Gerenciar configurações de redirecionamento de aplicativos Windows com o Microsoft Intune

Você pode gerenciar se recursos locais, como câmeras, microfones, armazenamento e área de transferência, são redirecionados para uma sessão remota da Área de Trabalho Virtual do Azure, Windows 365 e Microsoft Dev Box. Antes de fazer isso, exigir conformidade com a segurança do dispositivo local é um pré-requisito para gerenciar as configurações de redirecionamento do dispositivo local. Para obter mais informações, consulte Exigir conformidade de segurança do dispositivo cliente local com o Microsoft Intune e o Acesso Condicional do Microsoft Entra.

Em um alto nível, você gerencia as configurações de redirecionamento para o Aplicativo do Windows em um dispositivo cliente usando as políticas de configuração do aplicativo do Intune. Estas políticas funcionam em conjunto com as políticas de proteção de aplicações do Intune e as políticas de Acesso Condicional que já estavam configuradas quando exigiam conformidade com a segurança do dispositivo cliente local. Você pode usar filtros para segmentar usuários e dispositivos com base em critérios específicos.

Quando combinado com a exigência de conformidade de segurança do dispositivo local, você pode obter os seguintes cenários:

Aplique configurações de redirecionamento em um nível mais granular com base nos critérios especificados. Por exemplo, talvez você queira ter configurações diferentes dependendo do grupo de segurança em que um usuário está, do sistema operacional do dispositivo que está usando ou se os usuários usam dispositivos corporativos e pessoais para acessar uma sessão remota.
Forneça uma camada extra de proteção contra redirecionamento mal configurado no pool de hosts ou no host de sessão.
Aplique configurações de segurança adicionais ao Aplicativo do Windows e ao aplicativo Área de Trabalho Remota, como exigir um PIN, bloquear teclados de terceiros e restringir operações de recortar, copiar e colar entre outros aplicativos no dispositivo cliente.

Se as configurações de redirecionamento em um dispositivo cliente entrarem em conflito com as propriedades RDP do pool de hosts e o host de sessão para a Área de Trabalho Virtual do Azure ou o Cloud PC para Windows 365, a configuração mais restritiva entre os dois entrará em vigor. Por exemplo, se o host da sessão não permitir o redirecionamento de unidade e o dispositivo cliente permitir o redirecionamento de unidade, o redirecionamento de unidade não será permitido. Se as configurações de redirecionamento no host da sessão e no dispositivo cliente forem as mesmas, o comportamento de redirecionamento será consistente.

Importante

Definir configurações de redirecionamento em um dispositivo cliente não substitui a configuração correta de seus pools de hosts e hosts de sessão com base em suas necessidades. Usar o Microsoft Intune para configurar o Aplicativo do Windows e o aplicativo Área de Trabalho Remota pode não ser adequado para cargas de trabalho que exigem um nível mais alto de segurança.

As cargas de trabalho com requisitos de segurança mais altos devem continuar a definir o redirecionamento no pool de hosts ou no host de sessão, onde todos os usuários do pool de hosts teriam a mesma configuração de redirecionamento. Uma solução de Proteção contra Perda de Dados (DLP) é recomendada e o redirecionamento deve ser desativado em hosts de sessão sempre que possível para minimizar as oportunidades de perda de dados.

Cenário de exemplo

Eis um exemplo de cenário em que os utilizadores de um grupo têm permissão para o redirecionamento de disco quando se ligam a partir do dispositivo empresarial Windows, mas o redirecionamento de disco não é permitido nos dispositivos empresariais iOS/iPadOS ou Android.

Os valores especificados em filtros e políticas dependem de seus requisitos, portanto, você precisa determinar o que é melhor para sua organização.

Para alcançar este cenário:

Certifique-se de que as configurações dos hosts de sessão e os pools de hosts, os Cloud PCs ou as caixas de desenvolvimento estão configurados para permitir o redirecionamento de unidades.
Crie dois filtros:
1. Um para aplicativos gerenciados para dispositivos iOS/iPadOS gerenciados.
2. Um para aplicativos gerenciados para dispositivos Android gerenciados.
Crie duas políticas de proteção de aplicativos, uma para iOS/iPadOS e outra para Android.
Crie três políticas de configuração de aplicativo:
1. iOS/iPadOS:
  1. Uma política de dispositivos gerenciados para identificar a conta de usuário inscrita e o ID do dispositivo.
  2. Uma política de aplicações geridas com o redirecionamento de drive desativado. Atribua o filtro para iOS/iPadOS criado na etapa 2.
2. Android: um para aplicações geridas para dispositivos Android com redirecionamento de unidade desativado. Atribua o filtro para Android criado na etapa 2.

Pré-requisitos

Antes de definir as configurações de redirecionamento em um dispositivo cliente local usando o Intune e o Acesso Condicional, você precisa:

Para concluir as etapas em Exigir conformidade de segurança do dispositivo cliente local com o Microsoft Intune e o Acesso Condicional do Microsoft Entra. Todos os pré-requisitos desse artigo também se aplicam a este artigo.
Há mais pré-requisitos do Intune para configurar políticas de proteção de aplicativos e políticas de Acesso Condicional. Para obter mais informações, consulte:
- Utilize políticas de Acesso Condicional baseadas em aplicações com o Intune.

Criar uma política de configuração de aplicativo para dispositivos gerenciados iOS/iPadOS

Para dispositivos iOS/iPadOS gerenciados somente, você precisa criar uma política de configuração de aplicativo para dispositivos gerenciados para Windows App. Esta etapa não é necessária para Android.

Importante

Para iOS/iPadOS, para que o tipo de Gestão de Dispositivos seja imposto aos dispositivos geridos pelo Intune, são necessárias definições de configuração de aplicações adicionais. Para obter mais informações, consulte Tipos de gerenciamento de dispositivos.

A partir da versão de serviço do Intune de setembro (2409), os valores de configuração IntuneMAMUPN, IntuneMAMOID e IntuneMAMDeviceID são enviados automaticamente para aplicações geridas em apps específicas, incluindo o Windows App, em dispositivos iOS/iPadOS inscritos no Intune.

Para criar e aplicar uma política de configuração de aplicativo para dispositivos gerenciados, siga as etapas em Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados e use as seguintes configurações:

Na guia Noções básicas , para aplicativo direcionado, selecione Windows App Mobile na lista. Tem de ter adicionado a aplicação ao Intune a partir da App Store para que seja apresentada nesta lista.
No separador Definições, para a lista suspensa Formato das definições de configuração, selecione Usar o designer de configuração e insira as seguintes configurações exatamente como mostrado:

Chave da configuração Tipo de valor Valor de configuração

IntuneMAMUPN Cordão {{userprincipalname}}

IntuneMAMOID Cordão {{userid}}

IntuneMAMDeviceID Cordão {{deviceID}}
Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.

Chave da configuração	Tipo de valor	Valor de configuração
`IntuneMAMUPN`	Cordão	`{{userprincipalname}}`
`IntuneMAMOID`	Cordão	`{{userid}}`
`IntuneMAMDeviceID`	Cordão	`{{deviceID}}`

Criar uma política de configuração de aplicativo para aplicativos gerenciados

Recomendamos que você crie uma política de configuração de aplicativo separada para aplicativos gerenciados para iOS/iPadOS e Android, pois os recursos da política de configuração de aplicativos podem mudar ao longo do tempo entre as plataformas.

Crie políticas de configuração de aplicativos adicionais, conforme necessário, se os requisitos de redirecionamento do dispositivo forem diferentes entre grupos de usuários. Por exemplo, bloqueie o redirecionamento de unidade para usuários do Finance e bloqueie o redirecionamento de unidade e área de transferência para usuários de Marketing.

Para criar e aplicar uma política de configuração de aplicativo para aplicativos gerenciados, siga as etapas em Políticas de configuração de aplicativo para aplicativos gerenciados do SDK de aplicativo do Intune e use as seguintes configurações:

No separador Noções básicas , selecione Selecionar aplicações públicas, procure e selecione Aplicação Windows e, em seguida, selecione Selecionar. Apenas para Android, se a Aplicação Windows ainda não aparecer para si, introduza Ambiente de Trabalho Remoto . Isso se deve ao tempo de implantação do Intune. Ambos os aplicativos usam a mesma ID com.microsoft.rdc.androidxde pacote, portanto, as políticas de configuração do aplicativo se aplicam a ambos os aplicativos, independentemente do nome do aplicativo que você vê no console do Intune.

Na guia Configurações, expanda Definições gerais de configuração e insira os seguintes pares de nome e valor para cada configuração de redirecionamento que você deseja configurar exatamente como mostrado. Esses valores correspondem às propriedades RDP listadas em Propriedades RDP suportadas, mas a sintaxe é diferente:

Nome	Descrição	Valor
`audiocapturemode`	Indica se o redirecionamento de entrada de áudio está habilitado.	`0`: A captura de áudio do dispositivo local está desativada. `1`: A captura de áudio do dispositivo local e o redirecionamento para um aplicativo de áudio na sessão remota estão habilitados.
`camerastoredirect`	Determina se o redirecionamento da câmera está habilitado.	`0`: O redirecionamento da câmera está desativado. `1`: O redirecionamento da câmera está ativado
`drivestoredirect`	Determina se o redirecionamento da unidade de disco está habilitado.	`0`: O redirecionamento da unidade de disco está desativado. `1`: O redirecionamento da unidade de disco está ativado.
`redirectclipboard`	Determina se o redirecionamento da área de transferência está habilitado.	`0`: O redirecionamento da área de transferência no dispositivo local está desativado na sessão remota. `1`: O redirecionamento da área de transferência no dispositivo local está ativado na sessão remota.

Aqui está um exemplo de como as configurações devem parecer:

Uma captura de ecrã a mostrar o nome do redirecionamento e os pares de valores no Intune.

Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.

Verifique a configuração

Agora que você configurou o Intune e o Acesso Condicional para gerenciar o redirecionamento de dispositivo para o Windows App, verifique se a configuração de redirecionamento funciona conforme o esperado conectando-se a uma sessão remota. Você deve verificar a partir de um dispositivo gerenciado e/ou não gerenciado para cada plataforma, dependendo das políticas configuradas.

Feedback

Esta página foi útil?

Last updated on 2025-05-30