
Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.

Chave de configuração	Tipo de valor	Valor de configuração
`IntuneMAMUPN`	fio	`{{userprincipalname}}`
`IntuneMAMOID`	fio	`{{userid}}`
`IntuneMAMDeviceID`	fio	`{{deviceID}}`

Criar uma política de configuração de aplicativo para aplicativos gerenciados

Recomendamos que você crie uma política de configuração de aplicativo separada para aplicativos gerenciados para iOS/iPadOS e Android, pois os recursos de política de configuração de aplicativo podem mudar ao longo do tempo entre as plataformas.

Crie políticas extras de configuração de aplicativo conforme necessário se os requisitos de redirecionamento do dispositivo forem diferentes entre grupos de usuários. Por exemplo, bloquear o redirecionamento de unidade para usuários de Finanças e bloquear o redirecionamento de unidade e área de transferência para usuários de Marketing.

Para criar e aplicar uma política de configuração de aplicativo para aplicativos gerenciados, siga as etapas em Políticas de configuração de aplicativo para aplicativos gerenciados do SDK de Aplicativo do Intune e use as seguintes configurações:

Na guia Noções básicas , selecione Selecionar aplicativos públicos, pesquise e selecione o Aplicativo windows e selecione Selecionar. Somente para Android, se o aplicativo Windows ainda não aparecer para você, insira Área de Trabalho Remota. Isso ocorre devido ao tempo de implantação do Intune. Ambos os aplicativos usam a mesma ID com.microsoft.rdc.androidxde pacote, portanto, as políticas de configuração de aplicativo se aplicam a ambos os aplicativos, independentemente do nome do aplicativo que você vê no console do Intune.

Na guia Configurações, expanda Configurações gerais de configuraçãoe insira os seguintes pares de nome e valor para cada configuração de redirecionamento que você deseja definir exatamente como mostrado. Esses valores correspondem às propriedades RDP listadas em propriedades RDP com suporte, mas a sintaxe é diferente:

Nome	Descrição	Valor
`audiocapturemode`	Indica se o redirecionamento da entrada de áudio está habilitado.	`0`: a captura de áudio do dispositivo local está desabilitada. `1`: a captura de áudio do dispositivo local e o redirecionamento para um aplicativo de áudio na sessão remota estão habilitados.
`camerastoredirect`	Determina se o redirecionamento da câmera está habilitado.	`0`: o redirecionamento da câmera está desabilitado. `1`: o redirecionamento da câmera está habilitado
`drivestoredirect`	Determina se o redirecionamento da unidade de disco está habilitado.	`0`: o redirecionamento da unidade de disco está desabilitado. `1`: o redirecionamento da unidade de disco está habilitado.
`redirectclipboard`	Determina se o redirecionamento de área de transferência fica habilitado.	`0`: o redirecionamento da área de transferência no dispositivo local está desabilitado na sessão remota. `1`: o redirecionamento da área de transferência no dispositivo local está habilitado na sessão remota.

Veja um exemplo de como as configurações devem ser:

Uma captura de tela mostrando pares de nomes e valores de redirecionamento no Intune.

Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política tenha efeito. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.

Verificar a configuração

Agora que você configurou o Intune e o Acesso Condicional para gerenciar o redirecionamento de dispositivos para o Aplicativo Windows, verifique se a configuração de redirecionamento funciona conforme o esperado, conectando-se a uma sessão remota. Você deve verificar em um dispositivo gerenciado e/ou não gerenciado para cada plataforma, dependendo das políticas configuradas.

Comentários

Esta página foi útil?

Last updated on 2025-05-30