Proteger aplicações através de políticas de gestão de aplicações móveis no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

O System Center Configuration Manager As políticas de gestão de aplicações móveis do System Center Configuration Manager permitem-lhe modificar a funcionalidade das aplicações que implementa para que as mesmas cumpram as políticas de segurança e de conformidade da sua empresa. Por exemplo, pode restringir as operações de corte, cópia e colagem numa aplicação restrita ou configurar uma aplicação no sentido de abrir todas as ligações da Web num browser gerido. Suporte para políticas de gestão de aplicações:

  • Dispositivos com Android 4 ou posterior.

  • Dispositivos com iOS 7 ou posterior.

System_CAPS_ICON_tip.jpg Dica


Para além dos dispositivos geridos, pode utilizar as políticas de gestão de aplicações móveis para proteger as aplicações em dispositivos que não sejam geridos pelo Intune. Através desta nova funcionalidade, pode aplicar políticas de gestão de aplicações móveis para aplicações que se ligam a serviços do Office 365. Esta opção não é suportada para aplicações que se ligam ao Exchange ou ao SharePoint no local.

Para utilizar esta nova capacidade, tem de utilizar o portal de pré-visualização do Azure. Os tópicos seguintes podem ajudá-lo a familiarizar-se:

Ao contrário dos itens de configuração e linhas de base do Gestor de configuração, o utilizador não implementa diretamente uma política de gestão de aplicações. Em vez disso, associa a política ao tipo de implementação da aplicação que pretende restringir. Quando o tipo de implementação da aplicação é implementado e instalado em dispositivos, as definições que especificar entrarão em vigor.

Para aplicar restrições a uma aplicação, esta tem de incorporar o Software Development Kit (SDK) da Aplicação do Microsoft Intune. Existem dois métodos para obter este tipo de aplicação:

O procedimento para criar a aplicação do Gestor de configuração difere quando utiliza uma aplicação gerida por política (ligação externa) ou uma aplicação criada através da Ferramenta de Encapsulamento de Aplicações do Microsoft Intune para iOS (pacote de aplicação para iOS). Utilize um dos seguintes procedimentos para criar a aplicação do Gestor de configuração.

Para criar uma aplicação para uma ferramenta de encapsulamento de aplicações para uma aplicação iOS

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.

  3. No separador Home Page, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.

  4. Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.

  5. Na lista pendente Tipo, selecione Pacote de aplicação para iOS (ficheiro *.ipa).

  6. Clique em Procurar para selecionar o pacote de aplicação que pretende importar e clique em Seguinte.

  7. Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.

  8. Conclua o assistente.

A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.

Para criar uma aplicação com uma ligação a uma aplicação gerida por política

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e clique em Aplicações.

  3. No separador Home Page, no grupo Criar, clique em Criar Aplicação para abrir o Assistente para Criar Aplicação.

  4. Na página Geral, selecione Detetar automaticamente informação sobre esta aplicação nos ficheiros de instalação.

  5. Na lista pendente Tipo, selecione um dos seguintes:

    • Para iOS: Pacote de Aplicação para iOS da App Store

    • Para Android: Pacote de Aplicação para Android no Google Play

  6. Introduza o URL para a aplicação (a partir do passo 1) e, em seguida, clique em Seguinte.

  7. Na página Informações Gerais, introduza o texto descritivo e as informações sobre a categoria que pretende que os utilizadores vejam no portal da empresa.

  8. Conclua o assistente.

A nova aplicação é apresentada no nó Aplicações da área de trabalho Biblioteca de Software.

Em seguida, crie uma política de gestão de aplicações que irá associar à aplicação. Pode criar uma política de browser gerido ou geral.

Para criar uma política de gestão de aplicações

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Biblioteca de Software, expanda Gestão de Aplicações e, em seguida, clique em Políticas de Gestão de Aplicações.

  3. No separador Home Page, no grupo Criar, clique em Criar Política de Gestão de Aplicações.

  4. Na página Geral, introduza o nome e a descrição da política e, em seguida, clique em Seguinte.

  5. Na página Tipo de Política, selecione a plataforma e o tipo de política para esta política e, em seguida, clique em Seguinte. Estão disponíveis os seguintes tipos de política:

    • Geral: o tipo de política Geral permite modificar a funcionalidade das aplicações implementadas para ajudar que cumpram as políticas de conformidade e de segurança da sua empresa. Por exemplo, pode restringir as operações de corte, cópia e colagem numa aplicação restrita.

    • Browser Gerido: configure se pretende permitir ou bloquear a abertura de uma lista de URLs no browser gerido. A política de Browser Gerido permite modificar a funcionalidade da aplicação Intune Managed Browser. É um browser que lhe permite gerir as ações que os utilizadores podem realizar, incluindo os sites que podem visitar e como são abertas as ligações para conteúdo no browser. Saiba mais sobre a aplicação Intune Managed Browser para iOS e a aplicação Intune Managed Browser para Android.

  6. Na página Política para iOS ou Política para Android, configure os seguintes valores conforme necessário e clique em Seguinte. As opções podem variar dependendo do tipo de dispositivo para o qual está a configurar a política.

    ValorMais informações
    Restringir o conteúdo Web a apresentar num browser gerido pela empresaQuando esta definição é ativada, as ligações na aplicação serão abertas no Browser Gerido. Para esta opção funcionar, esta aplicação tem de estar implementada em dispositivos.
    Impedir cópias de segurança de Android ou Impedir cópias de segurança de iTunes e iCloudDesativa a cópia de segurança de informações da aplicação.
    Permitir que a aplicação transfira dados para outras aplicaçõesEspecifica as aplicações para as quais esta aplicação pode enviar dados. Pode optar por não permitir a transferência de dados para qualquer aplicação, apenas permitir a transferência para outras aplicações restritas ou permitir a transferência para qualquer aplicação.

    Em dispositivos iOS, para impedir a transferência de documentos entre aplicações geridas e não geridas, também tem de configurar e implementar uma política de segurança de dispositivos móveis que desativa a definição Permitir documentos geridos noutras aplicações não geridas.

    Se selecionar apenas permitir a transferência para outras aplicações restritas, os visualizadores de PDF e imagem do Intune (se estiverem implementados) serão utilizados para abrir conteúdos dos respetivos tipos.
    Permitir que a aplicação receba dados de outras aplicaçõesEspecifica de que aplicações esta aplicação pode receber dados. Pode optar por não permitir a transferência de dados de qualquer aplicação, apenas permitir a transferência de outras aplicações restritas ou permitir a transferência de qualquer aplicação.
    Impedir "Guardar Como"Desativa a utilização da opção Guardar Como numa aplicação que utiliza esta política.
    Restringir as operações de corte, cópia e colagem com outras aplicaçõesEspecifica como as operações de corte, cópia e colagem podem ser utilizadas com a aplicação. Escolha entre:

     Bloqueado – não permitir operações de corte, cópia e colagem entre esta aplicação e outras aplicações.

     Aplicações Geridas por Políticas - permitir apenas operações de corte, cópia e colagem entre esta aplicação e outras aplicações restritas.

     Aplicações Geridas por Políticas com Colar Em - permitir que os dados cortados ou copiados desta aplicação apenas sejam colados noutras aplicações restritas. Permitir que os dados cortados ou copiados de qualquer aplicação sejam colados nesta aplicação.

     Qualquer Aplicação - sem restrições para operações de corte, cópia e colagem desta ou para esta aplicação.
    Exigir PIN simples para acessoExige que o utilizador introduza um número PIN que especifica para utilizar esta aplicação. Será pedido ao utilizador para configurar isto da primeira vez que executar a aplicação.
    Número de tentativas antes de redefinição do PINEspecifique o número de tentativas de introdução do PIN que podem ser efetuadas antes do utilizador ter de redefinir o PIN.
    Exigir credenciais da empresa para obter acessoExige que o utilizador introduza as informações de início de sessão empresarial antes de poder aceder à aplicação.
    Exigir a conformidade do dispositivo com a política empresarial para acessoApenas permite que a aplicação seja utilizada quando o dispositivo não é desbloqueado através de jailbreak ou rooting.
    Verificar novamente os requisitos de acesso após (minutos)No campo Tempo limite, especifique o período de tempo antes de os requisitos de acesso da aplicação serem novamente verificados após a aplicação ser iniciada.

    No campo Período de tolerância offline, se o dispositivo estiver offline, especifique o período de tempo antes de os requisitos de acesso da aplicação serem novamente verificados.
    Encriptar dados da aplicaçãoEspecifica que todos os dados associados a esta aplicação serão encriptados, incluindo os dados armazenados externamente, como cartões SD.

     Encriptação para iOS

    Para as aplicações associadas a uma política de gestão de aplicações móveis do Gestor de configuração, os dados são encriptados em pausa com a encriptação de nível de dispositivo proporcionada pelo SO. Isto é ativado através da política de PIN de dispositivo que tem de ser definida pelo administrador de TI. Quando for necessário um PIN, os dados serão encriptados de acordo com as definições na política de gestão de aplicações móveis. Conforme indicado na documentação da Apple, os módulos utilizados pelo iOS 7 têm a certificação FIPS 140-2.

     Encriptação para Android

    Para as aplicações associadas à política de gestão de aplicações móveis do Gestor de configuração, a encriptação é fornecida pela Microsoft. Os dados são encriptados em sincronia durante operações de E/S de ficheiros, de acordo com a definição na política de gestão de aplicações móveis. As aplicações geridas no Android utilizam encriptação AES-128 no modo CBC ao utilizar as bibliotecas de criptografia da plataforma. O método de encriptação não tem certificação FIPS 140-2. O conteúdo no armazenamento do dispositivo será sempre encriptado.
    Bloquear captura de ecrã (apenas dispositivos Android)Especifica que as funcionalidades de captura de ecrã do dispositivo estão bloqueadas durante a utilização desta aplicação.
  7. Na página Browser Gerido, selecione se pretender permitir ou bloquear a abertura apenas dos URLs da lista através do browser gerido, faça a gestão dos URLs da lista e, em seguida, clique em Seguinte.

    System_CAPS_ICON_warning.jpg Aviso


    Para obter mais informações, veja Gerir o acesso à Internet através de políticas de browser gerido com o System Center Configuration Manager.

  8. Conclua o assistente.

A nova política é apresentada no nó Políticas de Gestão de Aplicações da área de trabalho Biblioteca de Software.

Quando é criado um tipo de implementação de uma aplicação que necessita de uma política de gestão de aplicações, o Gestor de configuração reconhecerá que tem ser ligada uma política de gestão da aplicação a este tipo de implementação quando a aplicação associada é implementada e irá pedir-lhe para associar uma política de gestão de aplicação. Para o Browser Gerido, tem de associar uma política de Browser Gerido e Geral. Para obter mais informações, veja Como criar aplicações com o System Center Configuration Manager.

System_CAPS_ICON_important.jpg Importante


Se a aplicação já está implementada, a implementação para o novo tipo de implementação falhará até esta associação ser efetuada. Pode fazer a associação em Propriedades da aplicação, no separador Gestão de Aplicações.

System_CAPS_ICON_important.jpg Importante


Para dispositivos com sistemas operativos anteriores ao iOS 7.1, as políticas associadas não serão removidas quando a aplicação é desinstalada.

Se o dispositivo não estiver inscrito no Gestor de configuração, as políticas não são removidas das aplicações. As aplicações que tinham as políticas aplicadas irão manter as definições de política, mesmo depois de a aplicação ser desinstalada e reinstalada.

Assim que criar e implementar uma aplicação associada a uma política de gestão de aplicações móveis, pode monitorizar a aplicação e resolver eventuais conflitos de política.

  1. Na consola do Gestor de configuração, clique em Biblioteca de Software.

  2. Na área de trabalho Monitorização, expanda Descrição Geral e, em seguida, clique em Implementações.

  3. Selecione a implementação e, no separador Base, clique em Propriedades.

  4. No painel de detalhes da implementação, clique em Políticas de Gestão de Aplicações em Objetos Relacionados.

Para obter mais informações sobre a monitorização de aplicações, veja Monitorizar aplicações com o System Center Configuration Manager.

Como são resolvidos os conflitos de políticas

Quando existe um conflito de política de gestão de aplicações móveis na primeira implementação para o utilizador ou dispositivo, o valor de definição específico em conflito será removido da política implementada na aplicação e a aplicação utilizará um valor de conflito incorporado.

Quando existe um conflito de política de gestão de aplicações móveis em implementações posteriores na aplicação ou utilizador, o valor de definição específico em conflito não será atualizado na política de gestão de aplicações móveis implementada na aplicação e a aplicação utilizará o valor existente para essa definição.

Nos casos em que o dispositivo ou o utilizador recebe duas políticas em conflito, aplica-se o comportamento seguinte:

  • Se uma política já tiver sido implementada no dispositivo, as definições da política existente não são substituídas.

  • Se ainda não tiver sido implementada uma política no dispositivo e forem implementadas duas definições em conflito, a predefinição incorporada no dispositivo é utilizada.

Aplicações geridas por políticas disponíveis

Para obter uma lista de aplicações geridas por política que estão disponíveis para dispositivos iOS e Android, veja Aplicações geridas para as políticas de gestão de aplicações móveis do Microsoft Intune.

Gerir e proteger aplicações com o System Center Configuration Manager

Mostrar: