Atualização
Temos trabalhado para mitigar esse problema para nossos clientes e temos implementado mudanças em nossa plataforma. Você pode notar que suas políticas de acesso condicional para iOS agora estão sendo homenageadas pelo iPadOS, semelhante ao comportamento antes da atualização do iPadOS.
Uma maneira rápida de verificar esse comportamento atualizado é acessar recursos do Safari em um dispositivo iPadOS protegido por políticas de Acesso Condicional. Se você vir a diferença de comportamento entre o acesso ao Safari e ao Apple Native Mail, peça aos seus usuários que entrem no Apple Native Mail e, em seguida, entrem novamente.
Para automatizar esse processo, defina uma política temporária de acesso condicional usando o controle de sessão de "frequência de login" e, em seguida, defina uma política temporária de acesso condicional que se aplica aos aplicativos do cliente que são identificados como "aplicativos móveis e cliente de desktop". Nesta política, defina a plataforma do dispositivo para "macOS" e a frequência de login para 20 horas.
Para obter mais informações sobre como definir essa política, consulte a gerenciação da sessão de autenticação configuredocumentação com acesso condicional.
Nota Definir esta política exige que os usuários do Apple Native Mail no iPadOS (anteriormente identificado como um dispositivo mac por causa do navegador de desktop moderno no iPadOS) para entrar após 20 horas. Depois de entrarem novamente, o Apple Native Mail será impedido de acessar os recursos da empresa se você tiver habilitado o "Aplicativo do cliente aprovado" ou o controle de concessão "Exigir política de proteção de aplicativos". Você pode desativar ou excluir a política temporária de acesso condicional para evitar que os usuários se inscrevam a cada 20 horas.
Resumo
Visão geral da mudança de quebra
A Apple lançou o iPadOS (o novo sistema operacional para iPad) em 30 de setembro de 2019. Antes do lançamento, descobrimos que este lançamento introduz uma alteração que poderia afetar o Microsoft Azure Active Directory (AZure AD) e os clientes da Intune que usam as políticas de Acesso Condicional em sua organização. Este aviso destina-se a ajudá-lo a entender a mudança de quebra da Apple e avaliar os efeitos sobre a sua organização. Este aviso também fornece recomendações da Microsoft.
Todos os iPads que atualizam para o iOS 13+ tiveram seu sistema operacional atualizado do iOS para o iPadOS. Enquanto o iPadOS irá se comportar de forma semelhante ao iOS, existem alguns aplicativos-chave que se comportam de forma diferente. O Safari, por exemplo, apresentará-se como macOS para garantir que os utilizadores do iPadOS tenham uma experiência completa do navegador de desktop.
Cuidado
Como as políticas de acesso condicional são frequentemente aplicadas em uma base específica ou de aplicativos, essa alteração pode afetar sua segurança e conformidade com qualquer dispositivo iPad que atualize para iPadOS.
Aplicativos que podem ser afetados pela alteração de quebra
Essa alteração afeta aplicativos que usam acesso condicional e que se identificam como aplicativos macOS em vez de aplicativos iOS. Ao revisar suas políticas de acesso condicional, você deve se concentrar em se você fornecer uma experiência de aplicativo diferente entre macOS e iOS. Além disso, recomendamos que você analise as políticas de acesso condicional em AD do Azure Azure que usem as categorias de aplicativos afetadas.
A alteração de quebra afeta a aplicação de suas políticas de acesso condicional em dispositivos iPad que estão executando o iPadOS nos seguintes cenários:
-
Acesso a aplicativos da Web usando o navegador Safari
-
Acesso ao Apple Native Mail
-
Acesso de aplicativo nativo que usa o controlador Safari View
Nesses casos, o Acesso Condicional azure ad trata qualquer solicitação de acesso como uma solicitação de acesso macOS.
Importante
É essencial que sua organização tenha uma política de acesso condicional para macOS. Não ter uma política para macOS pode causar uma condição de acesso aberto nos recursos da sua organização para os cenários previamente identificados.
Não há efeito para os seguintes cenários de acesso:
-
Todo o acesso ao aplicativo nativo da Microsoft (como Outlook, Word ou Edge)
-
Acesso ao aplicativo da Web usando um navegador que não o Safari (como o Chrome)
-
Aplicativos que usam a ferramenta de envolvimento do Aplicativo Intune SDK/ Aplicativo para bibliotecas de autenticação v2.0iOS/Microsoft
Antes de examinar as recomendações da Microsoft, considere os seguintes cenários que podem ser afetados.
|
Cenário |
Resultados |
|---|---|
|
Você configurou uma política de acesso condicional que "requer um aplicativo de cliente aprovado" para acesso por e-mail em um dispositivo iOS e não tem nenhuma política configurada para macOS. |
Depois de atualizações do iPad para o iPadOS, a política de aplicativos do cliente aprovado não será aplicada para as categorias de aplicativos afetadas, conforme descrito anteriormente. |
|
Você configurou uma política de acesso condicional que "requer um dispositivo compatível" para usar um dispositivo iOS para acessar os recursos da empresa. No entanto, você não configurou uma política de macOS. |
Após a atualização dos iPads para iPadOS, os usuários podem acessar os recursos da empresa usando aplicativos nas categorias de aplicativos afetadas a partir de iPads não compatíveis. |
|
Você criou uma política de acesso condicional que "requer MFA" em um dispositivo iOS para acessar sites do Office365, como o Outlook Web Access. No entanto, você não configurou uma política de macOS correspondente. |
Após a atualização dos iPads para iPadOS, os usuários podem acessar esses sites do Office365 usando aplicativos das categorias de aplicativos afetadas sem serem solicitados para autenticação multifator (MFA). |
|
Você configurou uma política de acesso condicional que "requer um dispositivo compatível" para dispositivos iOS e "requer MFA" para dispositivos macOS. |
Após a atualização dos iPads para iPadOS, os usuários podem acessar os recursos da empresa usando aplicativos nas categorias de aplicativos afetadas a partir de iPads não compatíveis. |
Estes são apenas alguns exemplos de casos em que a Política de Acesso Condicional para iOS pode diferir da política de acesso condicional para macOS. Você deve identificar todos esses casos em sua política.
Recomendações da Microsoft
Recomendamos que você tome as seguintes ações:
-
Avalie se você tem políticas azure ad CA baseadas em navegador para iOS que regem o acesso a partir de dispositivos iPad. Se você fizer isso, siga estas etapas:
-
Crie uma política equivalente de acesso ao navegador MacOS Azure AD. Recomendamos que você use a política de "exigir um dispositivo compatível". Esta política inscrevê seus dispositivos iPad e Mac no Microsoft Intune (ou JAMF Pro, se você selecionou isso como sua ferramenta de gerenciamento de macOS). Essa política também garante que os aplicativos do navegador tenham acesso apenas a partir de dispositivos compatíveis (opção mais segura). Você também terá que criar uma política de conformidade com dispositivos intune para macOS.
-
No caso de você não poder "exigir um dispositivo compatível" para macOS e iPadOS para acesso ao navegador, certifique-se de que está "exigindo MFA" para esse acesso.
-
-
Determine se uma política de acesso condicional ao Azure AD baseado em Termos (consentimento por dispositivo) está configurada para iOS. Se for, crie uma política equivalente para macOS.
Para mais informações, entre em contato com o Microsoft Support.
