Controlar Aplicações ao Utilizar Políticas de Gestão de Aplicações Móveis no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
No Começar com o System Center 2012 Configuration Manager SP2, as políticas de gestão de aplicações permitem-lhe modificar a funcionalidade de aplicações que implementa para ajudar que cumpram as políticas de segurança e de conformidade da sua empresa. Por exemplo, pode restringir operações de corte, cópia e colagem numa aplicação restrita ou configurar uma aplicação para abrir todas as ligações num browser gerido. Suporte para políticas de gestão de aplicações:
Dispositivos com Android 4 ou posterior.
Dispositivos com iOS 7 ou posterior.
.jpeg "System_CAPS_tip"){kind=icon} Sugestão |
|---|
Além dos dispositivos geridos, as políticas de gestão de aplicações móveis podem ser utilizadas para proteger as aplicações em dispositivos não geridos pelo Intune. Através desta nova funcionalidade, pode aplicar políticas de gestão de aplicações móveis para aplicações que se ligam a serviços do Office 365. Esta opção não é suportada para aplicações que se ligam ao Exchange ou ao SharePoint no local. Para utilizar esta nova capacidade, tem de utilizar o portal de pré-visualização do Azure. Os tópicos seguintes podem ajudá-lo a familiarizar-se: |
Ao contrário dos itens de configuração e linhas de base do Gestor de configuração, não implementa diretamente uma política de gestão de aplicações. Em vez disso, associa a política ao tipo de implementação (DT) da aplicação que pretende restringir. Quando um tipo de implementação da aplicação é implementado e instalado em dispositivos, as definições que especificar entrarão em vigor.
Para aplicar restrições a uma aplicação, esta tem de incorporar o Software Development Kit (SDK) da Aplicação do Microsoft Intune. Existem dois métodos para obter este tipo de aplicação:
Utilizar uma aplicação gerida por política (Android e iOS): tem o SDK da Aplicação incorporado. Para adicionar este tipo de aplicação, especifique uma ligação para a aplicação a partir de uma loja de aplicações, como o iTunes ou o Google Play. Não é necessário processamento adicional para este tipo de aplicação. Para uma lista de aplicações geridas por política que estão disponíveis para dispositivos iOS e Android, consulte Aplicações geridas para as políticas de gestão de aplicações móveis do Microsoft Intune.
Utilizar uma aplicação "encapsulada" – (Android e iOS): as aplicações que são empacotadas novamente para incluir o SDK da Aplicação através da Ferramenta de Encapsulamento de Aplicações do Microsoft Intune. Normalmente esta ferramenta é utilizada para processar aplicações da empresa que foram criadas internamente. Não pode ser utilizada para processar aplicações que foram transferidas a partir da loja de aplicações. Consulte Preparar aplicações iOS para a gestão de aplicações móveis com a Ferramenta de Encapsulamento de Aplicações do Microsoft Intune e Preparar aplicações Android para gestão de aplicações móveis com a ferramenta de Encapsulamento de Aplicações do Microsoft Intune.
Criar e implementar uma aplicação com uma política de gestão de aplicações móveis
Passo 1: Obter a ligação a uma aplicação gerida por política ou criar uma aplicação encapsulada
Passo 2: Criar uma aplicação do Configuration Manager que contenha uma aplicação
Passo 3: Criar uma política de gestão de aplicações
Passo 4: Associar a política de gestão de aplicações a um tipo de implementação
Passo 5: Monitorizar a implementação da aplicação.
Passo 1: Obter a ligação a uma aplicação gerida por política ou criar uma aplicação encapsulada
Para obter uma ligação para uma aplicação gerida por política (iOS e Android) - a partir da loja de aplicações, encontre e anote o URL da aplicação gerida por política que pretende implementar.
Por exemplo, o URL da aplicação Microsoft Word para iPad é https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8
Para criar uma aplicação encapsulada (iOS e Android) - Utilize as informações dos tópicos Preparar aplicações iOS para gestão de aplicações móveis com a Ferramenta de Encapsulamento de Aplicações do Microsoft Intune e Preparar aplicações Android para gestão de aplicações móveis com a Ferramenta de Encapsulamento de Aplicações do Microsoft Intune para criar uma aplicação encapsulada.
A ferramenta cria uma aplicação processada e um ficheiro de manifesto associado. Irá utilizar estes ficheiros quando criar uma aplicação do Gestor de configuração que contenha a aplicação.
Passo 2: Criar uma aplicação do Configuration Manager que contenha uma aplicação
O procedimento para criar a aplicação do Gestor de configuração difere quando utiliza uma aplicação gerida por política (ligação externa) ou uma aplicação criada utilizando a Ferramenta de Encapsulamento de Aplicações do Microsoft Intune para iOS (pacote de aplicação para iOS). Utilize um dos seguintes procedimentos para criar a aplicação do Gestor de configuração.
Para criar uma aplicação para uma Ferramenta de Encapsulamento de Aplicações para a aplicação iOS
-
Na consola do Gestor de configuração, clique em Biblioteca de Software.
-
Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.
-
No separador Base, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.
-
Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.
-
Na lista pendente Tipo, selecione Pacote de aplicação para iOS (ficheiro *.ipa).
-
Clique em Procurar para selecionar o pacote de aplicação que pretende importar e clique em Seguinte.
-
Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.
-
Conclua o assistente.
A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.
Para criar uma aplicação com uma ligação a uma aplicação gerida por política
-
Na consola do Gestor de configuração, clique em Biblioteca de Software.
-
Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.
-
No separador Base, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.
-
Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.
-
Na lista pendente Tipo, selecione um dos seguintes:
- Para iOS: **Pacote de aplicação iOS a partir da App Store** - Para Android: **Pacote de aplicação Android no Google Play** -
Introduza o URL para a aplicação (a partir do passo 1) e, em seguida, clique em Seguinte.
-
Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.
-
Conclua o assistente.
A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.
Passo 3: Criar uma política de gestão de aplicações
Em seguida, crie uma política de gestão de aplicações que irá associar à aplicação. Pode criar uma política de browser gerido ou geral.
Para criar uma política de gestão de aplicações
-
Na consola do Gestor de configuração, clique em Biblioteca de Software.
-
Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e, em seguida, clique em Políticas de Gestão de Aplicações.
-
No separador Base, no grupo Criar, clique em Criar Política de Gestão de Aplicações.
-
Na página Geral, introduza o nome e a descrição da política e, em seguida, clique em Seguinte.
-
Na página Tipo de Política, selecione a plataforma e o tipo de política para esta política e, em seguida, clique em Seguinte. Estão disponíveis os seguintes tipos de política:
- **Geral**: o tipo de política Geral permite modificar a funcionalidade das aplicações implementadas para ajudar que cumpram as políticas de conformidade e de segurança da sua empresa. Por exemplo, pode restringir as operações de cortar, copiar e colar numa aplicação restrita. - **Browser Gerido**: configure se pretende permitir ou bloquear a abertura de uma lista de URLs no browser gerido. A política de Browser Gerido permite modificar a funcionalidade da aplicação Intune Managed Browser. É um browser que lhe permite gerir as ações que os utilizadores podem realizar, incluindo os sites que podem visitar e como são abertas as ligações para conteúdo no browser. Para mais informações sobre a aplicação Intune Managed Browser, consulte [aqui](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) para iOS e [aqui](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) para Android. -
Na página Política iOS ou Política Android, configure os seguintes valores conforme necessário e, em seguida, clique em Seguinte. As opções podem variar dependendo do tipo de dispositivo para o qual está a configurar a política.
Valor
Mais informações
Restringir o conteúdo Web a apresentar num browser gerido pela empresa
Quando esta definição é ativada, as ligações na aplicação serão abertas no Browser Gerido. Para esta opção funcionar, esta aplicação tem de estar implementada em dispositivos.
Impedir cópias de segurança do Android ou Impedir cópias de segurança do iTunes e iCloud
Desativa a cópia de segurança de informações da aplicação.
Permitir que a aplicação transfira dados para outras aplicações
Especifica as aplicações para as quais esta aplicação pode enviar dados. Pode optar por não permitir a transferência de dados para qualquer aplicação, apenas permitir a transferência para outras aplicações restritas ou permitir a transferência para qualquer aplicação.
Para dispositivos iOS, para impedir a transferência de documentos entre aplicações geridas e não geridas, também tem de configurar e implementar uma política de segurança de dispositivos móveis que desativa a definição Permitir documentos geridos noutras aplicações não geridas.
Nota
Se selecionar apenas permitir a transferência para outras aplicações restritas, os visualizadores de PDF e imagem do Intune (se estiverem implementados) serão utilizados para abrir conteúdos dos respetivos tipos.
Permitir que a aplicação receba dados de outras aplicações
Especifica de que aplicações esta aplicação pode receber dados. Pode optar por:
não permitir a transferência de dados de qualquer aplicação
permitir apenas a transferência de outras aplicações restritas
permitir a transferência de qualquer aplicação
Impedir "Guardar Como"
Desativa a utilização da opção Guardar Como numa aplicação que utiliza esta política.
Restringir as operações de corte, cópia e colagem com outras aplicações
Especifica como as operações de corte, cópia e colagem podem ser utilizadas com a aplicação. Escolha entre:
Bloqueado – não permitir operações de corte, cópia e colagem entre esta aplicação e outras aplicações.
Aplicações Geridas por Política - permitir apenas operações de corte, cópia e colagem entre esta aplicação e outras aplicações restritas.
Aplicações Geridas por Política com Colar em - permitir que os dados cortados ou copiados desta aplicação apenas sejam colados noutras aplicações restritas. Permitir que os dados cortados ou copiados de qualquer aplicação sejam colados nesta aplicação.
Qualquer Aplicação - sem restrições para operações de corte, cópia e colagem desta ou para esta aplicação.
Exigir PIN simples para acesso
Exige que o utilizador introduza um número PIN que especifica para utilizar esta aplicação. Será pedido ao utilizador para configurar isto da primeira vez que executar a aplicação.
Número de tentativas antes de redefinição do PIN
Especifique o número de tentativas de introdução do PIN que podem ser efetuadas antes do utilizador ter de redefinir o PIN.
Exigir credenciais da empresa para obter acesso
Exige que o utilizador introduza as informações de início de sessão empresarial antes de poder aceder à aplicação.
Exigir a conformidade do dispositivo com a política empresarial para acesso
Apenas permite que a aplicação seja utilizada quando o dispositivo não é desbloqueado através de jailbreak ou rooting.
Verificar novamente os requisitos de acesso após (minutos)
No campo Tempo limite, especifique o período de tempo antes dos requisitos de acesso da aplicação serem novamente verificados após a aplicação ser iniciada.
No campo Período de tolerância offline, se o dispositivo estiver offline, especifique o período de tempo antes de os requisitos de acesso da aplicação serem novamente verificados.
Encriptar dados da aplicação
Especifica que todos os dados associados a esta aplicação serão encriptados, incluindo os dados armazenados externamente, como cartões SD.
Nota
Encriptação para iOS
Para as aplicações associadas a uma política de gestão de aplicações móveis do Gestor de configuração, os dados são encriptados em pausa utilizando a encriptação de nível de dispositivo proporcionada pelo SO. Isto é ativado através da política de PIN de dispositivo que tem de ser definida pelo administrador de TI. Quando for necessário um PIN, os dados serão encriptados de acordo com as definições na política de gestão de aplicações móveis. Conforme indicado na documentação da Apple, os módulos utilizados pelo iOS 7 têm a certificação FIPS 140-2.
Encriptação para Android
Para as aplicações associadas à política de gestão de aplicações móveis do Gestor de configuração, a encriptação é fornecida pela Microsoft. Os dados são encriptados em sincronia durante operações de E/S de ficheiros, de acordo com a definição na política de gestão de aplicações móveis. As aplicações geridas no Android utilizam encriptação AES-128 no modo CBC ao utilizar as bibliotecas de criptografia da plataforma. O método de encriptação não tem certificação FIPS 140-2. O conteúdo no armazenamento do dispositivo será sempre encriptado.
Bloquear captura de ecrã (apenas dispositivos Android)
Especifica que as funcionalidades de captura de ecrã do dispositivo estão bloqueadas durante a utilização desta aplicação.
-
Na página Browser Gerido, selecione se pretender permitir ou bloquear a abertura apenas dos URLs da lista através do browser gerido, faça a gestão dos URLs da lista e, em seguida, clique em Seguinte.
.jpeg "System_CAPS_warning")
AvisoPara mais informações, consulte Gerir o acesso à Internet através de políticas de browser gerido com o Configuration Manager.
-
Conclua o assistente.
A nova política é apresentada no nó Políticas de Gestão de Aplicações da área de trabalho Biblioteca de Software.
Passo 4: Associar a política de gestão de aplicações a um tipo de implementação
Quando é criado um tipo de implementação de uma aplicação que necessita de uma política de gestão de aplicações, o Gestor de configuração reconhecerá que tem ser ligada uma política de gestão da aplicação a este tipo de implementação quando a aplicação associada é implementada e irá pedir-lhe para associar uma política de gestão de aplicação. Para o Browser Gerido, tem de associar uma política de Browser Gerido e Geral. Para mais informações, consulte Como Criar e Implementar Aplicações para Dispositivos Móveis no Configuration Manager.
.jpeg "System_CAPS_important") Importante |
|---|
Se a aplicação já está implementada, a implementação para o novo tipo de implementação falhará até esta associação ser efetuada. Pode efetuar a associação em Propriedades da aplicação, no separador Gestão de Aplicações. |
| Importante |
|---|
Para dispositivos com sistemas operativos anteriores ao iOS 7.1, as políticas associadas não serão removidas quando a aplicação é desinstalada. Se o dispositivo não estiver inscrito no Gestor de configuração, as políticas não são removidas das aplicações. As aplicações que tinham as políticas aplicadas irão manter as definições de política, mesmo depois de a aplicação ser desinstalada e reinstalada. |
Passo 5: Monitorizar a implementação da aplicação.
Assim que criar e implementar uma aplicação associada a uma política de gestão de aplicações móveis, pode monitorizar a aplicação e resolver eventuais conflitos de política.
-
Na consola do Gestor de configuração, clique em Biblioteca de Software.
-
Na área de trabalho Monitorização, expanda Descrição Geral e, em seguida, clique em Implementações.
-
Selecione a implementação e, no separador Base, clique em Propriedades.
-
No painel de detalhes da implementação, clique em Políticas de Gestão de Aplicações em Objetos Relacionados.
Para mais informações sobre a monitorização de aplicações, consulte Como monitorizar aplicações no Configuration Manager.
Como são resolvidos os conflitos de políticas
Quando existe um conflito de política de gestão de aplicações móveis na primeira implementação para o utilizador ou dispositivo, o valor de definição específico em conflito será removido da política implementada na aplicação e a aplicação utilizará um valor de conflito incorporado.
Quando existe um conflito de política de gestão de aplicações móveis em implementações posteriores na aplicação ou utilizador, o valor de definição específico em conflito não será atualizado na política de gestão de aplicações móveis implementada na aplicação e a aplicação utilizará o valor existente para essa definição.
Nos casos em que o dispositivo ou o utilizador recebe duas políticas em conflito, aplica-se o comportamento seguinte:
Se uma política já tiver sido implementada no dispositivo, as definições da política existente não são substituídas.
Se ainda não tiver sido implementada uma política no dispositivo e forem implementadas duas definições em conflito, a predefinição incorporada no dispositivo é utilizada.
Aplicações geridas por políticas disponíveis
Para uma lista de aplicações geridas por política que estão disponíveis para dispositivos iOS e Android, consulte Aplicações geridas para as políticas de gestão de aplicações móveis do Microsoft Intune.