Controlar Aplicações ao Utilizar Políticas de Gestão de Aplicações Móveis no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

No Começar com o System Center 2012 Configuration Manager SP2, as políticas de gestão de aplicações permitem-lhe modificar a funcionalidade de aplicações que implementa para ajudar que cumpram as políticas de segurança e de conformidade da sua empresa. Por exemplo, pode restringir operações de corte, cópia e colagem numa aplicação restrita ou configurar uma aplicação para abrir todas as ligações num browser gerido. Suporte para políticas de gestão de aplicações:

  • Dispositivos com Android 4 ou posterior.

  • Dispositivos com iOS 7 ou posterior.

System_CAPS_tipSugestão

Além dos dispositivos geridos, as políticas de gestão de aplicações móveis podem ser utilizadas para proteger as aplicações em dispositivos não geridos pelo Intune. Através desta nova funcionalidade, pode aplicar políticas de gestão de aplicações móveis para aplicações que se ligam a serviços do Office 365. Esta opção não é suportada para aplicações que se ligam ao Exchange ou ao SharePoint no local.

Para utilizar esta nova capacidade, tem de utilizar o portal de pré-visualização do Azure. Os tópicos seguintes podem ajudá-lo a familiarizar-se:

Ao contrário dos itens de configuração e linhas de base do Gestor de configuração, não implementa diretamente uma política de gestão de aplicações. Em vez disso, associa a política ao tipo de implementação (DT) da aplicação que pretende restringir. Quando um tipo de implementação da aplicação é implementado e instalado em dispositivos, as definições que especificar entrarão em vigor.

Para aplicar restrições a uma aplicação, esta tem de incorporar o Software Development Kit (SDK) da Aplicação do Microsoft Intune. Existem dois métodos para obter este tipo de aplicação:

O procedimento para criar a aplicação do Gestor de configuração difere quando utiliza uma aplicação gerida por política (ligação externa) ou uma aplicação criada utilizando a Ferramenta de Encapsulamento de Aplicações do Microsoft Intune para iOS (pacote de aplicação para iOS). Utilize um dos seguintes procedimentos para criar a aplicação do Gestor de configuração.

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.

  3. No separador Base, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.

  4. Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.

  5. Na lista pendente Tipo, selecione Pacote de aplicação para iOS (ficheiro *.ipa).

  6. Clique em Procurar para selecionar o pacote de aplicação que pretende importar e clique em Seguinte.

  7. Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.

  8. Conclua o assistente.

A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.

  3. No separador Base, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.

  4. Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.

  5. Na lista pendente Tipo, selecione um dos seguintes:

    • Para iOS: Pacote de aplicação iOS a partir da App Store

    • Para Android: Pacote de aplicação Android no Google Play 

  6. Introduza o URL para a aplicação (a partir do passo 1) e, em seguida, clique em Seguinte.

  7. Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.

  8. Conclua o assistente.

A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.

Em seguida, crie uma política de gestão de aplicações que irá associar à aplicação. Pode criar uma política de browser gerido ou geral.

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e, em seguida, clique em Políticas de Gestão de Aplicações.

  3. No separador Base, no grupo Criar, clique em Criar Política de Gestão de Aplicações.

  4. Na página Geral, introduza o nome e a descrição da política e, em seguida, clique em Seguinte.

  5. Na página Tipo de Política, selecione a plataforma e o tipo de política para esta política e, em seguida, clique em Seguinte. Estão disponíveis os seguintes tipos de política:

    • Geral: o tipo de política Geral permite modificar a funcionalidade das aplicações implementadas para ajudar que cumpram as políticas de conformidade e de segurança da sua empresa. Por exemplo, pode restringir as operações de cortar, copiar e colar numa aplicação restrita.

    • Browser Gerido: configure se pretende permitir ou bloquear a abertura de uma lista de URLs no browser gerido. A política de Browser Gerido permite modificar a funcionalidade da aplicação Intune Managed Browser. É um browser que lhe permite gerir as ações que os utilizadores podem realizar, incluindo os sites que podem visitar e como são abertas as ligações para conteúdo no browser. Para mais informações sobre a aplicação Intune Managed Browser, consulte aqui para iOS e aqui para Android.

  6. Na página Política iOS ou Política Android, configure os seguintes valores conforme necessário e, em seguida, clique em Seguinte. As opções podem variar dependendo do tipo de dispositivo para o qual está a configurar a política.

    Valor

    Mais informações

    Restringir o conteúdo Web a apresentar num browser gerido pela empresa

    Quando esta definição é ativada, as ligações na aplicação serão abertas no Browser Gerido. Para esta opção funcionar, esta aplicação tem de estar implementada em dispositivos.

    Impedir cópias de segurança do Android ou Impedir cópias de segurança do iTunes e iCloud

    Desativa a cópia de segurança de informações da aplicação.

    Permitir que a aplicação transfira dados para outras aplicações

    Especifica as aplicações para as quais esta aplicação pode enviar dados. Pode optar por não permitir a transferência de dados para qualquer aplicação, apenas permitir a transferência para outras aplicações restritas ou permitir a transferência para qualquer aplicação.

    Para dispositivos iOS, para impedir a transferência de documentos entre aplicações geridas e não geridas, também tem de configurar e implementar uma política de segurança de dispositivos móveis que desativa a definição Permitir documentos geridos noutras aplicações não geridas.

    System_CAPS_noteNota

    Se selecionar apenas permitir a transferência para outras aplicações restritas, os visualizadores de PDF e imagem do Intune (se estiverem implementados) serão utilizados para abrir conteúdos dos respetivos tipos.

    Permitir que a aplicação receba dados de outras aplicações

    Especifica de que aplicações esta aplicação pode receber dados. Pode optar por:

    • não permitir a transferência de dados de qualquer aplicação

    • permitir apenas a transferência de outras aplicações restritas

    • permitir a transferência de qualquer aplicação

    Impedir "Guardar Como"

    Desativa a utilização da opção Guardar Como numa aplicação que utiliza esta política.

    Restringir as operações de corte, cópia e colagem com outras aplicações

    Especifica como as operações de corte, cópia e colagem podem ser utilizadas com a aplicação. Escolha entre:

    • Bloqueado – não permitir operações de corte, cópia e colagem entre esta aplicação e outras aplicações.

    • Aplicações Geridas por Política - permitir apenas operações de corte, cópia e colagem entre esta aplicação e outras aplicações restritas.

    • Aplicações Geridas por Política com Colar em - permitir que os dados cortados ou copiados desta aplicação apenas sejam colados noutras aplicações restritas. Permitir que os dados cortados ou copiados de qualquer aplicação sejam colados nesta aplicação.

    • Qualquer Aplicação - sem restrições para operações de corte, cópia e colagem desta ou para esta aplicação.

    Exigir PIN simples para acesso

    Exige que o utilizador introduza um número PIN que especifica para utilizar esta aplicação. Será pedido ao utilizador para configurar isto da primeira vez que executar a aplicação.

    Número de tentativas antes de redefinição do PIN

    Especifique o número de tentativas de introdução do PIN que podem ser efetuadas antes do utilizador ter de redefinir o PIN.

    Exigir credenciais da empresa para obter acesso

    Exige que o utilizador introduza as informações de início de sessão empresarial antes de poder aceder à aplicação.

    Exigir a conformidade do dispositivo com a política empresarial para acesso

    Apenas permite que a aplicação seja utilizada quando o dispositivo não é desbloqueado através de jailbreak ou rooting.

    Verificar novamente os requisitos de acesso após (minutos)

    No campo Tempo limite, especifique o período de tempo antes dos requisitos de acesso da aplicação serem novamente verificados após a aplicação ser iniciada.

    No campo Período de tolerância offline, se o dispositivo estiver offline, especifique o período de tempo antes de os requisitos de acesso da aplicação serem novamente verificados.

    Encriptar dados da aplicação

    Especifica que todos os dados associados a esta aplicação serão encriptados, incluindo os dados armazenados externamente, como cartões SD.

    System_CAPS_noteNota

    Encriptação para iOS

    Para as aplicações associadas a uma política de gestão de aplicações móveis do Gestor de configuração, os dados são encriptados em pausa utilizando a encriptação de nível de dispositivo proporcionada pelo SO. Isto é ativado através da política de PIN de dispositivo que tem de ser definida pelo administrador de TI. Quando for necessário um PIN, os dados serão encriptados de acordo com as definições na política de gestão de aplicações móveis. Conforme indicado na documentação da Apple, os módulos utilizados pelo iOS 7 têm a certificação FIPS 140-2.  

    Encriptação para Android

    Para as aplicações associadas à política de gestão de aplicações móveis do Gestor de configuração, a encriptação é fornecida pela Microsoft. Os dados são encriptados em sincronia durante operações de E/S de ficheiros, de acordo com a definição na política de gestão de aplicações móveis. As aplicações geridas no Android utilizam encriptação AES-128 no modo CBC ao utilizar as bibliotecas de criptografia da plataforma. O método de encriptação não tem certificação FIPS 140-2. O conteúdo no armazenamento do dispositivo será sempre encriptado.

    Bloquear captura de ecrã (apenas dispositivos Android)

    Especifica que as funcionalidades de captura de ecrã do dispositivo estão bloqueadas durante a utilização desta aplicação.

  7. Na página Browser Gerido, selecione se pretender permitir ou bloquear a abertura apenas dos URLs da lista através do browser gerido, faça a gestão dos URLs da lista e, em seguida, clique em Seguinte.

  8. Conclua o assistente.

A nova política é apresentada no nó Políticas de Gestão de Aplicações da área de trabalho Biblioteca de Software.

Quando é criado um tipo de implementação de uma aplicação que necessita de uma política de gestão de aplicações, o Gestor de configuração reconhecerá que tem ser ligada uma política de gestão da aplicação a este tipo de implementação quando a aplicação associada é implementada e irá pedir-lhe para associar uma política de gestão de aplicação. Para o Browser Gerido, tem de associar uma política de Browser Gerido e Geral. Para mais informações, consulte Como Criar e Implementar Aplicações para Dispositivos Móveis no Configuration Manager.

System_CAPS_importantImportante

Se a aplicação já está implementada, a implementação para o novo tipo de implementação falhará até esta associação ser efetuada. Pode efetuar a associação em Propriedades da aplicação, no separador Gestão de Aplicações.

System_CAPS_importantImportante

Para dispositivos com sistemas operativos anteriores ao iOS 7.1, as políticas associadas não serão removidas quando a aplicação é desinstalada.

Se o dispositivo não estiver inscrito no Gestor de configuração, as políticas não são removidas das aplicações. As aplicações que tinham as políticas aplicadas irão manter as definições de política, mesmo depois de a aplicação ser desinstalada e reinstalada.

Assim que criar e implementar uma aplicação associada a uma política de gestão de aplicações móveis, pode monitorizar a aplicação e resolver eventuais conflitos de política.

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Monitorização, expanda Descrição Geral e, em seguida, clique em Implementações.

  3. Selecione a implementação e, no separador Base, clique em Propriedades.

  4. No painel de detalhes da implementação, clique em Políticas de Gestão de Aplicações em Objetos Relacionados.

Para mais informações sobre a monitorização de aplicações, consulte Como monitorizar aplicações no Configuration Manager.

Quando existe um conflito de política de gestão de aplicações móveis na primeira implementação para o utilizador ou dispositivo, o valor de definição específico em conflito será removido da política implementada na aplicação e a aplicação utilizará um valor de conflito incorporado.

Quando existe um conflito de política de gestão de aplicações móveis em implementações posteriores na aplicação ou utilizador, o valor de definição específico em conflito não será atualizado na política de gestão de aplicações móveis implementada na aplicação e a aplicação utilizará o valor existente para essa definição.

Nos casos em que o dispositivo ou o utilizador recebe duas políticas em conflito, aplica-se o comportamento seguinte:

  • Se uma política já tiver sido implementada no dispositivo, as definições da política existente não são substituídas.

  • Se ainda não tiver sido implementada uma política no dispositivo e forem implementadas duas definições em conflito, a predefinição incorporada no dispositivo é utilizada.

Para uma lista de aplicações geridas por política que estão disponíveis para dispositivos iOS e Android, consulte Aplicações geridas para as políticas de gestão de aplicações móveis do Microsoft Intune.

Mostrar: