Política de acesso condicional comum: exigir aplicativos cliente aprovados ou política de proteção de aplicativo

  • Artigo

As pessoas usam regularmente seus dispositivos móveis para tarefas pessoais e de trabalho. Enquanto garantem a produtividade de suas equipes, as organizações também desejam evitar a perda de dados de aplicativos em dispositivos que podem não gerenciar totalmente.

Com o acesso condicional, as organizações podem restringir o acesso a aplicativos cliente aprovados (com capacidade de autenticação moderna) usando as políticas de proteção de aplicativo do Intune. Para aplicativos cliente mais antigos que podem não dar suporte a políticas de proteção de aplicativo, os administradores podem restringir o acesso a aplicativos cliente aprovados.

Aviso

Há suporte para políticas de proteção de aplicativo no iOS e no Android em que os aplicativos atendem a requisitos específicos. As políticas de proteção de aplicativo têm suporte no Windows em versão prévia apenas para o navegador Microsoft Edge.

Nem todos os aplicativos que têm suporte como aplicativos aprovados ou dão suporte a políticas de proteção de aplicativo. Para obter uma lista de alguns aplicativos clientes comuns, confira Requisito de política de proteção de aplicativo. Se seu aplicativo não estiver listado, entre em contato com o desenvolvedor do aplicativo.

Para exigir os aplicativos cliente aprovados para os dispositivos iOS e Android, esses dispositivos devem, primeiro, ser registrados na ID do Microsoft Entra.

Observação

"Exigir um dos controles selecionados" em conceder controles é como uma cláusula OR. Isso é usado na política para permitir que os usuários utilizem aplicativos que dão suporte aos controles de concessão Exigir política de proteção de aplicativo ou Exigir aplicativo cliente aprovado. Exigir que uma política de proteção do aplicativo seja imposta quando o aplicativo der suporte a esse controle de concessão.

Para obter mais informações sobre os benefícios do uso de políticas de proteção de aplicativos, consulte o artigo Visão geral das políticas de proteção de aplicativo.

Criar uma política de Acesso Condicional

Inicialmente, as políticas abaixo são colocadas no Modo somente relatório para que os administradores possam determinar o impacto que elas terão sobre os usuários existentes. Quando os administradores tiverem certeza de que as políticas estão sendo aplicadas conforme pretendido, poderão alternar para Ativado ou preparar a implantação adicionando grupos específicos e excluindo outros.

Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis

As etapas a seguir ajudarão a criar uma política de acesso condicional que exige um aplicativo cliente aprovado ou uma política de proteção de aplicativo durante o uso de um dispositivo iOS/iPadOS ou Android. Essa política também impedirá o uso de clientes do Exchange ActiveSync que usam a autenticação básica em dispositivos móveis. Essa política funciona em conjunto com uma política de proteção de aplicativo criada no Microsoft Intune.

As organizações podem optar por implantar esta política usando as etapas descritas abaixo ou usando os modelos de acesso condicional.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em excluir, selecione usuários e grupos e exclua pelo menos uma conta para impedir que você mesmo seja bloqueado. Se você não excluir nenhuma conta, não poderá criar a política.
  6. Em Recursos de destino>Aplicativos de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em condições>plataformas de dispositivo, defina Configurar como Sim.
    1. Em Incluir, selecione Plataformas de dispositivo.
    2. Escolha Android e iOS.
    3. Selecione Concluído.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir aplicativos cliente aprovados e Exigir política de proteção de aplicativo
    2. Para vários controles selecione Exigir um dos controles selecionados
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Dica

As organizações também devem implantar uma política que bloqueie o acesso de plataformas de dispositivos não suportadas ou desconhecidas juntamente com essa política.

Bloquear o Exchange ActiveSync em todos os dispositivos

Essa política impedirá que todos os clientes do Exchange ActiveSync que usam a autenticação básica se conectem ao Exchange Online.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em excluir, selecione usuários e grupos e exclua pelo menos uma conta para impedir que você mesmo seja bloqueado. Se você não excluir nenhuma conta, não poderá criar a política.
    3. Selecione Concluído.
  6. Em Recursos de destino>Aplicativos na nuvem>Incluir, selecione Selecionar aplicativos.
    1. Selecione Office 365 Exchange Online.
    2. Selecione Selecionar.
  7. Em Condições>Aplicativos clientes, defina Configurar como Sim.
    1. Desmarque todas as opções, exceto Clientes do Exchange ActiveSync.
    2. Selecione Concluído.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Escolha Exigir uma política de proteção de aplicativo
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Próximas etapas

Visão geral das políticas de proteção de aplicativos

Políticas comuns de Acesso Condicional

Migrar o aplicativo cliente aprovado para a política de proteção de aplicativo no Acesso Condicional