Configurando Políticas de Proteção de Aplicativos (APP) no Microsoft Intune

Configurando Políticas de Proteção de Aplicativos (APP) no Microsoft Intune

14/06/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e implementação de Políticas de Proteção de Aplicativos (APP), também conhecidas como Mobile Application Management (MAM) sem inscrição, no Microsoft Intune. As APPs são cruciais para proteger os dados corporativos em dispositivos móveis, sejam eles gerenciados pelo Intune (MDM) ou não gerenciados (BYOD - Bring Your Own Device), garantindo que os dados da organização permaneçam seguros e isolados dos dados pessoais [1].

Introdução

Em um cenário onde a mobilidade é essencial e o uso de dispositivos pessoais para fins de trabalho (BYOD) é cada vez mais comum, a proteção dos dados corporativos torna-se um desafio significativo. O Microsoft Intune App Protection Policies (APP) oferece uma solução robusta para esse problema, permitindo que as organizações controlem como os dados corporativos são acessados, usados e compartilhados dentro de aplicativos móveis específicos, sem a necessidade de gerenciar o dispositivo inteiro. Isso significa que você pode proteger dados em aplicativos como Outlook, Word, Excel, SharePoint e outros aplicativos gerenciados pelo Intune, mesmo em dispositivos que não estão inscritos no MDM [2].

Este guia prático abordará a criação e configuração de políticas APP para iOS/iPadOS e Android, incluindo a definição de controles de acesso, proteção de dados e requisitos de conformidade. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa implementar uma estratégia de proteção de dados eficaz, protegendo informações confidenciais e garantindo a conformidade regulatória em dispositivos móveis.

Por que as Políticas de Proteção de Aplicativos (APP) são cruciais?

  • Proteção de Dados Corporativos: Impede a perda de dados (DLP) ao controlar ações como copiar, colar, salvar como e print screen em aplicativos gerenciados.
  • Suporte a BYOD: Permite que os usuários utilizem seus dispositivos pessoais para trabalhar, ao mesmo tempo em que protege os dados corporativos sem invadir a privacidade pessoal.
  • Controles de Acesso Flexíveis: Exige PIN, biometria ou credenciais corporativas para acessar aplicativos gerenciados, garantindo que apenas usuários autorizados possam acessar dados corporativos.
  • Isolamento de Dados: Garante que os dados corporativos não possam ser movidos para aplicativos ou armazenamentos pessoais não gerenciados.
  • Conformidade: Ajuda a atender a requisitos regulatórios que exigem proteção de dados em dispositivos móveis.
  • Experiência do Usuário Aprimorada: Oferece uma experiência de usuário consistente e segura em aplicativos corporativos.

Pré-requisitos

Para implementar as Políticas de Proteção de Aplicativos (APP) no Microsoft Intune, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença que inclua o Microsoft Intune (ex: Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador do Intune, Administrador de Aplicativos do Intune ou Administrador Global no centro de administração do Microsoft Intune (https://endpoint.microsoft.com).
  3. Aplicativos Gerenciados pelo Intune: Os aplicativos que você deseja proteger devem ser "MAM-aware" (compatíveis com MAM), como os aplicativos do Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) e outros aplicativos de linha de negócios que foram integrados com o SDK do Intune App Protection [4].
  4. Dispositivos de Teste: Dispositivos iOS/iPadOS e Android para testar as políticas.

Passo a Passo: Configurando Políticas de Proteção de Aplicativos (APP)

Vamos criar uma política APP para iOS/iPadOS e Android para proteger dados corporativos em aplicativos do Microsoft 365.

1. Acessando o Centro de Administração do Microsoft Intune

  1. Abra seu navegador e navegue até https://endpoint.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.

2. Criando uma Nova Política de Proteção de Aplicativos

  1. No painel de navegação esquerdo, selecione Aplicativos > Políticas de proteção de aplicativos.
  2. Clique em Criar política e selecione a plataforma desejada (ex: iOS/iPadOS). Repetiremos o processo para Android.

Etapa 1: Informações Básicas

  1. Nome: APP - iOS - Proteção de Dados Corporativos (ou APP - Android - Proteção de Dados Corporativos).
  2. Descrição: Política para proteger dados corporativos em aplicativos do Microsoft 365 em dispositivos iOS/iPadOS.
  3. Clique em Avançar.

Etapa 2: Aplicativos

Aqui você seleciona os aplicativos que serão alvo desta política.

  1. Aplicativos de destino: Selecione Todos os aplicativos Microsoft (para proteger todos os aplicativos Microsoft 365 e outros aplicativos Microsoft que suportam APP) ou Selecionar aplicativos personalizados (para escolher aplicativos específicos).
  2. Para este exemplo, selecione Todos os aplicativos Microsoft.
  3. Clique em Avançar.

Etapa 3: Proteção de Dados

Esta seção define como os dados corporativos serão protegidos dentro dos aplicativos.

Transferências de dados:

  1. Enviar dados da organização para outros aplicativos: Selecione Todos os aplicativos ou Nenhum aplicativo.
    • Dica: Para máxima segurança, Nenhum aplicativo impede que dados corporativos sejam movidos para aplicativos pessoais. Se precisar de interoperabilidade com aplicativos de linha de negócios não gerenciados, considere Todos os aplicativos com restrições adicionais.
  2. Receber dados de outros aplicativos: Selecione Todos os aplicativos ou Nenhum aplicativo.
  3. Permitir que os usuários salvem cópias de dados da organização: Selecione Nenhum aplicativo.
  4. Permitir que os usuários salvem cópias de dados da organização para serviços de nuvem selecionados: Se precisar permitir o salvamento em serviços de nuvem específicos (ex: OneDrive for Business, SharePoint), configure aqui.

Criptografia:

  1. Criptografar dados da organização: Selecione Sim.

Funcionalidades:

  1. Restringir funções de cortar, copiar e colar: Selecione Somente para aplicativos de política (para permitir copiar/colar entre aplicativos gerenciados, mas não para aplicativos pessoais) ou Bloquear (para impedir totalmente).
  2. Impedir capturas de tela e gravação de tela: Selecione Sim.
  3. Sincronização de contatos com aplicativos nativos: Selecione Bloquear.

  4. Impressão de dados da organização: Selecione Bloquear.

  5. Clique em Avançar.

Etapa 4: Requisitos de Acesso

Esta seção define as condições que um usuário deve atender para acessar os aplicativos gerenciados.

  1. PIN para acesso: Selecione Exigir PIN.
    • Tipo de PIN: Numérico ou Numérico complexo.
    • Comprimento mínimo do PIN: 4 (ou mais, conforme a política de segurança).
    • Permitir impressão digital em vez de PIN: Sim (para conveniência).
  2. Credenciais da empresa para acesso: Selecione Exigir credenciais da empresa (para reautenticação periódica).

  3. Verificação de integridade do dispositivo/aplicativo: Selecione Sim.

    • Nível de ameaça máximo permitido: Baixo ou Médio (integra-se com o Microsoft Defender for Endpoint para iOS/Android).

  4. Clique em Avançar.

Etapa 5: Condicional Launch

Esta seção define o que acontece se o dispositivo ou o aplicativo não atender aos requisitos da política.

  1. PIN de acesso: Configure Número máximo de tentativas de PIN (ex: 5). Ação: Redefinir PIN ou Limpar dados.
  2. Credenciais offline: Configure Período de carência offline (ex: 720 minutos). Ação: Bloquear acesso ou Limpar dados.

  3. Nível de ameaça do dispositivo: Configure Nível de ameaça máximo permitido (ex: Médio). Ação: Bloquear acesso ou Limpar dados.

  4. Clique em Avançar.

Etapa 6: Atribuições

Atribua a política aos usuários ou grupos que usarão os aplicativos gerenciados.

  1. Incluir: Selecione Selecionar grupos e adicione os grupos de usuários que devem receber esta política (ex: Todos os usuários ou um grupo específico de usuários corporativos).

  2. Excluir: (Opcional) Exclua grupos específicos, se necessário.

  3. Clique em Avançar.

Etapa 7: Revisar e Criar

  1. Revise todas as configurações da política.
  2. Clique em Criar.

3. Repetindo para a Outra Plataforma (Android)

Repita os passos da Seção 2 para criar uma política para a plataforma Android, ajustando o nome e a descrição da política, se necessário. As configurações de proteção de dados, requisitos de acesso e lançamento condicional são semelhantes, mas podem ter pequenas variações específicas da plataforma.

Validação e Teste

Validar as políticas APP é fundamental para garantir que elas funcionem conforme o esperado e protejam os dados corporativos.

1. Testando em Dispositivos Gerenciados e Não Gerenciados

  1. Dispositivo Não Gerenciado (BYOD): Em um dispositivo pessoal que não está inscrito no Intune (MDM), instale um aplicativo gerenciado (ex: Outlook). Faça login com uma conta corporativa que esteja no escopo da política APP.
    • Verifique se o aplicativo solicita o PIN de acesso ou biometria.
    • Tente copiar dados corporativos para um aplicativo pessoal (ex: bloco de notas). A ação deve ser bloqueada.
    • Tente fazer uma captura de tela dentro do aplicativo gerenciado. A ação deve ser bloqueada ou a captura de tela deve aparecer em branco.
  2. Dispositivo Gerenciado (MDM): Em um dispositivo inscrito no Intune (MDM), teste as mesmas ações para garantir que a política APP seja aplicada corretamente em conjunto com as políticas de MDM.

2. Verificando os Logs de Diagnóstico do Intune

Os logs de diagnóstico do Intune podem fornecer informações sobre a aplicação da política APP.

  1. No centro de administração do Microsoft Intune, vá para Solução de problemas + suporte.
  2. Pesquise pelo usuário de teste.
  3. Na seção Aplicativos, você pode ver o status da política de proteção de aplicativos aplicada ao usuário e aos aplicativos.

3. Verificando o Relatório de Status da Política de Proteção de Aplicativos

  1. No centro de administração do Microsoft Intune, vá para Aplicativos > Monitorar > Status da proteção de aplicativos.
  2. Este relatório fornece uma visão geral do status das políticas APP, incluindo usuários e aplicativos que as receberam e quaisquer erros.

Dicas de Segurança e Melhores Práticas

  • Comece com Auditoria: Para novas implementações, comece com políticas menos restritivas ou no modo de auditoria (se disponível) para entender o impacto antes de aplicar bloqueios totais.
  • Comunicação Clara: Comunique claramente aos usuários sobre as políticas APP, seus benefícios e como elas afetam o uso de seus dispositivos. Isso ajuda a reduzir a resistência e aumentar a conformidade.
  • Consistência entre Plataformas: Mantenha as políticas APP consistentes entre iOS/iPadOS e Android para uma experiência de usuário unificada e uma postura de segurança coesa.
  • Integração com Acesso Condicional: Combine as políticas APP com o Acesso Condicional do Azure AD para exigir que os aplicativos sejam protegidos por APP antes de conceder acesso a recursos corporativos [5].
  • Revisão Periódica: Revise e ajuste suas políticas APP regularmente para se adaptar às mudanças nas necessidades de negócios, no cenário de ameaças e nas atualizações de aplicativos.
  • Priorize Aplicativos Sensíveis: Comece aplicando políticas APP aos aplicativos que contêm os dados mais sensíveis ou que são mais usados para fins corporativos.
  • PIN e Biometria: Exija PIN ou biometria para acesso a aplicativos gerenciados para uma camada extra de segurança, especialmente em dispositivos compartilhados.

Troubleshooting Comum

  • Política APP não aplicada: Verifique se o usuário está no grupo de inclusão da política. Certifique-se de que o aplicativo é um aplicativo gerenciado pelo Intune e está na lista de aplicativos de destino. Verifique os logs de diagnóstico do Intune.
  • Usuários bloqueados inesperadamente: Verifique as configurações de Condicional Launch da política. Pode ser que o dispositivo ou o aplicativo esteja violando uma condição (ex: PIN incorreto, dispositivo com root/jailbreak).
  • Dados corporativos vazando: Revise as configurações de Proteção de Dados, especialmente as restrições de Enviar dados da organização para outros aplicativos e Permitir que os usuários salvem cópias de dados da organização.
  • Aplicativo não aparece como gerenciado: Certifique-se de que o aplicativo foi implantado como um aplicativo gerenciado pelo Intune ou que o usuário fez login com sua conta corporativa no aplicativo.
  • Problemas de desempenho do aplicativo: Em alguns casos, políticas APP muito restritivas podem afetar o desempenho do aplicativo. Monitore o feedback do usuário e ajuste as políticas, se necessário.
  • Conflitos com outras políticas: Se houver políticas MDM e APP aplicadas ao mesmo dispositivo, certifique-se de que não há conflitos. As políticas APP geralmente se aplicam a dados dentro do aplicativo, enquanto as políticas MDM se aplicam ao dispositivo como um todo.

Conclusão

As Políticas de Proteção de Aplicativos (APP) no Microsoft Intune são uma ferramenta essencial para proteger os dados corporativos em dispositivos móveis, oferecendo flexibilidade e segurança para ambientes BYOD. Ao implementar controles granulares sobre como os dados são acessados, usados e compartilhados dentro de aplicativos gerenciados, as organizações podem mitigar significativamente o risco de perda de dados e garantir a conformidade regulatória. A configuração cuidadosa das APPs, combinada com testes rigorosos e a educação dos usuários, capacita as equipes de TI e segurança a estender a proteção de dados além do perímetro tradicional, garantindo que as informações mais valiosas da empresa permaneçam seguras, independentemente do dispositivo utilizado. Com este guia, os profissionais de segurança estarão aptos a fortalecer a segurança móvel e proteger os ativos de informação em um mundo cada vez mais conectado.

Referências:

[1] Microsoft Learn. Visão geral das políticas de proteção de aplicativos. Disponível em: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn. Criar e implantar políticas de proteção de aplicativos. Disponível em: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Requisitos de licenciamento do Microsoft Intune. Disponível em: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Aplicativos protegidos pelo Microsoft Intune. Disponível em: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Acesso Condicional com Intune App Protection. Disponível em: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access