Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode usar uma combinação do Microsoft Intune e do Microsoft Entra Conditional Access para exigir que os dispositivos dos usuários atendam aos seus requisitos de segurança específicos antes que eles possam se conectar à Área de Trabalho Virtual do Azure, ao Windows 365 e ao Microsoft Dev Box. Essa abordagem permite que você imponha requisitos de segurança para o Aplicativo Windows nos seguintes cenários:
| Plataforma de dispositivo | Gerenciamento de dispositivos do Intune |
|---|---|
| iOS/iPadOS | Gerenciado ou não gerenciado |
| Android¹ | Gerenciado ou não gerenciado |
| Navegador da Web (somente Microsoft Edge no Windows) | Apenas não administrado |
- Não inclui suporte para o SO Chrome.
Para obter informações sobre como usar políticas de proteção de aplicativos com dispositivos gerenciados e não gerenciados, consulte Políticas de proteção de aplicativos de destino com base no estado de gerenciamento de dispositivos.
Algumas das configurações de política que você pode impor incluem exigir um PIN, uma versão específica do sistema operacional, bloquear teclados de terceiros e restringir operações de recortar, copiar e colar entre outros aplicativos em dispositivos cliente locais. Para obter a lista completa de configurações disponíveis, consulte Inicialização condicional nas configurações da política de proteção de aplicativos iOS e Inicialização condicional nas configurações da política de proteção de aplicativos Android.
Depois de definir os requisitos de segurança, você também pode gerenciar se em dispositivos iOS/iPadOS e Android seus recursos locais, como câmeras, microfones, armazenamento e área de transferência, são redirecionados para uma sessão remota. Exigir conformidade com a segurança do dispositivo local é um pré-requisito para gerenciar as configurações de redirecionamento do dispositivo local. Para saber mais sobre como gerenciar configurações de redirecionamento de dispositivo local, consulte Gerenciar configurações de redirecionamento de dispositivo local com o Microsoft Intune.
Em um alto nível, há duas áreas para configurar:
Política de proteção de aplicativos do Intune: usada para especificar os requisitos de segurança que o aplicativo e o dispositivo cliente local devem atender. Você pode usar filtros para segmentar usuários com base em critérios específicos.
Política de Acesso Condicional: usada para controlar o acesso à Área de Trabalho Virtual do Azure e ao Windows 365 somente se os critérios definidos nas políticas de proteção de aplicativos forem atendidos.
Pré-requisitos
Antes de exigir conformidade de segurança do dispositivo cliente local usando o Intune e o Acesso Condicional, você precisa:
Um pool de hosts existente com hosts de sessão ou PCs na Nuvem.
Pelo menos um grupo de segurança do Microsoft Entra ID contendo usuários aos quais aplicar as políticas.
Apenas para dispositivos geridos, tem de adicionar cada uma das seguintes aplicações que pretende utilizar ao Intune:
- Para a Aplicação Windows no iOS/iPadOS, consulte Adicionar aplicações da loja iOS ao Microsoft Intune.
- Para Microsoft Edge no Windows, consulte Adicionar o Microsoft Edge para Windows 10/11 ao Microsoft Intune.
Um dispositivo cliente local executando uma das seguintes versões do Aplicativo do Windows ou usando o Aplicativo do Windows no Microsoft Edge:
Aplicação Windows:
- iOS/iPadOS: 11.1.1 ou posterior.
- Android 1.0.0.161 ou posterior.
Microsoft Edge no Windows: 134.0.3124.51 ou posterior.
Também no dispositivo cliente local, você precisa da versão mais recente de:
- iOS/iPadOS: aplicativo Microsoft Authenticator
- Android: aplicativo Portal da Empresa, instalado no mesmo perfil do aplicativo do Windows para dispositivos pessoais. Ambos os aplicativos precisam estar em um perfil pessoal ou em um perfil de trabalho, não um em cada perfil.
Há mais pré-requisitos do Intune para configurar políticas de proteção de aplicativos e políticas de Acesso Condicional. Para obter mais informações, consulte:
Criar um filtro
Ao criar um filtro, você pode aplicar configurações de política somente quando os critérios definidos no filtro são correspondidos, permitindo que você restrinja o escopo de atribuição de uma política. Com a Aplicação Windows, pode utilizar os seguintes filtros:
iOS/iPadOS:
- Crie um filtro de aplicações geridas para dispositivos geridos e não geridos.
- Crie um filtro de dispositivos gerenciados para dispositivos gerenciados.
Android:
- Crie um filtro de aplicações geridas para dispositivos geridos e não geridos.
Windows: Os filtros não são aplicáveis ao Microsoft Edge no Windows.
Use filtros para restringir o escopo de atribuição de uma política. A criação de um filtro é opcional; Se você não configurar um filtro, as mesmas configurações de conformidade de segurança e redirecionamento de dispositivo se aplicarão a um usuário, independentemente de ele estar em um dispositivo gerenciado ou não gerenciado. O que você especifica em um filtro depende de suas necessidades.
Para saber mais sobre filtros e como criá-los, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis no Microsoft Intune e Propriedades de filtro de aplicativos gerenciados.
Criar uma política de proteção de aplicações
As políticas de proteção de aplicações permitem-lhe controlar a forma como as aplicações e os dispositivos acedem e partilham dados. Você precisa criar uma política de proteção de aplicativo separada para iOS/iPadOS, Android e Microsoft Edge no Windows. Não configure o iOS/iPadOS e o Android na mesma política de proteção de aplicativos, pois não é possível configurar a segmentação por políticas com base em dispositivos gerenciados e não gerenciados.
Selecione a guia relevante.
Para criar e aplicar uma política de proteção de aplicativo, siga as etapas em Como criar e atribuir políticas de proteção de aplicativo e use as seguintes configurações:
Crie uma política de proteção de aplicativos para iOS/iPadOS.
No separador Aplicações , selecione Selecionar aplicações públicas, procure e selecione Aplicação Windows e, em seguida, selecione Selecionar.
Na guia Proteção de dados , somente as configurações a seguir são relevantes para o Windows App. As outras configurações não se aplicam à medida que o Aplicativo do Windows interage com o host da sessão e não com os dados no aplicativo. Em dispositivos móveis, teclados não aprovados são uma fonte de captura de teclas e roubo.
Você pode definir as seguintes configurações:
Parâmetro Valor/Descrição Transferência de dados Enviar dados da organização para outras aplicações Defina como Nenhum para ativar a proteção de captura de tela. Para obter mais informações sobre a proteção de captura de tela na Área de Trabalho Virtual do Azure, consulte Habilitar a proteção de captura de tela na Área de Trabalho Virtual do Azure. Restringir cortar, copiar e colar entre outras aplicações Defina como Bloqueado para desativar o redirecionamento da área de transferência entre o Aplicativo Windows e o dispositivo local. Use com a desativação do redirecionamento da área de transferência em uma política de configuração de aplicativo. Teclados de terceiros Defina como Bloqueado para bloquear teclados de terceiros. Na guia Início condicional , recomendamos que você adicione as seguintes condições:
Condição Tipo de condição Valor Ação Versão mínima do aplicativo Condição do aplicativo Com base nas suas necessidades. Insira um número de versão para o Windows App no iOS/iPadOS Bloquear o acesso Versão mínima do SO Estado do dispositivo Com base nas suas necessidades. Bloquear o acesso Serviço MTD primário Estado do dispositivo Com base nas suas necessidades.
O conector MTD precisa ser configurado. Para o Microsoft Defender for Endpoint, configure o Microsoft Defender for Endpoint no Intune.Bloquear o acesso Nível máximo de ameaça de dispositivo permitido Estado do dispositivo Protegido Bloquear o acesso Para obter mais informações sobre as configurações disponíveis, consulte Inicialização condicional nas configurações da política de proteção de aplicativos iOS.
Na guia Atribuições , atribua a política ao seu grupo de segurança que contém os usuários aos quais você deseja aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor. Para cada grupo, você pode, opcionalmente, selecionar um filtro para ser mais específico na segmentação da política de configuração do aplicativo.
Criar uma política de Acesso Condicional
Uma política de Acesso Condicional permite controlar o acesso à Área de Trabalho Virtual do Azure, ao Windows 365 e à Caixa de Desenvolvimento da Microsoft com base em critérios específicos do usuário que está se conectando e do dispositivo que está usando. Recomendamos que você crie várias políticas de Acesso Condicional para obter cenários granulares com base em suas necessidades. Alguns exemplos de políticas estão nas seções a seguir.
Importante
Considere cuidadosamente a variedade de serviços de nuvem, dispositivos e versões do Aplicativo Windows que você deseja que seus usuários possam usar. Estes exemplos de políticas de Acesso Condicional não abrangem todos os cenários e é necessário ter cuidado para não bloquear inadvertidamente o acesso. Você deve criar políticas e ajustar as configurações com base em suas necessidades.
Para criar e aplicar uma política de Acesso Condicional, siga os passos em Configurar políticas de Acesso Condicional baseadas em aplicações com o Intune e utilize as informações e definições nos exemplos seguintes.
Exemplo 1: Permitir acesso somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo do Windows
Este exemplo permite acesso somente quando uma política de proteção de aplicativo é aplicada com o Windows App:
Em Atribuições, em Usuários ou identidades de carga de trabalho, selecione 0 usuários ou identidades de carga de trabalho selecionadas e inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor.
Em Recursos de destino, selecione para aplicar a política a Recursos e, em seguida, para Incluir, selecione Selecionar recursos. Pesquise e selecione os seguintes recursos. Só tem estes recursos se registou o serviço relevante no seu locatário.
Nome do Recurso ID do aplicativo Observações Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Em vez disso, pode chamar-se Ambiente de Trabalho Virtual do Windows . Verifique com o ID do aplicativo. Janelas 365 0AF06DC6-E4B5-4F28-818E-E78E62D137A5 Também se aplica ao Microsoft Dev Box. Iniciar Sessão na Nuvem do Windows 270efc09-CD0D-444B-A71F-39AF4910EC45 Disponível assim que um dos outros serviços é registado. Para Condições:
- Selecione Plataformas de dispositivo, para Configurar, selecione Sim, em seguida, em Incluir, selecione Selecionar plataformas de dispositivo e verifique iOS e Android.
- Selecione Aplicativos cliente, para Configurar , selecione Sim e, em seguida, marque Navegador e aplicativos móveis e clientes de desktop.
Para Controles de acesso, na seção Conceder acesso, selecione 0 controles selecionados, marque a caixa Exigir política de proteção de aplicação e selecione o botão de rádio para Exigir todos os controles selecionados.
Para Ativar política, defina-a como Ativado.
Exemplo 2: Exigir uma política de proteção de aplicativos para dispositivos Windows
Este exemplo limita dispositivos Windows pessoais não gerenciados a usar o Microsoft Edge para acessar uma sessão remota usando o Aplicativo Windows somente em um navegador da Web. Para obter mais detalhes sobre esse cenário, consulte Exigir política de proteção de aplicativo para dispositivos Windows.
Em Atribuições, em Usuários ou identidades de carga de trabalho, selecione 0 usuários ou identidades de carga de trabalho selecionadas e inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que ela entre em vigor.
Em Recursos de destino, selecione para aplicar a política a Recursos e, em seguida, para Incluir, selecione Selecionar recursos. Pesquise e selecione os seguintes recursos. Só tem estes recursos se registou o serviço relevante no seu locatário.
Nome do Recurso ID do aplicativo Observações Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Em vez disso, pode chamar-se Ambiente de Trabalho Virtual do Windows . Verifique com o ID do aplicativo. Janelas 365 0AF06DC6-E4B5-4F28-818E-E78E62D137A5 Também se aplica ao Microsoft Dev Box. Iniciar Sessão na Nuvem do Windows 270efc09-CD0D-444B-A71F-39AF4910EC45 Disponível assim que um dos outros serviços é registado. Para Condições:
- Selecione Plataformas de dispositivo, para Configurar, selecione Sim, em seguida, em Incluir, selecione Selecionar plataformas de dispositivo e marque Windows.
- Selecione Aplicativos cliente, para Configurar , selecione Sim e marque Navegador.
Para Controles de acesso, selecione Conceder acesso, marque a caixa Exigir política de proteção de aplicativo e selecione o botão de opção para Exigir um dos controles selecionados.
Para Ativar política, defina-a como Ativado.
Verifique a configuração
Agora que você configura o Intune e o Acesso Condicional para exigir conformidade com a segurança do dispositivo em dispositivos pessoais, pode verificar sua configuração conectando-se a uma sessão remota. O que você deve testar depende se você configurou políticas para aplicar a dispositivos registrados ou não registrados, quais plataformas e configurações de proteção de dados você definiu. Verifique se você só pode executar as ações que você pode executar correspondem ao que você espera.