Compartilhar via


Usar políticas de Acesso Condicional baseadas em aplicativo com o Intune

Microsoft Intune políticas de proteção de aplicações funcionam com Microsoft Entra Acesso Condicional para ajudar a proteger os dados organizacionais nos dispositivos que os seus funcionários utilizam. Essas políticas funcionam em dispositivos que se registram no Intune e em dispositivos de propriedade de funcionários que não se registram. Combinados, são referidos como Acesso Condicional baseado na aplicação.

Proteção de aplicativos políticas são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida:

  • Uma política de proteção de aplicações pode ser uma regra que é imposta quando um utilizador tenta aceder ou mover os dados da sua organização ou um conjunto de ações que são proibidas ou monitorizadas quando um utilizador está a trabalhar dentro de uma aplicação gerida.
  • Um aplicativo gerenciado é um aplicativo que possui políticas de proteção de aplicativo aplicadas e que pode ser gerenciado pelo Intune.
  • Você também pode bloquear os aplicativos de email internos no iOS/iPadOS e no Android quando permitir que apenas o aplicativo Microsoft Outlook acesse o Exchange Online. Além disso, você pode bloquear aplicativos que não possuem políticas de proteção de aplicativo do Intune aplicadas para acessar o SharePoint Online.

O Acesso Condicional baseado na aplicação com a gestão de aplicações cliente adiciona uma camada de segurança que garante que apenas as aplicações cliente que suportam Intune políticas de proteção de aplicações podem aceder ao Exchange online e a outros serviços do Microsoft 365.

Dica

Além das políticas de Acesso Condicional com base na aplicação, pode utilizar o Acesso Condicional baseado no dispositivo com Intune.

Pré-requisitos

Antes de criar uma política de Acesso Condicional baseado no aplicativo é necessário ter:

  • Enterprise Mobility + Security (EMS) ou uma subscrição P1 ou P2 Microsoft Entra ID
  • Os utilizadores têm de estar licenciados para o EMS ou Microsoft Entra ID

Para obter mais informações, veja Preços do Enterprise Mobility ou preços de Microsoft Entra.

Aplicativos com suporte

Pode encontrar uma lista de aplicações que suportam o Acesso Condicional baseado na aplicação em Acesso Condicional: Condições na documentação do Microsoft Entra.

O Acesso Condicional baseado no aplicativo também é compatível com aplicativos de linha de negócios (LOB), mas esses aplicativos precisam usar a autenticação moderna do Microsoft 365.

Como funciona o Acesso Condicional baseado no aplicativo

Neste exemplo, o administrador aplicou políticas de proteção de aplicações à aplicação Outlook, seguidas de uma regra de Acesso Condicional que adiciona a aplicação Outlook a uma lista aprovada de aplicações que podem ser utilizadas ao aceder ao e-mail empresarial.

Observação

O fluxograma seguinte pode ser utilizado para outras aplicações geridas.

Processo de Acesso Condicional baseado no aplicativo ilustrado em um fluxograma

  1. O utilizador tenta autenticar-se para Microsoft Entra ID a partir da aplicação Outlook.

  2. O usuário é redirecionado para a loja de aplicativos para instalar um aplicativo agente ao tentar se autenticar pela primeira vez. A aplicação de mediador pode ser o Microsoft Authenticator para iOS ou o Portal da Empresa da Microsoft para dispositivos Android.

    Se os utilizadores tentarem utilizar uma aplicação de e-mail nativa, serão redirecionados para a loja de aplicações para, em seguida, instalarem a aplicação Outlook.

  3. O aplicativo agente é instalado no dispositivo.

  4. A aplicação de mediador inicia o processo de registo Microsoft Entra, que cria um registo de dispositivo no Microsoft Entra ID. Esse processo não é o mesmo que o do registro de MDM (gerenciamento de dispositivo móvel), mas esse registro é necessário para que as políticas de Acesso Condicional possam ser aplicadas no dispositivo.

  5. A aplicação de mediador confirma o ID do dispositivo Microsoft Entra, o utilizador e a aplicação. Estas informações são transmitidas aos servidores de início de sessão Microsoft Entra para validar o acesso ao serviço pedido.

  6. A aplicação de mediador envia o ID de Cliente da Aplicação para Microsoft Entra ID como parte do processo de autenticação do utilizador para marcar se estiver na lista aprovada pela política.

  7. Microsoft Entra ID permite ao utilizador autenticar e utilizar a aplicação com base na lista aprovada pela política. Se a aplicação não estiver na lista, Microsoft Entra ID nega o acesso à aplicação.

  8. O aplicativo Outlook se comunica com o Serviço de Nuvem do Outlook para iniciar a comunicação com o Exchange Online.

  9. O Serviço Cloud do Outlook comunica com Microsoft Entra ID para obter Exchange Online token de acesso ao serviço para o utilizador.

  10. A aplicação Outlook comunica com Exchange Online para obter o e-mail empresarial do utilizador.

  11. O e-mail empresarial é entregue na caixa de correio do utilizador.

Próximas etapas