A integração do VMware Workspace ONE® com AirWatch com as Políticas de Proteção de Aplicativo do Microsoft Intune® remove o gerenciamento de políticas de DLP para suas políticas de proteção de aplicativo do Microsoft Intune em dois consoles.

Você pode configurar as políticas de aplicativo de prevenção de perda de dados (DLP) para a Proteção de Aplicativo do Microsoft Intune em Workspace ONE UEM. Depois de integrar os dois sistemas, gerencie as políticas de aplicativo DLP no Workspace ONE UEM console para que a integração permaneça atual.

A maioria das políticas de proteção de aplicativos do Microsoft Intune está disponível para as plataformas Android e iOS.

Gerencie no Workspace ONE UEM Console para permanecer sincronizado

Depois de integrar os dois sistemas, gerencie as políticas de aplicativo DLP no Workspace ONE UEM console para que a integração permaneça atual. O Workspace ONE UEM não recebe alterações feitas em outras partes da integração. As políticas do aplicativo DLP ou as atribuições do grupo de segurança podem ficar fora de sincronia.

Experiências do usuário em Android e iOS

As plataformas iOS e Android têm experiências de usuário diferentes e semelhantes quando os usuários acessam os aplicativos pela primeira vez após uma integração com êxito com o Intune.

Experiência no iOS

Quando o usuário do dispositivo se autentica em aplicativos do Microsoft Office 365 em dispositivos iOS e o perfil é enviado com êxito, o sistema exibe um pop-up informando que sua organização gerencia o aplicativo. Não há etapas adicionais na configuração.

Experiência no Android

Para gerenciar dispositivos Android e Android Enterprise, os usuários devem instalar o aplicativo Intune Company Portal. Este aplicativo atua como um agente para o SDK do aplicativo Intune da mesma forma que o Workspace ONE Intelligent Hub atua como um agente para os aplicativos Workspace ONE UEM.

Experiência comum em iOS e Android

Ambas as plataformas devem definir o Intune como a Autoridade MDM no dispositivo. Você pode definir essa configuração no dispositivo em Azure Tenant > Todos os recursos > Intune. Habilite o Intune como Autoridade MDM na notificação de instalação Como começar.

Faça essas ações no Azure para integrar o Microsoft Intune

Para integração, crie uma conta de usuário e atribua ao usuário as licenças Microsoft listadas.

Nos ambientes que não têm a integração com o Azure AD nos serviços de diretório no Workspace ONE UEM console, você deve adicionar o aplicativo AirWatch by VMware no Azure. Acesse Configurar Workspace ONE UEM para usar o Azure AD como um Serviço de Identidade para obter detalhes.

Importante:

Se você já tiver o Out of the Box Enrollment (OOBE) configurado com qualquer outro provedor de MDM que não seja o Workspace ONE UEM, adicione o AirWatch by VMware e não insira ou edite quaisquer outras configurações no Azure. Se você inserir ou editar as configurações, poderá interromper o processo de inscrição existente.

  • Crie uma conta de serviço (um usuário) no Azure e atribua ao usuário as funções adequadas.
    Observação:

    Essas etapas são gerais. Para obter detalhes atuais sobre a configuração do Azure, consulte a documentação da Microsoft.

    1. Acesse o portal do Azure digitando portal.azure.com no seu navegador.
    2. Crie ou sincronize um usuário com o Active Directory local.

      Desative o MFA (autenticação multifator) para o domínio deste usuário.

    3. Atribua a este usuário as funções listadas.
      • Administrador Intune
      • Administrador do aplicativo
      • Leitor do diretório
      • Escrita do diretório
  • Se você criou um usuário no Azure AD, use essa conta para fazer login no Azure em portal.azure.com. Certifique-se de que a senha é válida e não precisa ser atualizada.
  • Você deve atribuir ao usuário as licenças listadas no Azure.
    • Políticas de proteção do aplicativo Microsoft Intune
    • Microsoft Enterprise Mobility + Security E3 ou E5

Definir as configurações do Intune

No Workspace ONE UEM console, configure e aplique as políticas de aplicativo de prevenção de perda de dados (DLP) aos aplicativos e dados da proteção de aplicativos do Microsoft Intune®. Configure primeiro a guia Autenticação para que os sistemas possam se comunicar. Em seguida, defina suas configurações de DLP e atribua-as aos grupos.

O Workspace ONE UEM não impõe políticas diretamente aos aplicativos. O Microsoft SDK controla e aplica as políticas.
Observação:

O aviso é alterado para a versão do sistema operacional e a versão do aplicativo. A versão do patch do Android apenas notifica o usuário com uma mensagem de aviso. No entanto, os alertas de aviso não impedem os usuários finais de usar o aplicativo.

Pré-requisitos

Para configurar e aplicar políticas de aplicativo DLP a aplicativos Intune, você deve ter privilégios para configurar políticas de aplicativo no Intune.

Procedimento

  1. Navegar para Grupos e configurações > Todas as configurações > Aplicativos > Políticas de Proteção de Aplicativo do Microsoft Intune®.
  2. Selecione a guia Autenticação e insira o nome de usuário e a senha do administrador do Azure.

    Os administradores podem usar as políticas de aplicativos DLP do Office 365 para proteger os aplicativos e dados do Office 365 com APIs do Microsoft Graph. Para configurar as políticas de DLP do Office 365, você precisa de credenciais de administrador para conectar seu tenant ao Workspace ONE UEM.

    Configuração Descrição
    Nome de usuário: Insira o nome de usuário que é usado para configurar seu tenant para o Workspace ONE UEM.
    Senha Insira a senha que é usada para configurar seu tenant para o Workspace ONE UEM.

    O Workspace ONE UEM usa essas credenciais para pesquisar e atribuir as políticas de aplicativo DLP aos grupos de segurança da Microsoft.

  3. Selecione a guia Prevenção contra perda de dados e configure as políticas de aplicativo DLP preferidas das Políticas de proteção de aplicativos do Microsoft Intune. Configure as políticas do aplicativo DLP para seus aplicativos e dados gerenciados das Políticas de proteção de aplicativos do Microsoft Intune.
    Configurações para realocação de dados Descrição
    Impedir backup Impede que os usuários façam backup dos dados de seus aplicativos gerenciados.
    Permitir que os aplicativos transfiram dados para outros aplicativos
    • Tudo – os usuários podem enviar dados de aplicativos gerenciados para qualquer aplicativo.

    • Restrito – os usuários podem enviar dados de seus aplicativos gerenciados para outros aplicativos gerenciados.

    • Nenhum – impede que os usuários enviem dados de aplicativos gerenciados para qualquer aplicativo.

    Permitir que aplicativos recebam dados de outros aplicativos
    • Tudo – os usuários podem receber dados de aplicativos para seus aplicativos gerenciados.

    • Restrito – os usuários podem receber dados de outros aplicativos gerenciados para seus aplicativos gerenciados.

    • Nenhum – impede que os usuários recebam dados de todos os aplicativos para seus aplicativos gerenciados.

    Impedir "Salvar como" Impede que os usuários salvem dados de aplicativos gerenciados das Políticas de Proteção de Aplicativo do Microsoft Intune em outro sistema ou área de armazenamento.
    Restringir cortar, copiar e colar com outros aplicativos
    • Qualquer aplicativo – os usuários podem cortar, copiar e colar dados entre seus aplicativos gerenciados e qualquer aplicativo.

    • Bloqueado – impede que os usuários recortem, copiem e colem dados entre os aplicativos gerenciados e todos os aplicativos.

    • Aplicativos gerenciados por política – os usuários podem cortar, copiar e colar dados entre aplicativos gerenciados das Políticas de Proteção de Aplicativo do Microsoft Intune.

    • Aplicativos gerenciados por política com colar – os usuários podem cortar e copiar dados de seus aplicativos gerenciados e colar os dados em outros aplicativos gerenciados.

      Os usuários também podem cortar e copiar dados de qualquer aplicativo em seus aplicativos gerenciados.

    Restringir conteúdo da Web para exibição em navegador gerenciado Força links em aplicativos gerenciados a abrir em um navegador gerenciado.
    Criptografar dados de aplicativos Criptografa dados pertencentes a aplicativos gerenciados quando o dispositivo está no estado selecionado. O sistema criptografa os dados armazenados em qualquer lugar, incluindo unidades de armazenamento externo e cartões SIM.
    Desativar sincronização de conteúdo Impede que aplicativos gerenciados salvem contatos no catálogo de endereços nativo.
    Desativar impressão Impede que os usuários imprimam dados associados a aplicativos gerenciados.
    Locais de armazenamento de dados permitidos Os administradores podem controlar onde os usuários podem armazenar dados de aplicativos gerenciados.
    Configurações de acesso Descrição
    Exigir PIN para acesso

    Exige que os usuários insiram um PIN para acessar os aplicativos gerenciados.

    Os usuários criam o PIN durante o acesso inicial.

    Número de tentativas antes da redefinição do PIN Define o número de entradas que os usuários tentam antes de o sistema redefinir o PIN.
    Permitir PIN simples Os usuários podem criar PINs de quatro dígitos com caracteres repetidos.
    Comprimento do PIN Define o número de caracteres que os usuários devem definir para seus PINs.
    Caracteres PIN permitidos Define os caracteres que os usuários devem configurar para seus PINs.
    Permitir impressão digital em vez de PIN Os usuários podem acessar aplicativos gerenciados com suas impressões digitais em vez de PINs.
    Exigir credenciais corporativas para acesso Os usuários podem acessar aplicativos gerenciados com suas credenciais corporativas.
    Impedir que aplicativos gerenciados sejam executados em dispositivos desbloqueados ou com root Impede que os usuários acessem aplicativos gerenciados em dispositivos comprometidos.
    Verificar novamente os requisitos de acesso após (minutos)

    Define o sistema para validar o PIN de acesso, impressão digital ou informações de credencial quando a sessão de acesso atinge um dos intervalos de tempo.

    • Tempo limite – o número de minutos que as sessões de acesso para aplicativos gerenciados ficam ociosas.

    • Período de carência off-line – o número de minutos que os dispositivos com aplicativos gerenciados ficam off-line.

    Intervalo off-line (dias) antes que os dados do aplicativo sejam apagados Define o sistema para remover dados de aplicativos gerenciados dos dispositivos quando os dispositivos ficam off-line por um determinado número de dias.
    Configurações para Android Descrição
    Bloquear captura de tela e Android Assistant Se a opção Sim estiver selecionada, as capturas de tela e a verificação do aplicativo Android Assistant ficarão indisponíveis ao usar um aplicativo do Office.
    Versão mínima do sistema operacional necessária Insira o número de versão mínima do sistema operacional Android necessária que um usuário deve ter para obter acesso seguro ao aplicativo.
    Versão mínima do sistema operacional necessária (apenas avisos de alerta) Insira o número da versão mínima do sistema operacional Android que o usuário obtenha acesso seguro ao aplicativo.
    Versão mínima do aplicativo necessária Insira o número mínimo da versão do aplicativo necessária para que o usuário obtenha acesso seguro ao aplicativo.
    Versão mínima do aplicativo necessária (apenas alerta de aviso) Insira o número mínimo da versão do aplicativo para que o usuário obtenha acesso seguro ao aplicativo.
    Versão mínima do patch Android necessária Insira o nível de patch de segurança do Android mais antigo necessário que um usuário obtenha acesso seguro ao aplicativo.
    Versão mínima do patch Android necessária (apenas avisos de alerta) Insira o nível de patch de segurança do Android mais antigo que um usuário obtenha acesso seguro ao aplicativo.
  4. Selecione a guia Grupos atribuídos e atribua as políticas de aplicativo DLP aos grupos de segurança da Microsoft. Os grupos de segurança são configurados anteriormente no Azure.
    Configuração Descrição
    Todos os grupos de segurança

    Digite o nome do grupo de segurança e o atribua às políticas do aplicativo DLP. Selecione na lista que o sistema exibe após uma entrada.

    Selecione Adicionar grupo e atribuia as políticas do aplicativo DLP ao grupo de segurança.

    Grupos de segurança atribuídos a políticas do O365

    Lista os grupos de segurança atribuídos às políticas do aplicativo DLP.

    Selecione Remover grupo e remova a atribuição do grupo de segurança.

Mensagens de aviso para políticas excluídas e modificadas

Após o carregamento das Políticas de Proteção de Aplicativo do Microsoft Intune, o Workspace ONE UEM console verifica se há exclusões e modificações no Intune no portal do Azure. É possível que as políticas gerenciadas não estejam sincronizadas com as políticas implantadas. Para avisar os administradores sobre possíveis exclusões e modificações, o Workspace ONE UEM console exibe mensagens de aviso com base no cenário.

  • A política foi excluída do Portal Microsoft Intune. Clique em Excluir configurações para excluir as configurações de política do UEM.

    O Workspace ONE UEM console exibe esta mensagem depois que alguém exclui uma ou ambas as políticas de iOS e Android implantadas no Intune. Selecionar Excluir configurações remove as configurações de ambas as políticas do Workspace ONE UEM console sem modificar nada no lado do Azure. A página do console não atualiza automaticamente.

    Os usuários podem implantar novas políticas de iOS e Android no Azure sem erros.

    Observação: Se apenas uma das políticas, iOS ou Android, for excluída no Azure, a outra política ainda permanecerá no Azure. Os usuários devem excluir manualmente a outra política se optarem por não manter as configurações anteriores.
  • As configurações de política foram atualizadas no portal do Microsoft Intune e estão fora de sincronia com o Workspace ONE UEM. Clique em Configurações de sincronização para atualizar esta política no UEM.
    O Workspace ONE UEM console exibe essa mensagem depois que alguém modifica as políticas do iOS e do Android no Intune no portal do Azure e as configurações da política ainda correspondem entre as duas políticas. Selecionar Configurações de sincronização atualiza as configurações de ambas as políticas no Workspace ONE UEM para corresponder aos retirados das políticas no Azure. A página do console não atualiza automaticamente.
    Observação: Este cenário exclui configurações que são específicas para iOS ou Android, como configurações do iOS SDK e configurações do Android Assistant.
  • A política "Receber dados entre outros aplicativos" é diferente para a política do Android e a política do iOS no Portal do Azure. Esta configuração precisa ser a mesma para que o Workspace ONE UEM sincronize a política do Android e do iOS. Entre em contato com o administrador de TI para resolver o problema.
    As políticas "Receber dados entre outros aplicativos" e "Enviar dados da organização para outros aplicativos" são diferentes para a política do Android e a política do iOS no portal do Azure. Essas configurações precisam ser as mesmas para o Workspace ONE UEM para sincronizar a política do Android e do iOS. Entre em contato com o administrador de TI para resolver o problema.
    As políticas "Impedir Backups", "Receber dados entre outros aplicativos" e "Enviar dados da organização para outros aplicativos" são diferentes para a política do Android e a política do iOS no portal do Azure. Essas configurações precisam ser as mesmas para o Workspace ONE UEM para sincronizar a política do Android e do iOS. Entre em contato com o administrador de TI para resolver o problema. 

    O Workspace ONE UEM console exibe essas mensagens depois que alguém modifica ambas as políticas no Intune no portal do Azure, mas as configurações de política não correspondem entre as duas políticas. As mensagens listam as diferenças de configuração entre as duas políticas no Azure. Elas também listam os nomes das políticas listados no Azure e não os usados pelo Workspace ONE UEM console.

    Resolva os conflitos listados nas mensagens antes de usar o item Configurações de sincronização do menu no Workspace ONE UEM console.

    Observação: Este cenário exclui configurações que são específicas para iOS ou Android, como configurações do iOS SDK e configurações do Android Assistant.

Os itens Excluir configurações e Configurações de sincronização do menu não modificam nenhuma configuração no Intune no portal do Azure.