Framework di protezione dei dati con i criteri di protezione delle app
Man mano che più organizzazioni implementano strategie di dispositivi mobili per l'accesso ai dati aziendali o dell'istituto di istruzione, la protezione dalla perdita di dati diventa fondamentale. la soluzione di gestione delle applicazioni mobili di Intune per la protezione dalla perdita di dati è l'APP (App Protection Policies). APP sono regole che garantiscono che i dati di un'organizzazione rimangano al sicuro o contenuti in un'app gestita, indipendentemente dal fatto che il dispositivo sia registrato. Per altre informazioni, vedere Panoramica dei criteri di Protezione di app.
Quando si configurano i criteri di protezione delle app, il numero di varie impostazioni e opzioni consente alle organizzazioni di personalizzare la protezione in base alle proprie esigenze specifiche. A causa di questa flessibilità, potrebbe non essere ovvio quale permutazione delle impostazioni dei criteri è necessaria per implementare uno scenario completo. Per aiutare le organizzazioni a dare priorità agli sforzi di protezione avanzata degli endpoint client, Microsoft ha introdotto una nuova tassonomia per le configurazioni di sicurezza in Windows 10 e Intune usa una tassonomia simile per il framework di protezione dei dati app per la gestione delle app per dispositivi mobili.
Il framework di configurazione della protezione dei dati app è organizzato in tre scenari di configurazione distinti:
Protezione dei dati di base aziendale di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.
Protezione dei dati avanzata aziendale di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni sensibili o riservate. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.
Protezione dei dati elevata aziendale di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Un'organizzazione che probabilmente sarà presa di mira da avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.
Metodologia di distribuzione di APP Data Protection Framework
Come per qualsiasi distribuzione di nuovi software, funzionalità o impostazioni, Microsoft consiglia di investire in una metodologia ad anello per testare la convalida prima di distribuire il framework di protezione dei dati app. La definizione degli anelli di distribuzione è in genere un evento occasionale (o almeno poco frequente), ma l'IT deve rivedere questi gruppi per assicurarsi che la sequenziazione sia ancora corretta.
Microsoft consiglia il seguente approccio di anello di distribuzione per il framework di protezione dei dati app:
Anello di distribuzione | Tenant | Team di valutazione | Output | Sequenza temporale |
---|---|---|---|---|
Controllo di qualità | Tenant di preproduzione | Proprietari della capacità mobile, sicurezza, valutazione dei rischi, privacy, esperienza utente | Convalida dello scenario funzionale, bozza della documentazione | Da 0 a 30 giorni |
Anteprima | Tenant di produzione | Proprietari della capacità mobile, esperienza utente | Convalida dello scenario per utenti finali, documentazione per l'utente | Da 7 a 14 giorni, dopo Controllo di qualità |
Produzione | Tenant di produzione | Proprietari della capacità mobile, help desk IT | N/D | Da 7 giorni a diverse settimane, dopo Anteprima |
Come indicato nella tabella precedente, tutte le modifiche ai criteri di protezione delle app devono essere eseguite prima in un ambiente di preproduzione per comprendere le implicazioni dell'impostazione dei criteri. Al termine dei test, le modifiche possono essere spostate nell'ambiente di produzione e applicate a un subset di utenti di produzione, in genere, al reparto IT e ad altri gruppi applicabili. Infine, l'implementazione può essere completata nel resto della community degli utenti per dispositivi mobili. L'implementazione nell'ambiente di produzione può richiedere più tempo a seconda della scala di impatto relativa alla modifica. Se non si verifica alcun impatto sull'utente, la modifica dovrebbe essere implementata rapidamente, mentre, se la modifica comporta un impatto sull'utente, l'implementazione potrebbe dover essere più lenta a causa della necessità di comunicare le modifiche al popolamento degli utenti.
Quando si testano le modifiche a un'APP, tenere presente la tempistica di recapito. Lo stato del recapito dell'APP per un determinato utente può essere monitorato. Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.
Le singole impostazioni DELL'APP per ogni app possono essere convalidate nei dispositivi usando Microsoft Edge e l'URL about:Intunehelp. Per altre informazioni, vedere Esaminare i log di protezione delle app client e Usare Microsoft Edge per iOS e Android per accedere ai log delle app gestite.
Impostazioni di APP Data Protection Framework
Le impostazioni dei criteri di protezione delle app seguenti devono essere abilitate per le app applicabili e assegnate a tutti gli utenti di dispositivi mobili. Per altre informazioni su ogni impostazione di criterio, vedere Impostazioni dei criteri di protezione delle app iOS e Impostazioni dei criteri di protezione delle app Android.
Microsoft consiglia di esaminare e classificare gli scenari di utilizzo e quindi di configurare gli utenti usando le indicazioni prescrittive per tale livello. Come per qualsiasi framework, potrebbe essere necessario modificare le impostazioni all'interno di un livello corrispondente in base alle esigenze dell'organizzazione in quanto la protezione dei dati deve valutare l'ambiente delle minacce, la propensione al rischio e l'impatto sull'usabilità.
Gli amministratori possono incorporare i livelli di configurazione seguenti all'interno della metodologia di distribuzione circolare per l'uso di test e produzione importando i modelli JSON di esempio Intune Framework di configurazione dei criteri di protezione delle app con gli script di PowerShell di Intune.
Nota
Quando si usa MAM per Windows, vedere impostazioni dei criteri di Protezione di app per Windows.
Criteri di accesso condizionale
Per garantire che solo le app che supportano i criteri di protezione delle app accedono ai dati dell'account aziendale o dell'istituto di istruzione, sono necessari criteri di accesso condizionale Microsoft Entra. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Vedere Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app per i passaggi per implementare i criteri specifici. Implementare infine i passaggi descritti in Bloccare l'autenticazione legacy per bloccare le app iOS e Android con supporto per l'autenticazione legacy.
Nota
Questi criteri sfruttano i controlli di concessione Richiedi app client approvate e Richiedi criteri di protezione delle app.
App da includere nei criteri di protezione delle app
Per ogni criterio di protezione delle app, viene assegnato il gruppo core Microsoft Apps, che include le app seguenti:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
I criteri devono includere altre app Microsoft in base alle esigenze aziendali, altre app pubbliche di terze parti che hanno integrato l'SDK Intune usato all'interno dell'organizzazione, nonché app line-of-business che hanno integrato l'SDK Intune (o sono state incluse).
Protezione dei dati di base aziendale di livello 1
Il livello 1 è la configurazione minima di protezione dei dati per un dispositivo mobile aziendale. Questa configurazione sostituisce la necessità di criteri di base per l'accesso ai dispositivi Exchange Online richiedendo un PIN per accedere ai dati aziendali o dell'istituto di istruzione, crittografando i dati dell'account aziendale o dell'istituto di istruzione e fornendo la possibilità di cancellare selettivamente i dati dell'istituto di istruzione o dell'istituto di istruzione. Tuttavia, a differenza di Exchange Online criteri di accesso ai dispositivi, le impostazioni dei criteri di protezione delle app seguenti si applicano a tutte le app selezionate nei criteri, assicurando in tal modo che l'accesso ai dati sia protetto oltre gli scenari di messaggistica mobile.
I criteri di livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti e rispecchiano le impostazioni predefinite per la protezione dei dati e i requisiti di accesso durante la creazione di criteri di protezione delle app all'interno di Microsoft Intune.
Protezione dei dati
Impostazione | Descrizione dell'impostazione | Valore | Piattaforma |
---|---|---|---|
Trasferimento dati | Eseguire il backup dei dati dell'organizzazione in... | Consenti | iOS/iPadOS, Android |
Trasferimento dati | Inviare dati dell'organizzazione ad altre app | Tutte le app | iOS/iPadOS, Android |
Trasferimento dati | Inviare i dati dell'organizzazione a | Tutte le destinazioni | Windows |
Trasferimento dati | Ricevere dati da altre app | Tutte le app | iOS/iPadOS, Android |
Trasferimento dati | Ricevere dati da | Tutte le origini | Windows |
Trasferimento dati | Limitare taglia, copia e incolla tra app | Qualsiasi app | iOS/iPadOS, Android |
Trasferimento dati | Consenti taglia, copia e incolla per | Qualsiasi destinazione e origine | Windows |
Trasferimento dati | Tastiere di terze parti | Consenti | iOS/iPadOS |
Trasferimento dati | Tastiere approvate | Non richiesto | Android |
Trasferimento dati | Acquisizione dello schermo e Google Assistant | Consenti | Android |
Crittografia | Crittografare i dati dell'organizzazione | Richiedere | iOS/iPadOS, Android |
Crittografia | Crittografare i dati dell'organizzazione nei dispositivi registrati | Richiedere | Android |
Funzionalità | Sincronizzare l'app con l'app contatti nativa | Consenti | iOS/iPadOS, Android |
Funzionalità | Stampa dei dati dell'organizzazione | Consenti | iOS/iPadOS, Android, Windows |
Funzionalità | Limitare il trasferimento di contenuto Web con altre app | Qualsiasi app | iOS/iPadOS, Android |
Funzionalità | Notifiche dei dati dell'organizzazione | Consenti | iOS/iPadOS, Android |
Requisiti di accesso
Impostazione | Valore | Piattaforma | Note |
---|---|---|---|
PIN per l'accesso | Richiedere | iOS/iPadOS, Android | |
Tipo DI PIN | Numerico | iOS/iPadOS, Android | |
PIN semplice | Consenti | iOS/iPadOS, Android | |
Selezionare Lunghezza minima PIN | 4 | iOS/iPadOS, Android | |
Touch ID anziché PIN per l'accesso (iOS 8+/iPadOS) | Consenti | iOS/iPadOS | |
Eseguire l'override della biometria con PIN dopo il timeout | Richiedere | iOS/iPadOS, Android | |
Timeout (minuti di attività) | 1440 | iOS/iPadOS, Android | |
Face ID anziché PIN per l'accesso (iOS 11+/iPadOS) | Consenti | iOS/iPadOS | |
Biometrico anziché PIN per l'accesso | Consenti | iOS/iPadOS, Android | |
Reimpostazione del PIN dopo il numero di giorni | No | iOS/iPadOS, Android | |
Selezionare il numero di valori PIN precedenti da gestire | 0 | Android | |
PIN dell'app quando è impostato il PIN del dispositivo | Richiedere | iOS/iPadOS, Android | Se il dispositivo è registrato in Intune, gli amministratori possono prendere in considerazione l'impostazione "Non obbligatorio" se applicano un PIN del dispositivo sicuro tramite criteri di conformità del dispositivo. |
Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso | Non richiesto | iOS/iPadOS, Android | |
Ricontrollare i requisiti di accesso dopo (minuti di inattività) | 30 | iOS/iPadOS, Android |
Avvio condizionale
Impostazione | Descrizione dell'impostazione | Valore/azione | Piattaforma | Note |
---|---|---|---|---|
Condizioni dell'app | Numero massimo di tentativi di PIN | 5 /Reimposta PIN | iOS/iPadOS, Android | |
Condizioni dell'app | Periodo di prova offline | 10080 /Blocca l'accesso (minuti) | iOS/iPadOS, Android, Windows | |
Condizioni dell'app | Periodo di prova offline | 90 / Cancellare i dati (giorni) | iOS/iPadOS, Android, Windows | |
Condizioni del dispositivo | Dispositivi jailbroken/rooted | N/D/Blocca accesso | iOS/iPadOS, Android | |
Condizioni del dispositivo | Attestazione del dispositivo SafetyNet | Integrità di base e dispositivi certificati/Blocca accesso | Android | Questa impostazione configura il controllo dell'integrità del dispositivo di Google Play nei dispositivi degli utenti finali. L'integrità di base convalida l'integrità del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. L'integrità di base e i dispositivi certificati convalidano la compatibilità del dispositivo con i servizi google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. |
Condizioni del dispositivo | Richiedere l'analisi delle minacce nelle app | N/D/Blocca accesso | Android | Questa impostazione garantisce che l'analisi verifica app di Google sia attivata per i dispositivi degli utenti finali. Se configurato, all'utente finale verrà impedito l'accesso fino a quando non attiva l'analisi delle app di Google nel dispositivo Android. |
Condizioni del dispositivo | Livello massimo di minaccia consentito per il dispositivo | Accesso basso/blocca | Windows | |
Condizioni del dispositivo | Richiedi blocco del dispositivo | Bassa/Avvisa | Android | Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password. |
Nota
Le impostazioni di avvio condizionale di Windows sono etichettate come controlli di integrità.
Protezione dei dati avanzata dell'organizzazione di livello 2
Il livello 2 è la configurazione di protezione dei dati consigliata come standard per i dispositivi in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste raccomandazioni non presuppongono un elevato personale di professionisti della sicurezza altamente qualificati e pertanto devono essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione si espande in base alla configurazione nel livello 1 limitando gli scenari di trasferimento dei dati e richiedendo una versione minima del sistema operativo.
Importante
Le impostazioni dei criteri applicate nel livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1. Tuttavia, il livello 2 elenca solo le impostazioni aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 1. Anche se queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni, applicano un livello di protezione dei dati più adeguato ai rischi per gli utenti con accesso a informazioni sensibili sui dispositivi mobili.
Protezione dei dati
Impostazione | Descrizione dell'impostazione | Valore | Piattaforma | Note |
---|---|---|---|---|
Trasferimento dati | Eseguire il backup dei dati dell'organizzazione in... | Blocca | iOS/iPadOS, Android | |
Trasferimento dati | Inviare dati dell'organizzazione ad altre app | App gestite da criteri | iOS/iPadOS, Android | Con iOS/iPadOS, gli amministratori possono configurare questo valore in modo che sia "App gestite da criteri", "App gestite da criteri con condivisione del sistema operativo" o "App gestite da criteri con filtro Open-In/Share". Le app gestite da criteri con condivisione del sistema operativo sono disponibili quando anche il dispositivo viene registrato con Intune. Questa impostazione consente il trasferimento dei dati ad altre app gestite da criteri e il trasferimento di file ad altre app gestite da Intune. Le app gestite da criteri con filtro Open-In/Share filtrano le finestre di dialogo Open-in/Share del sistema operativo per visualizzare solo le app gestite da criteri. Per altre informazioni, vedere Impostazioni dei criteri di protezione delle app iOS. |
Trasferimento dati | Inviare o dati a | Nessuna destinazione | Windows | |
Trasferimento dati | Ricevere dati da | Nessuna origine | Windows | |
Trasferimento dati | Selezionare le app da escludere | Impostazione predefinita/skype; impostazioni dell'app; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
Trasferimento dati | Salvare copie dei dati dell'organizzazione | Blocca | iOS/iPadOS, Android | |
Trasferimento dati | Consentire agli utenti di salvare copie in servizi selezionati | OneDrive for Business, SharePoint Online, Raccolta foto | iOS/iPadOS, Android | |
Trasferimento dati | Trasferire i dati delle telecomunicazioni a | Qualsiasi app dialer | iOS/iPadOS, Android | |
Trasferimento dati | Limitare taglia, copia e incolla tra app | App gestite da criteri con incolla in | iOS/iPadOS, Android | |
Trasferimento dati | Consenti taglia, copia e incolla per | Nessuna destinazione o origine | Windows | |
Trasferimento dati | Acquisizione dello schermo e Google Assistant | Blocca | Android | |
Funzionalità | Limitare il trasferimento di contenuto Web con altre app | Microsoft Edge | iOS/iPadOS, Android | |
Funzionalità | Notifiche dei dati dell'organizzazione | Bloccare i dati dell'organizzazione | iOS/iPadOS, Android | Per un elenco delle app che supportano questa impostazione, vedere Impostazioni dei criteri di protezione delle app iOS e Impostazioni dei criteri di protezione delle app Android. |
Avvio condizionale
Impostazione | Descrizione dell'impostazione | Valore/azione | Piattaforma | Note |
---|---|---|---|---|
Condizioni dell'app | Account disabilitato | N/D/Blocca accesso | iOS/iPadOS, Android, Windows | |
Condizioni del dispositivo | Versione minima del sistema operativo |
Formato: Major.Minor.Build Esempio: 14.8 /Blocca l'accesso |
iOS/iPadOS | Microsoft consiglia di configurare la versione principale minima di iOS in modo che corrisponda alle versioni iOS supportate per le app Microsoft. Le app Microsoft supportano un approccio N-1 in cui N è la versione principale di iOS corrente. Per i valori delle versioni secondarie e di compilazione, Microsoft consiglia di garantire che i dispositivi siano aggiornati con i rispettivi aggiornamenti della sicurezza. Vedere gli aggiornamenti della sicurezza apple per le raccomandazioni più recenti di Apple |
Condizioni del dispositivo | Versione minima del sistema operativo |
Formato: Major.Minor Esempio: 9.0 /Blocca l'accesso |
Android | Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Vedere i requisiti consigliati di Android Enterprise per le raccomandazioni più recenti di Android |
Condizioni del dispositivo | Versione minima del sistema operativo |
Formato: Compilazione Esempio: 10.0.22621.2506 /Blocca l'accesso |
Windows | Microsoft consiglia di configurare la build minima di Windows in modo che corrisponda alle versioni di Windows supportate per le app Microsoft. Attualmente, Microsoft consiglia quanto segue:
|
Condizioni del dispositivo | Versione minima patch |
Formato: AAAA-MM-GG Esempio: 2020-01-01 /Blocca l'accesso |
Android | I dispositivi Android possono ricevere patch di sicurezza mensili, ma la versione dipende dagli OEM e/o dagli operatori. Le organizzazioni devono assicurarsi che i dispositivi Android distribuiti ricevano gli aggiornamenti della sicurezza prima di implementare questa impostazione. Per le versioni più recenti delle patch, vedere i bollettini sulla sicurezza di Android . |
Condizioni del dispositivo | Tipo di valutazione SafetyNet obbligatorio | Chiave supportata dall'hardware | Android | L'attestazione supportata dall'hardware migliora il controllo del servizio integrità play di Google esistente applicando un nuovo tipo di valutazione denominato Hardware Backed, fornendo un rilevamento radice più affidabile in risposta a nuovi tipi di strumenti e metodi di rooting che non sempre possono essere rilevati in modo affidabile da una soluzione solo software. Come suggerisce il nome, l'attestazione basata su hardware usa un componente basato su hardware, fornito con dispositivi installati con Android 8.1 e versioni successive. È improbabile che i dispositivi aggiornati da una versione precedente di Android ad Android 8.1 abbiano i componenti basati su hardware necessari per l'attestazione basata su hardware. Anche se questa impostazione deve essere ampiamente supportata a partire dai dispositivi forniti con Android 8.1, Microsoft consiglia vivamente di testare i dispositivi singolarmente prima di abilitare questa impostazione di criteri su larga scala. |
Condizioni del dispositivo | Richiedi blocco del dispositivo | Accesso medio/bloccato | Android | Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password. |
Condizioni del dispositivo | Attestazione del dispositivo Samsung Knox | Blocca accesso | Android | Microsoft consiglia di configurare l'impostazione di attestazione del dispositivo Samsung Knox su Blocca l'accesso per garantire che all'account utente venga impedito l'accesso se il dispositivo non soddisfa la verifica dell'integrità del dispositivo basata sull'hardware Knox di Samsung. Questa impostazione verifica tutte le Intune risposte client MAM al servizio Intune sono state inviate da un dispositivo integro. Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune. |
Condizioni dell'app | Periodo di prova offline | 30 / Cancellare i dati (giorni) | iOS/iPadOS, Android, Windows |
Nota
Le impostazioni di avvio condizionale di Windows sono etichettate come controlli di integrità.
Livello 3 protezione elevata dei dati aziendali
Il livello 3 è la configurazione di protezione dei dati consigliata come standard per le organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate o per utenti e gruppi specifici che saranno assegnati in modo univoco dagli avversari. Tali organizzazioni sono in genere mirate da antagonisti ben finanziati e sofisticati e, di conseguenza, meritano i vincoli e i controlli aggiuntivi descritti. Questa configurazione si espande in base alla configurazione nel livello 2 limitando altri scenari di trasferimento dei dati, aumentando la complessità della configurazione del PIN e aggiungendo il rilevamento delle minacce per dispositivi mobili.
Importante
Le impostazioni dei criteri applicate al livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2, ma elenca solo le impostazioni seguenti che sono state aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 2. Queste impostazioni dei criteri possono avere un impatto potenzialmente significativo per gli utenti o per le applicazioni, applicando un livello di sicurezza commisurato ai rischi per le organizzazioni di destinazione.
Protezione dei dati
Impostazione | Descrizione dell'impostazione | Valore | Piattaforma | Note |
---|---|---|---|---|
Trasferimento dati | Trasferire i dati delle telecomunicazioni a | Qualsiasi app dialer gestita da criteri | Android | Gli amministratori possono anche configurare questa impostazione per usare un'app dialer che non supporta i criteri di protezione delle app selezionando Un'app dialer specifica e specificando i valori ID pacchetto app dialer e Nome app dialer . |
Trasferimento dati | Trasferire i dati delle telecomunicazioni a | Un'app dialer specifica | iOS/iPadOS | |
Trasferimento dati | Schema URL dell'app Dialer | replace_with_dialer_app_url_scheme | iOS/iPadOS | In iOS/iPadOS questo valore deve essere sostituito con lo schema URL per l'app dialer personalizzata in uso. Se lo schema URL non è noto, contattare lo sviluppatore dell'app per altre informazioni. Per altre informazioni sugli schemi URL, vedere Definizione di uno schema URL personalizzato per l'app. |
Trasferimento dei dati | Ricevere dati da altre app | App gestite da criteri | iOS/iPadOS, Android | |
Trasferimento dei dati | Aprire i dati nei documenti dell'organizzazione | Blocca | iOS/iPadOS, Android | |
Trasferimento dei dati | Consentire agli utenti di aprire i dati dai servizi selezionati | OneDrive for Business, SharePoint, Fotocamera, Raccolta foto | iOS/iPadOS, Android | Per informazioni correlate, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS. |
Trasferimento dei dati | Tastiere di terze parti | Blocca | iOS/iPadOS | In iOS/iPadOS questo impedisce a tutte le tastiere di terze parti di funzionare all'interno dell'app. |
Trasferimento dei dati | Tastiere approvate | Richiedere | Android | |
Trasferimento dei dati | Selezionare le tastiere da approvare | aggiungere/rimuovere tastiere | Android | Con Android, le tastiere devono essere selezionate per poter essere usate in base ai dispositivi Android distribuiti. |
Funzionalità | Stampare i dati dell'organizzazione | Blocca | iOS/iPadOS, Android, Windows |
Requisiti di accesso
Impostazione | Valore | Piattaforma |
---|---|---|
PIN semplice | Blocca | iOS/iPadOS, Android |
Selezionare Lunghezza minima PIN | 6 | iOS/iPadOS, Android |
Reimpostazione del PIN dopo il numero di giorni | Sì | iOS/iPadOS, Android |
Numero di giorni | 365 | iOS/iPadOS, Android |
Biometria di classe 3 (Android 9.0+) | Richiedere | Android |
Eseguire l'override della biometria con PIN dopo gli aggiornamenti biometrici | Richiedere | Android |
Avvio condizionale
Impostazione | Descrizione dell'impostazione | Valore/azione | Piattaforma | Note |
---|---|---|---|---|
Condizioni del dispositivo | Richiedi blocco del dispositivo | Accesso elevato/bloccato | Android | Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password. |
Condizioni del dispositivo | Livello massimo di minaccia consentito per il dispositivo | Accesso protetto/bloccato | Windows | |
Condizioni del dispositivo | Dispositivi jailbroken/rooted | N/D/Cancella dati | iOS/iPadOS, Android | |
Condizioni del dispositivo | Livello massimo di minaccia consentito | Accesso protetto/bloccato | iOS/iPadOS, Android | I dispositivi non registrazione possono essere controllati per individuare le minacce tramite Mobile Threat Defense. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi non registrazione. Se il dispositivo è registrato, questa impostazione può essere ignorata a favore della distribuzione di Mobile Threat Defense per i dispositivi registrati. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi registrati. |
Condizioni del dispositivo | Versione massima del sistema operativo |
Formato: Major.Minor Esempio: 11.0 /Blocca l'accesso |
Android | Microsoft consiglia di configurare la versione principale massima di Android per assicurarsi che non vengano usate versioni beta o non supportate del sistema operativo. Vedere i requisiti consigliati di Android Enterprise per le raccomandazioni più recenti di Android |
Condizioni del dispositivo | Versione massima del sistema operativo |
Formato: Major.Minor.Build Esempio: 15.0 /Blocca l'accesso |
iOS/iPadOS | Microsoft consiglia di configurare la versione principale massima di iOS/iPadOS per garantire che non vengano usate versioni beta o non supportate del sistema operativo. Vedere gli aggiornamenti della sicurezza apple per le raccomandazioni più recenti di Apple |
Condizioni del dispositivo | Versione massima del sistema operativo |
Formato: Major.Minor Esempio: 22631. /Blocca l'accesso |
Windows | Microsoft consiglia di configurare la versione principale massima di Windows per garantire che non vengano usate versioni beta o non supportate del sistema operativo. |
Condizioni del dispositivo | Attestazione del dispositivo Samsung Knox | Cancella i dati | Android | Microsoft consiglia di configurare l'impostazione di attestazione del dispositivo Samsung Knox per cancellare i dati per assicurarsi che i dati dell'organizzazione vengano rimossi se il dispositivo non soddisfa la verifica dell'integrità del dispositivo basata sull'hardware Knox di Samsung. Questa impostazione verifica tutte le Intune risposte client MAM al servizio Intune sono state inviate da un dispositivo integro. Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune. |
Condizioni dell'app | Periodo di prova offline | 30 /Blocca l'accesso (giorni) | iOS/iPadOS, Android, Windows |
Passaggi successivi
Gli amministratori possono incorporare i livelli di configurazione precedenti all'interno della metodologia di distribuzione ad anello per l'uso di test e produzione importando i modelli JSON del framework di configurazione dei criteri di protezione delle app Intune di esempio con gli script di PowerShell di Intune.