Compartilhar via

Definir as configurações de redirecionamento do dispositivo cliente para o Aplicativo Windows e o aplicativo de Área de Trabalho Remota usando o Microsoft Intune

  • Artigo

Importante

No momento, a definição das configurações de redirecionamento para o aplicativo de Área de Trabalho Remota no Android e Aplicativo do Windows no Android usando o Microsoft Intune está em VERSÃO PRÉVIA. Defina as configurações de redirecionamento para o Aplicativo Windows no iOS/iPadOS usando o Microsoft Intune estão em disponibilidade geral. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Dica

Este artigo contém informações para vários produtos que usam o PROTOCOLO RDP (Protocolo de Área de Trabalho Remota) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

O redirecionamento de recursos e periféricos do dispositivo local de um usuário para uma sessão remota da Área de Trabalho Virtual do Azure ou do Windows 365 por meio do Protocolo RDP (RDP), como a área de transferência, a câmera e o áudio, normalmente é regido pela configuração central de um pool de hosts e seus hosts de sessão. O redirecionamento do dispositivo cliente é configurado para o Aplicativo Windows e o aplicativo de Área de Trabalho Remota usando uma combinação de políticas de configuração de aplicativo do Microsoft Intune, políticas de proteção de aplicativo e Acesso Condicional do Microsoft Entra no dispositivo local de um usuário.

Esses recursos permitem que você obtenha os seguintes cenários:

  • Aplique as configurações de redirecionamento em um nível mais granular com base nos critérios especificados. Por exemplo, talvez você queira ter configurações diferentes dependendo do grupo de segurança em que um usuário está, do sistema operacional do dispositivo que está usando ou se os usuários usam dispositivos corporativos e pessoais para acessar uma sessão remota.

  • Forneça uma camada extra de proteção contra o redirecionamento configurado incorretamente no pool de hosts ou host de sessão.

  • Aplique configurações de segurança extras ao Aplicativo Windows e ao aplicativo da Área de Trabalho Remota, como, exija um PIN, bloqueie teclados de terceiros e restrinja operações de recortar, copiar e colar entre outros aplicativos no dispositivo cliente.

Se as configurações de redirecionamento em um dispositivo cliente entrarem em conflito com as propriedades RDP do pool de host e o host de sessão da Área de Trabalho Virtual do Azure ou do PC de Nuvem para Windows 365, a configuração mais restritiva entre os dois entrará em vigor. Por exemplo, se o host de sessão não permitir o redirecionamento da unidade e o dispositivo cliente permitindo o redirecionamento da unidade, o redirecionamento da unidade não será permitido. Se as configurações de redirecionamento no host de sessão e no dispositivo cliente forem as mesmas, o comportamento de redirecionamento será consistente.

Importante

Definir as configurações de redirecionamento em um dispositivo cliente não substitui a configuração correta de pools de host e hosts de sessão com base em seus requisitos. Usar o Microsoft Intune para configurar o Aplicativo Windows e o aplicativo de Área de Trabalho Remota pode não ser adequado para cargas de trabalho que exigem um nível mais alto de segurança.

As cargas de trabalho com requisitos de segurança mais altos devem continuar a definir o redirecionamento no pool de hosts ou no host de sessão, em que todos os usuários do pool de hosts teriam a mesma configuração de redirecionamento. Uma solução DLP (Proteção contra Perda de Dados) é recomendada e o redirecionamento deve ser desabilitado em hosts de sessão sempre que possível para minimizar as oportunidades de perda de dados.

Em um alto nível, há três áreas a serem configuradas:

  • Políticas de configuração de aplicativo do Intune: usadas para gerenciar as configurações de redirecionamento para o Aplicativo Windows e o aplicativo de Área de Trabalho Remota em um dispositivo cliente. Há dois tipos de políticas de configuração de aplicativo; uma política de aplicativos gerenciados é usada para gerenciar as configurações de um aplicativo, se o dispositivo cliente está registrado ou não registrado, e uma política de dispositivos gerenciados é usada além de gerenciar configurações em um dispositivo registrado. Use filtros para direcionar usuários com base em critérios específicos.

  • Políticas de proteção de aplicativo do Intune: usadas para especificar requisitos de segurança que devem ser atendidos pelo aplicativo e pelo dispositivo cliente. Use filtros para direcionar usuários com base em critérios específicos.

  • Políticas de Acesso Condicional: usadas para controlar o acesso à Área de Trabalho Virtual do Azure e ao Windows 365 com base apenas se os critérios definidos nas políticas de configuração do aplicativo e nas políticas de proteção do aplicativo forem atendidos.

Plataformas e tipos de registro com suporte

A tabela a seguir mostra qual aplicativo você pode gerenciar com base na plataforma do dispositivo e no tipo de registro:

Para o Aplicativo Windows:

Plataforma de dispositivos Dispositivos gerenciados Dispositivos não gerenciados
iOS e iPadOS
Android

Para o aplicativo área de trabalho remota:

Plataforma de dispositivos Dispositivos gerenciados Dispositivos não gerenciados
Android

Cenários de exemplo

Os valores especificados em filtros e políticas dependem de seus requisitos, portanto, você precisa determinar o que é melhor para sua organização. Aqui estão alguns cenários de exemplo do que você precisa configurar para alcançá-los.

Cenário 1

Os usuários em um grupo têm permissão para redirecionamento de unidade ao se conectar em seu dispositivo corporativo Windows, mas o redirecionamento de unidade não é permitido em seu dispositivo corporativo iOS/iPadOS ou Android. Para alcançar este cenário:

  1. Verifique se os hosts de sessão ou os computadores na nuvem e as configurações de pools de host estão configurados para permitir o redirecionamento da unidade.

  2. Crie um filtro de dispositivo para aplicativos gerenciados para iOS e iPadOS e um filtro separado para Android.

  3. Somente para iOS e iPadOS, crie uma política de configuração de aplicativo para dispositivos gerenciados.

  4. Crie uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento de unidade desabilitado. Você pode criar uma única política para iOS/iPadOS e Android ou criar uma política separada para iOS/iPadOS e Android.

  5. Crie duas políticas de proteção de aplicativo, uma para iOS/iPadOS e outra para Android.

Cenário 2

Os usuários em um grupo que têm um dispositivo Android executando a versão mais recente do Android têm permissão para redirecionamento de unidade, mas os mesmos usuários que estão executando uma versão mais antiga do Android não têm o redirecionamento de unidade permitido. Para alcançar este cenário:

  1. Verifique se os hosts de sessão ou os computadores na nuvem e as configurações de pools de host estão configurados para permitir o redirecionamento da unidade.

  2. Crie dois filtros de dispositivo:

    1. Um filtro de dispositivo para aplicativos gerenciados para Android, em que a versão da versão é definida como o número de versão mais recente do Android.

    2. Um filtro de dispositivo para aplicativos gerenciados para Android, em que a versão da versão é definida como um número de versão mais antigo do que a versão mais recente do Android.

  3. Crie duas políticas de configuração de aplicativo:

    1. Uma política de configuração de aplicativo para aplicativos gerenciados com redirecionamento de unidade habilitado. Atribua um ou mais grupos com o filtro para o número de versão mais recente do Android.

    2. Uma política de configuração de aplicativo para aplicativos gerenciados com redirecionamento de unidade desabilitado. Atribua um ou mais grupos com o filtro para o número de versão mais antigo do Android.

  4. Crie uma política de proteção de aplicativo, uma combinada para iOS/iPadOS e Android.

Cenário 3

Os usuários em um grupo que usam um dispositivo iOS/iPadOS não gerenciado para se conectar a uma sessão remota têm permissão para redirecionamento de área de transferência, mas os mesmos usuários que usam um dispositivo Android não gerenciado não são permitidos redirecionamento de área de transferência. Para alcançar este cenário:

  1. Verifique se os hosts de sessão ou os computadores na nuvem e as configurações dos pools de host estão configurados para permitir o redirecionamento da área de transferência.

  2. Crie dois filtros de dispositivo:

    1. Um filtro de dispositivo para aplicativos gerenciados para iOS e iPadOS, em que o tipo de gerenciamento de dispositivo não é gerenciado.

    2. Um filtro de dispositivo para aplicativos gerenciados para Android, em que o tipo de gerenciamento de dispositivo não é gerenciado.

  3. Crie duas políticas de configuração de aplicativo:

    1. Uma política de configuração de aplicativo para aplicativos gerenciados com redirecionamento de área de transferência habilitada. Atribua um ou mais grupos com o filtro para dispositivos iOS ou iPadOS não gerenciados.

    2. Uma política de configuração de aplicativo para aplicativos gerenciados com o redirecionamento da área de transferência desabilitado. Atribua um ou mais grupos com o filtro para dispositivos Android não gerenciados.

  4. Crie uma política de proteção de aplicativo, uma combinada para iOS/iPadOS e Android.

Aqui estão algumas configurações de política recomendadas que você deve usar com o Intune e o Acesso Condicional. As configurações usadas devem ser baseadas em seus requisitos.

  • Intune:

    • Desabilite todo o redirecionamento em dispositivos pessoais.
    • Exigir acesso de PIN ao aplicativo.
    • Bloquear teclados de terceiros.
    • Especifique uma versão mínima do sistema operacional do dispositivo.
    • Especifique um número mínimo de versão de aplicativo do Windows e/ou da Área de Trabalho Remota.
    • Bloquear dispositivos jailbroken/root.
    • Exigir uma solução MTD (defesa contra ameaças móveis) em dispositivos, sem ameaças detectadas.

  • Acesso condicional:

    • Bloqueie o acesso, a menos que os critérios definidos nas políticas de gerenciamento de aplicativos móveis do Intune sejam atendidos.
    • Conceda acesso, exigindo uma ou mais das seguintes opções:
      • Exigir autenticação multifator.
      • Exigir uma política de proteção de aplicativo do Intune.

Pré-requisitos

Antes de definir as configurações de redirecionamento em um dispositivo cliente usando o Microsoft Intune e o Acesso Condicional, você precisa:

  • Um pool de hosts existente com hosts de sessão ou computadores na nuvem.

  • Pelo menos um grupo de segurança que contém usuários para aplicar as políticas.

  • Para usar o aplicativo do Windows com dispositivos registrados no iOS e no iPadOS, você precisa adicionar cada aplicativo ao Intune por meio da App Store. Para obter mais informações, consulte Adicionar aplicativos da loja do iOS ao Microsoft Intune.

  • Um dispositivo cliente que executa uma das seguintes versões do Aplicativo do Windows ou do aplicativo da Área de Trabalho Remota:

    • Para o Aplicativo Windows:

      • iOS/iPadOS: versão 11.0.4 ou posterior.
      • Android: versão 1.0.145 ou posterior.

    • Aplicativo de Área de Trabalho Remota:

      • Android: 10.0.19.1279 ou posterior.

  • A última versão do:

    • iOS/iPadOS: aplicativo Microsoft Authenticator
    • Android: aplicativo Portal da Empresa, instalado no mesmo perfil que o Aplicativo do Windows para dispositivos pessoais. Ambos os aplicativos devem estar no perfil pessoal ou ambos no perfil de trabalho.

  • Há mais pré-requisitos do Intune para configurar políticas de configuração de aplicativo, políticas de proteção de aplicativo e políticas de Acesso Condicional. Para saber mais, veja:

Importante

Atualmente, a funcionalidade de MAM (gerenciamento de aplicativo móvel) do Intune não é compatível com o Android 15 para o aplicativo Área de Trabalho Remota ou o Aplicativo do Windows (em versão prévia). O MAM é compatível com versões mais antigas do Android. O suporte do MAM no Android 15 para o Aplicativo do Windows (em versão prévia) será incluído em uma atualização futura.

Criar um filtro de aplicativo gerenciado

Ao criar um filtro de aplicativo gerenciado, você pode aplicar configurações de redirecionamento somente quando os critérios definidos no filtro forem correspondidos, permitindo que você restrinja o escopo de atribuição de uma política. Se você não definir um filtro, as configurações de redirecionamento se aplicarão a todos os usuários. O que você especifica em um filtro depende de seus requisitos.

Para saber mais sobre filtros e como criá-los, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis no Microsoft Intune e propriedades de filtro de aplicativo gerenciado.

Criar uma política de configuração de aplicativo para dispositivos gerenciados

Para dispositivos iOS e iPadOS registrados somente, você precisa criar uma política de configuração de aplicativo para dispositivos gerenciados para o aplicativo do Windows. Esta etapa não é necessária para o Android.

Para criar e aplicar uma política de configuração de aplicativo para dispositivos gerenciados, siga as etapas em Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados e use as seguintes configurações:

  • Na guia Noções básicas, para o aplicativo de destino, selecione Aplicativo do Windows na lista. Você precisa ter adicionado o aplicativo ao Intune da App Store para que ele seja exibido nesta lista.

  • Na guia Configurações, para o Formato configurações de configuração lista suspensa, selecione Usar o designer de configuração, e, em seguida, insira as seguintes configurações exatamente como mostrado:

    Chave de configuração Tipo de valor Valor de configuração
    IntuneMAMUPN String {{userprincipalname}}
    IntuneMAMOID String {{userid}}
    IntuneMAMDeviceID String {{deviceID}}

  • Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política entre em vigor. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.

Criar uma política de configuração de aplicativo para aplicativos gerenciados

Você precisa criar uma política de configuração de aplicativo para aplicativos gerenciados separada para o Aplicativo do Windows (iOS/iPadOS) e o Aplicativo do Windows (em versão prévia) ou o aplicativo de Área de Trabalho Remota (Android), que permite fornecer definições de configuração. Não configure o Android e o iOS na mesma política de configuração ou você não poderá configurar o direcionamento de política com base em dispositivos gerenciados e não gerenciados.

Para criar e aplicar uma política de configuração de aplicativo para aplicativos gerenciados, siga as etapas em Políticas de configuração de aplicativo para aplicativos gerenciados do SDK de Aplicativo do Intune e use as seguintes configurações:

  • Na guia Noções básicas, selecione Selecionar aplicativos públicos e, em seguida, pesquise e selecione Área de Trabalho Remota para Android e Aplicativo do Windows para iOS/iPadOS. Selecione Selecionar aplicativos personalizados, digite com.microsoft.rdc.androidx.beta no campo ID do Pacote em Mais Aplicativos para o Aplicativo do Windows (em versão prévia) para Android.

  • Na guia Configurações, expanda Configurações gerais de configuraçãoe insira os seguintes pares de nome e valor para cada configuração de redirecionamento que você deseja definir exatamente como mostrado. Esses valores correspondem às propriedades RDP listadas em propriedades RDP com suporte, mas a sintaxe é diferente:

    Nome Descrição Valor
    audiocapturemode Indica se o redirecionamento da entrada de áudio está habilitado. 0: a captura de áudio do dispositivo local está desabilitada.

    1: a captura de áudio do dispositivo local e o redirecionamento para um aplicativo de áudio na sessão remota estão habilitados.
    camerastoredirect Determina se o redirecionamento da câmera está habilitado. 0: o redirecionamento da câmera está desabilitado.

    1: o redirecionamento da câmera está habilitado.
    drivestoredirect Determina se o redirecionamento da unidade de disco está habilitado. 0: o redirecionamento da unidade de disco está desabilitado.

    1: o redirecionamento da unidade de disco está habilitado.
    redirectclipboard Determina se o redirecionamento de área de transferência fica habilitado. 0: o redirecionamento da área de transferência no dispositivo local está desabilitado na sessão remota.

    1: o redirecionamento da área de transferência no dispositivo local está habilitado na sessão remota.

    Veja um exemplo de como as configurações devem ser:

    Uma captura de tela mostrando pares de nomes e valores de redirecionamento no Intune.

  • Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política entre em vigor. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.

Criar uma política de proteção de aplicativo

Você precisa criar uma política de proteção de aplicativo separada para o Aplicativo do Windows (iOS/iPadOS) e o aplicativo de Área de Trabalho Remota (Android), que permitem controlar como os dados são acessados e compartilhados por aplicativos em dispositivos móveis. Não configure o Android e o iOS/iPadOS na mesma política de proteção ou você não poderá configurar o direcionamento de política com base em dispositivos gerenciados e não gerenciados.

Para criar e aplicar uma política de proteção de aplicativo, siga as etapas em Como criar e atribuir políticas de proteção de aplicativo e use as configurações a seguir.

  • Na guia Aplicativos, selecione Selecionar aplicativos públicos e, em seguida, pesquise e selecione Área de Trabalho Remota para Android e Aplicativo do Windows para iOS/iPadOS. Selecione Selecionar aplicativos personalizados, digite com.microsoft.rdc.androidx.beta no campo ID do Pacote em Mais Aplicativos para o Aplicativo do Windows (em versão prévia) para Android.

  • Na guia Proteção de dados, somente as configurações a seguir são relevantes para o Aplicativo Windows e o aplicativo de Área de Trabalho Remota. As outras configurações não se aplicam à medida que o Aplicativo Windows e o aplicativo de Área de Trabalho Remota interagem com o host da sessão e não com os dados no aplicativo. Em dispositivos móveis, os teclados não aprovados são uma fonte de registro em log e roubo de pressionamento de teclas.

    • Para iOS e iPadOS, você pode definir as seguintes configurações:

      • Restringir recortar, copiar e colar entre outros aplicativos
      • Teclados de terceiros

    • Para Android, você pode definir as seguintes configurações:

      • Restringir recortar, copiar e colar entre outros aplicativos
      • Captura de tela e Google Assistant
      • Teclados aprovados

    Dica

    Se você desabilitar o redirecionamento da área de transferência em uma política de configuração de aplicativo, deverá definir Restringir recortar, copiar e colar entre outros aplicativos para Bloqueado.

  • Na guia Inicialização condicional, recomendamos que você adicione as seguintes condições:

    Condição Tipo de condição Valor Ação
    Versão mínima do aplicativo Condição do aplicativo Com base em seus requisitos. Bloquear acesso
    Versão mínima do sistema operacional Condição do dispositivo Com base em seus requisitos. Bloquear acesso
    Serviço de MTD primário Condição do dispositivo Com base em seus requisitos.

    Seu conector MTD deve ser configurado. Para o Microsoft Defender para Ponto de Extremidade, configure o Microsoft Defender para Ponto de Extremidade no Intune.    		 Bloquear acesso
    Nível máximo de ameaça de dispositivo permitido Condição do dispositivo Protegido Bloquear acesso

    Para obter detalhes sobre a versão, confira Novidades no Aplicativo do Windows e Novidades no cliente de Área de Trabalho Remota para Android e Chrome OS.

    Para obter mais informações sobre as configurações disponíveis, consulte Inicialização condicional nas configurações de política de proteção de aplicativo do iOS e inicialização condicional nas configurações de política de proteção de aplicativo Android.

  • Na guia Atribuições, atribua a política ao grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política entre em vigor. Para cada grupo, opcionalmente, você pode selecionar um filtro para ser mais específico no direcionamento da política de configuração do aplicativo.

Criar uma política de Acesso Condicional

A criação de uma política de Acesso Condicional permite que você restrinja o acesso a uma sessão remota somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo Windows e o aplicativo de Área de Trabalho Remota. Se você criar uma segunda política de Acesso Condicional, também poderá bloquear o acesso usando um navegador da Web.

Para criar e aplicar uma política de Acesso Condicional, siga as etapas em Configurar políticas de Acesso Condicional baseadas em aplicativo com o Intune. As configurações a seguir fornecem um exemplo, mas você deve ajustá-las com base em seus requisitos:

  1. Para que a primeira política conceda acesso a uma sessão remota somente quando uma política de proteção de aplicativo é aplicada com o Aplicativo Windows e o aplicativo de Área de Trabalho Remota:

    • Para Atribuições, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política entre em vigor.

    • Para Recursos de destino, selecione para aplicar a política a aplicativos de nuvem, em seguida, para Incluir, selecione Selecionar aplicativos. Pesquise e selecione Área de Trabalho Virtual do Azure e Windows 365. Você só terá a Área de Trabalho Virtual do Azure na lista se registrou o provedor de recursos Microsoft.DesktopVirtualization em uma assinatura em seu locatário do Microsoft Entra.

    • Para Condições:

      • Selecione plataformas de dispositivo, em seguida, inclua iOS e Android.
      • Selecione aplicativos cliente, em seguida, inclua aplicativos móveis e clientes da área de trabalho.

    • Para Controles do Access, selecione Conceder acesso, marque a caixa para Exigir de política de proteção do aplicativo e selecione o botão de opção para Exigir todos os controles selecionados.

    • Para Habilitar política, defina-o como Habilitado.

  2. Para a segunda política bloquear o acesso a uma sessão remota usando um navegador da Web:

    • Para Atribuições, inclua o grupo de segurança que contém os usuários aos quais aplicar a política. Você deve aplicar a política a um grupo de usuários para que a política entre em vigor.

    • Para Recursos de destino, selecione para aplicar a política a aplicativos de nuvem, em seguida, para Incluir, selecione Selecionar aplicativos. Pesquise e selecione Área de Trabalho Virtual do Azure e Windows 365. Você só terá a Área de Trabalho Virtual do Azure na lista se registrou o provedor de recursos Microsoft.DesktopVirtualization em uma assinatura em seu locatário do Microsoft Entra. O aplicativo de nuvem para Windows 365 também abrange o Computador de Desenvolvimento da Microsoft.

    • Para Condições:

      • Selecione plataformas de dispositivo, em seguida, inclua iOS e Android.
      • Selecione Aplicativos clientee, em seguida, inclua Browser.

    • Para Controles do Access, selecione Bloquearde acesso e, em seguida, selecione o botão de opção para Exigir todos os controles selecionados.

    • Para Habilitar política, defina-o como Habilitado.

Verificar a configuração

Agora que você configura o Intune para gerenciar o redirecionamento de dispositivos em dispositivos pessoais, você pode verificar sua configuração conectando-se a uma sessão remota. O que você deve testar depende se você configurou políticas a serem aplicadas a dispositivos registrados ou não registrados, quais plataformas e as configurações de redirecionamento e proteção de dados definidas. Verifique se você só pode executar as ações que você pode executar correspondem ao esperado.

Problemas conhecidos

  • O Aplicativo do Windows será fechado sem nenhum aviso se o Portal da Empresa e o Aplicativo do Windows não estiverem instalados no mesmo perfil. Instale os dois aplicativos em um perfil pessoal ou nos dois aplicativos em um perfil de trabalho.