Panoramica dei criteri di protezione delle app

Protezione di app criteri (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app. Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e può essere gestita da Intune.

I criteri di protezione delle app di Gestione applicazioni mobili (MAM) consentono di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione. Molte app di produttività, come le app di Microsoft Office, possono essere gestite da MAM di Intune. Consultare l'elenco ufficiale di app gestite da Microsoft Intune disponibile per uso pubblico.

Come proteggere i dati delle app

I dipendenti usano dispositivi mobili per attività personali e lavorative. Mentre ci si assicura che i dipendenti possano rimanere produttivi, è anche possibile prevenire la perdita di dati, sia intenzionale che non intenzionale. È anche possibile proteggere i dati aziendali cui si accede da dispositivi non gestiti dall'utente.

È possibile usare Intune criteri di protezione delle app indipendentemente da qualsiasi soluzione di gestione dei dispositivi mobili (MDM). Ciò consente di proteggere i dati aziendali con o senza la registrazione dei dispositivi in una soluzione di gestione dei dispositivi. Implementando criteri a livello di app, è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del reparto IT.

Criteri di protezione delle app nei dispositivi

I criteri di protezione delle app possono essere configurati per le app eseguite nei dispositivi che sono:

  • Registrati in Microsoft Intune: questi dispositivi sono in genere di proprietà dell'azienda.

  • Registrato in una soluzione MDM (Mobile Device Management) di terze parti: Questi dispositivi sono in genere di proprietà dell'azienda.

    Nota

    I criteri di gestione delle app per dispositivi mobili non devono essere usati con soluzioni di gestione di app per dispositivi mobili o contenitori sicuri di terze parti.

  • Non registrato in alcuna soluzione di gestione dei dispositivi mobili: Questi dispositivi sono in genere dispositivi di proprietà dei dipendenti che non sono gestiti o registrati in Intune o in altre soluzioni MDM.

Importante

È possibile creare criteri di gestione delle app per dispositivi mobili per le app di Office per dispositivi mobili che si connettono ai servizi Microsoft 365. È anche possibile proteggere l'accesso alle cassette postali locali di Exchange creando criteri di protezione delle app di Intune per i dispositivi con Outlook per iOS e dispositivi abilitati per Android con l'autenticazione moderna ibrida. Prima di usare questa funzionalità, assicurarsi di soddisfare i requisiti di Outlook per iOS/iPadOS e Android.. I criteri di protezione di app criteri non sono supportati per altre app che si connettono a servizi di Exchange o SharePoint locali.

Vantaggi dell'uso dei criteri di Protezione di app

I vantaggi importanti dell'uso dei criteri di Protezione di app sono i seguenti:

  • Protezione dei dati aziendali a livello delle app. Poiché la gestione delle app per dispositivi mobili non richiede la gestione dei dispositivi, è possibile proteggere i dati aziendali nei dispositivi gestiti e non gestiti. La gestione è incentrata sull'identità utente, che elimina il requisito per la gestione dei dispositivi.

  • La produttività dell'utente finale non ne risente e i criteri non si applicano quando l'app viene utilizzata in un contesto personale. I criteri vengono applicati solo in un contesto aziendale, che consente di proteggere i dati aziendali senza toccare i dati personali.

  • I criteri di protezione delle app garantiscono che siano in atto le protezioni a livello dell'app. Ad esempio, è possibile:

    • Richiedere un PIN per aprire un'app in un contesto aziendale
    • Controllare la condivisione dei dati tra le app
    • Impedire il salvataggio dei dati dell'app aziendale in una posizione di archiviazione personale
  • MDM, oltre a MAM, garantisce che il dispositivo sia protetto. È possibile richiedere un PIN per accedere al dispositivo oppure distribuire app gestite nel dispositivo. È anche possibile distribuire app nei dispositivi tramite la soluzione MDM, per avere un maggiore controllo sulla gestione delle app.

L'uso di MDM con criteri di Protezione di app offre vantaggi aggiuntivi e le aziende possono usare contemporaneamente criteri di Protezione di app con e senza MDM. Si consideri, ad esempio, un dipendente che usa sia un telefono emesso dall'azienda che il proprio tablet personale. Il telefono aziendale è registrato in MDM e protetto dai criteri di Protezione di app mentre il dispositivo personale è protetto solo dai criteri di Protezione di app.

Se si applicano criteri MAM all'utente senza impostare lo stato del dispositivo, l'utente otterrà i criteri MAM sia nel dispositivo BYOD che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato gestito. Quindi, quando crei un criterio di protezione delle app, accanto a Destinazione a tutti i tipi di app, seleziona No. Eseguire quindi una delle operazioni seguenti:

  • Applicare un criterio MAM meno rigoroso ai dispositivi gestiti di Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati con MDM.
  • Applicare un criterio MAM solo ai dispositivi non registrati.

Piattaforme supportate per i criteri di protezione delle app

Intune offre una vasta gamma di funzionalità che consentono di ottenere le app desiderate sui dispositivi su cui le si vuole eseguire. Per altre informazioni, vedere Funzionalità di gestione delle app per piattaforma.

Intune supporto della piattaforma dei criteri di protezione delle app è allineato con Office supporto della piattaforma per applicazioni mobili per dispositivi Android e iOS/iPadOS. Per informazioni dettagliate, vedere la sezione App per dispositivi mobili di Office Requisiti di sistema.

Importante

Sul dispositivo deve essere presente il portale aziendale di Intune per poter ricevere i criteri di protezione delle app in Android.

Protezione di app framework di protezione dei dati dei criteri

Le scelte disponibili nei criteri di protezione delle app consentono alle organizzazioni di personalizzare la protezione in base alle esigenze specifiche. Per alcuni, potrebbe non essere ovvio quali impostazioni dei criteri sono necessarie per implementare uno scenario completo. Per aiutare le organizzazioni a definire la priorità della protezione avanzata degli endpoint client per dispositivi mobili, Microsoft ha introdotto la tassonomia per il framework di protezione dei dati app per iOS e Android la gestione delle app per dispositivi mobili.

Il framework di protezione dei dati app è organizzato in tre livelli di configurazione distinti, con ogni livello che si basa sul livello precedente:

  • Enterprise protezione dei dati di base (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegua operazioni di cancellazione selettiva. Per Android dispositivi, questo livello convalida Android attestazione del dispositivo. Si tratta di una configurazione di livello di ingresso che fornisce un controllo di protezione dei dati simile in Exchange Online criteri cassetta postale e introduce l'IT e il popolamento degli utenti in APP.
  • Enterprise protezione avanzata dei dati (livello 2) introduce meccanismi di prevenzione della perdita di dati APP e requisiti minimi del sistema operativo. Si tratta della configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
  • Enterprise protezione dei dati elevata (livello 3) introduce meccanismi avanzati di protezione dei dati, configurazione avanzata del PIN e APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono ai dati ad alto rischio.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le app minime che devono essere protette, vedere Framework di protezione dei dati usando i criteri di protezione delle app.

Come i criteri di protezione delle app proteggono i dati delle app

App senza criteri di protezione delle app

Quando le app vengono usate senza restrizioni, i dati aziendali e personali possono coesistere. I dati aziendali possono finire in posizioni come l'archiviazione personale o trasferiti ad app aldilà della propria portata, e ciò potrebbe comportare la perdita di tali dati. Le frecce nel diagramma seguente mostrano lo spostamento illimitato dei dati tra le app aziendali e personali e le posizioni di archiviazione.

Immagine concettuale per lo spostamento dei dati tra app senza criteri in atto

Protezione dei dati con criteri di protezione delle app (APP)

È possibile usare i criteri di Protezione di app per impedire il salvataggio dei dati aziendali nell'archiviazione locale del dispositivo (vedere l'immagine seguente). È anche possibile limitare lo spostamento dei dati ad altre app non protette dai criteri di Protezione di app. Le impostazioni del criterio di protezione delle app includono:

  • Criteri di rilocazione dei dati, ad esempio Salva copie dei dati dell'organizzazione e Limita taglia, copia e incolla.
  • Impostazioni dei criteri di accesso come Richiedi PIN semplice per l'accesso e Blocca l'esecuzione delle app gestite in dispositivi jailbroken o rooted.

Immagine concettuale che mostra i dati aziendali protetti dai criteri

Protezione dei dati con APP nei dispositivi gestiti da una soluzione MDM

La figura seguente mostra i livelli di protezione offerti insieme dai criteri MDM e Protezione di app.

Immagine che mostra come funzionano i criteri di Protezione di app nei dispositivi BYOD

La soluzione MDM aggiunge valore fornendo quanto segue:

  • Registra il dispositivo
  • Distribuisce le app nel dispositivo
  • Fornisce la conformità e la gestione dei dispositivi continua

I criteri Protezione di app aggiungono valore fornendo quanto segue:

  • Proteggere i dati aziendali dalla perdita di app e servizi consumer
  • Applicare restrizioni come salvataggio con nome, Appunti o PIN alle app client
  • Cancellare i dati aziendali quando necessario dalle app senza rimuovere tali app dal dispositivo

Protezione dei dati con APP per i dispositivi senza registrazione

Il diagramma seguente illustra il funzionamento dei criteri di protezione dei dati a livello di app senza MDM.

Immagine che mostra come funzionano i criteri di Protezione di app nei dispositivi senza registrazione (dispositivi non gestiti)

Per i dispositivi BYOD non registrati in alcuna soluzione MDM, i criteri di protezione di app consentono di proteggere i dati aziendali a livello di app. Esistono tuttavia alcune limitazioni da tenere presenti:

  • Non è possibile distribuire app nel dispositivo. L'utente finale deve ottenere le app dallo Store.
  • Non è possibile effettuare il provisioning dei profili certificato in questi dispositivi.
  • Non è possibile effettuare il provisioning di Wi-Fi aziendali e impostazioni VPN in questi dispositivi.

App che è possibile gestire con i criteri di protezione delle app

Qualsiasi app integrata con Intune SDK o di cui è stato eseguito il wrapping dal Intune App Wrapping Tool può essere gestita usando Intune criteri di protezione delle app. Vedere l'elenco ufficiale delle app Microsoft Intune protette compilate con questi strumenti e disponibili per l'uso pubblico.

Il team di sviluppo di Intune SDK testa e gestisce attivamente il supporto per le app compilate con le piattaforme native Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms. Anche se alcuni clienti hanno avuto successo con l'integrazione di Intune SDK con altre piattaforme, ad esempio React Native e NativeScript, non forniamo indicazioni esplicite o plug-in per gli sviluppatori di app che usano altro che le piattaforme supportate.

Requisiti dell'utente finale per l'uso dei criteri di protezione delle app

L'elenco seguente fornisce i requisiti dell'utente finale per l'uso dei criteri di protezione delle app in un'app gestita da Intune:

criteri di Protezione di app per le app Microsoft Office

Quando si usano criteri di Protezione di app con app Microsoft Office, è necessario tenere presenti alcuni requisiti aggiuntivi.

Outlook app per dispositivi mobili

I requisiti aggiuntivi per l'uso dell'app per dispositivi mobili Outlook includono quanto segue:

  • L'utente finale deve avere l'app per dispositivi mobili Outlook installata nel dispositivo.

  • L'utente finale deve avere una cassetta postale Microsoft 365 Exchange Online e una licenza collegate al proprio account Azure Active Directory.

    Nota

    L'app per dispositivi mobili Outlook attualmente supporta solo Intune Protezione app per Microsoft Exchange Online e Exchange Server con l'autenticazione moderna ibrida e non supporta Exchange in Office 365 Dedicato.

Word, Excel e PowerPoint

I requisiti aggiuntivi per l'uso delle app Word, Excel e PowerPoint includono quanto segue:

  • L'utente finale deve avere una licenza per Microsoft 365 Apps for business o l'organizzazione collegata al proprio account Azure Active Directory. La sottoscrizione deve includere le app Office nei dispositivi mobili e può includere un account di archiviazione cloud con OneDrive for Business. Microsoft 365 licenze possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.

  • L'utente finale deve avere una posizione gestita configurata usando la funzionalità di salvataggio granulare come nell'impostazione dei criteri di protezione dell'applicazione "Salva copie dei dati dell'organizzazione". Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente finale.

  • Se il percorso gestito è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente finale.

    Nota

    Le app per dispositivi mobili Office attualmente supportano solo SharePoint Online e non SharePoint in locale.

Percorso gestito necessario per Office

Per Office è necessaria una posizione gestita, ad esempio OneDrive. Intune contrassegna tutti i dati nell'app come "aziendali" o "personali". I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app Office, Intune considera le posizioni aziendali seguenti: posta elettronica (Exchange) o archiviazione cloud (app OneDrive con un account OneDrive for Business).

Skype for Business

Sono previsti requisiti aggiuntivi per l'uso di Skype for Business. Vedere Skype for Business requisiti di licenza. Per le configurazioni ibride e locali di Skype for Business (SfB), vedere Rispettivamente Autenticazione moderna ibrida per SfB e Exchange diventa disponibile a livello generale e Autenticazione moderna per SfB OnPrem con Azure AD.

Protezione di app criteri globali

Se un amministratore OneDrive passa a admin.onedrive.com e seleziona Accesso al dispositivo, può impostare i controlli di gestione delle applicazioni mobili sul OneDrive e sulle app client SharePoint.

Le impostazioni, rese disponibili per la console di OneDrive Amministrazione, configurano un criterio speciale di protezione delle app Intune denominato criteri globali. Questo criterio globale si applica a tutti gli utenti del tenant e non ha modo di controllare la destinazione dei criteri.

Una volta abilitate, le app OneDrive e SharePoint per iOS/iPadOS e Android vengono protette con le impostazioni selezionate per impostazione predefinita. Un Pro IT può modificare questo criterio nella console di Intune per aggiungere altre app di destinazione e modificare qualsiasi impostazione di criterio.

Per impostazione predefinita, può essere presente un solo criterio globale per ogni tenant. Tuttavia, è possibile usare Intune Graph API per creare criteri globali aggiuntivi per ogni tenant, ma non è consigliabile farlo. La creazione di criteri globali aggiuntivi non è consigliata perché la risoluzione dei problemi di implementazione di tali criteri può diventare complicata.

Anche se i criteri globali si applicano a tutti gli utenti del tenant, tutti i criteri di protezione delle app Intune standard sostituiscono queste impostazioni.

Nota

Le impostazioni dei criteri nel Centro OneDrive Amministrazione non vengono più aggiornate. In alternativa, è possibile usare Microsoft Enpoint Manager. Per altre informazioni, vedere Controllare l'accesso alle funzionalità nelle app per dispositivi mobili OneDrive e SharePoint.

Funzionalità Protezione di app

Identità multipla

Il supporto multi-identità consente a un'app di supportare più gruppi di destinatari. Questi gruppi di destinatari sono utenti "aziendali" e utenti "personali". Gli account aziendali e dell'istituto di istruzione vengono usati dai gruppi di destinatari "aziendali", mentre gli account personali vengono usati per i gruppi di destinatari, ad esempio gli utenti Microsoft Office. Un'app che supporta più identità può essere rilasciata pubblicamente, in cui i criteri di protezione delle app si applicano solo quando l'app viene usata nel contesto aziendale e dell'istituto di istruzione ("aziendale"). Il supporto per più identità usa Intune SDK per applicare solo i criteri di protezione delle app all'account aziendale o dell'istituto di istruzione connesso all'app. Se un account personale è connesso all'app, i dati non vengono toccati. Protezione di app criteri possono essere usati per impedire il trasferimento dei dati dell'account aziendale o dell'istituto di istruzione a account personali all'interno dell'app multi-identità, account personali all'interno di altre app o app personali.

Importante

Indipendentemente dal fatto che un'app supporti più identità, solo una singola identità "aziendale" può avere un criterio di protezione delle app Intune applicato.

Per un esempio di contesto "personale", si consideri un utente che avvia un nuovo documento in Word, che viene considerato contesto personale, quindi Intune i criteri di Protezione app non vengono applicati. Dopo aver salvato il documento nell'account "aziendale" OneDrive, viene considerato contesto "aziendale" e vengono applicati Intune criteri di Protezione app.

Si considerino gli esempi seguenti per il contesto aziendale o aziendale:

  • Un utente avvia l'app OneDrive usando il proprio account aziendale. Nel contesto di lavoro non possono spostare i file in un percorso di archiviazione personale. In seguito, quando usano OneDrive con il proprio account personale, possono copiare e spostare i dati dai OneDrive personali senza restrizioni.
  • Un utente inizia a creare un messaggio di posta elettronica nell'app Outlook. Dopo aver popolato l'oggetto o il corpo del messaggio, l'utente non è in grado di cambiare l'indirizzo FROM dal contesto di lavoro al contesto personale perché l'oggetto e il corpo del messaggio sono protetti dai criteri di protezione delle app.

Nota

Outlook ha una visualizzazione combinata delle e-mail sia "personali" che "aziendali". In questo caso, l'app Outlook richiede il PIN Intune all'avvio.

Importante

Anche se Edge si trova nel contesto "aziendale", gli utenti possono spostare intenzionalmente OneDrive file di contesto "aziendale" in una posizione di archiviazione cloud personale sconosciuta. Per evitare questo, vedere Gestire siti Web con restrizioni e configurare l'elenco di siti consentiti/bloccati per Edge.

INTUNE PIN dell'app

Il PIN (Personal Identification Number) è un passcode usato per verificare che l'utente corretto stia accedendo ai dati dell'organizzazione in un'applicazione.

Richiesta PIN
Intune richiede il PIN dell'app dell'utente quando l'utente sta per accedere ai dati "aziendali". Nelle app multi-identità, ad esempio Word, Excel o PowerPoint, all'utente viene richiesto il PIN quando tenta di aprire un documento o un file "aziendale". Nelle app con identità singola, ad esempio le app line-of-business gestite con il Intune App Wrapping Tool, il PIN viene richiesto all'avvio, perché Intune SDK sa che l'esperienza dell'utente nell'app è sempre "aziendale".

Richiesta pin o richiesta di credenziali aziendali, frequenza
L'amministratore IT può definire l'impostazione Intune criteri di protezione delle app Ricontrollare i requisiti di accesso dopo (minuti) nella console di amministrazione Intune. Questa impostazione specifica la quantità di tempo prima che i requisiti di accesso vengano controllati nel dispositivo e viene visualizzata di nuovo la schermata del PIN dell'applicazione o la richiesta di credenziali aziendali. Tuttavia, i dettagli importanti sul PIN che influiscono sulla frequenza con cui verrà richiesto l'utente sono:

  • Il PIN viene condiviso tra le app dello stesso editore per migliorare l'usabilità:
    In iOS/iPadOS, un PIN dell'app viene condiviso tra tutte le app dello stesso editore di app. Ad esempio, tutte le app Microsoft condividono lo stesso PIN. In Android, un PIN dell'app viene condiviso tra tutte le app.
  • Verifica nuovamente i requisiti di accesso dopo il comportamento (minuti) dopo il riavvio di un dispositivo:
    Un timer tiene traccia del numero di minuti di inattività che determinano quando visualizzare il PIN dell'app Intune o la richiesta di credenziali aziendali successiva. In iOS/iPadOS il timer non è interessato dal riavvio del dispositivo. Pertanto, il riavvio del dispositivo non ha alcun effetto sul numero di minuti in cui l'utente è stato inattivo da un'app iOS/iPadOS con Intune pin (o credenziali aziendali) di destinazione. In Android, il timer viene reimpostato al riavvio del dispositivo. Di conseguenza, Android app con Intune PIN (o credenziali aziendali) richiederà probabilmente un PIN dell'app o una richiesta di credenziali aziendali, indipendentemente dal valore di impostazione "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo.
  • La natura in sequenza del timer associato al PIN:
    Dopo aver immesso un PIN per accedere a un'app (app A) e l'app lascia il primo piano (stato attivo di input principale) nel dispositivo, il timer viene reimpostato per tale PIN. Qualsiasi app (app B) che condivide questo PIN non richiederà all'utente la voce PIN perché il timer è stato reimpostato. La richiesta verrà visualizzata di nuovo quando viene soddisfatto di nuovo il valore "Ricontrollare i requisiti di accesso dopo (minuti)".

Per i dispositivi iOS/iPadOS, anche se il PIN è condiviso tra app di diversi editori, la richiesta verrà visualizzata di nuovo quando viene soddisfatto nuovamente il valore Ricontrolla i requisiti di accesso dopo (minuti) per l'app che non è lo stato attivo principale dell'input. Ad esempio, un utente ha l'app A del server di pubblicazione X e l'app B del server di pubblicazione Y e queste due app condividono lo stesso PIN. L'utente è incentrato sull'app A (in primo piano) e l'app B è ridotta a icona. Dopo aver soddisfatto il valore Ricontrolla i requisiti di accesso dopo (minuti) e l'utente passa all'app B, il PIN sarà necessario.

Nota

Per verificare più spesso i requisiti di accesso dell'utente (ad esempio la richiesta di PIN), in particolare per un'app usata di frequente, è consigliabile ridurre il valore dell'impostazione "Ricontrollare i requisiti di accesso dopo (minuti)".

PIN di app predefiniti per Outlook e OneDrive
Il PIN Intune funziona in base a un timer basato su inattività (il valore di Controlla nuovamente i requisiti di accesso dopo (minuti)). Di conseguenza, Intune richieste PIN vengono visualizzate in modo indipendente dalle richieste PIN dell'app predefinite per Outlook e OneDrive che spesso sono associate all'avvio dell'app per impostazione predefinita. Se l'utente riceve entrambe le richieste PIN contemporaneamente, il comportamento previsto dovrebbe essere che il PIN Intune abbia la precedenza.

sicurezza del PIN Intune
Il PIN consente solo all'utente corretto di accedere ai dati dell'organizzazione nell'app. Pertanto, un utente finale deve accedere con il proprio account aziendale o dell'istituto di istruzione prima di poter impostare o reimpostare il PIN dell'app Intune. Questa autenticazione viene gestita da Azure Active Directory tramite lo scambio di token sicuro e non è trasparente per Intune SDK. Dal punto di vista della sicurezza, il modo migliore per proteggere i dati aziendali o dell'istituto di istruzione consiste nel crittografarli. La crittografia non è correlata al PIN dell'app, ma è un proprio criterio di protezione delle app.

Protezione dagli attacchi di forza bruta e dal PIN Intune
Come parte dei criteri pin dell'app, l'amministratore IT può impostare il numero massimo di volte in cui un utente può provare a autenticare il PIN prima di bloccare l'app. Dopo aver soddisfatto il numero di tentativi, l'SDK Intune può cancellare i dati "aziendali" nell'app.

Intune PIN e una cancellazione selettiva
In iOS/iPadOS le informazioni sul PIN a livello di app vengono archiviate nel keychain condiviso tra le app con lo stesso autore, ad esempio tutte le app Microsoft di prima parte. Queste informazioni sul PIN sono anche associate a un account utente finale. Una cancellazione selettiva di un'app non deve influire su un'app diversa.

Ad esempio, un pin impostato per Outlook per l'utente connesso viene archiviato in un keychain condiviso. Quando l'utente accede a OneDrive (pubblicato anche da Microsoft), visualizzerà lo stesso PIN di Outlook perché usa lo stesso keychain condiviso. Quando si disconnette Outlook o si cancellano i dati utente in Outlook, l'SDK Intune non cancella tale portachiava perché OneDrive potrebbe ancora usare tale PIN. Per questo motivo, le cancellazioni selettive non cancellano tale portachiava condivisa, incluso il PIN. Questo comportamento rimane invariato anche se nel dispositivo esiste una sola app di un editore.

Poiché il PIN viene condiviso tra le app con lo stesso editore, se la cancellazione passa a una singola app, l'SDK Intune non sa se sono presenti altre app nel dispositivo con lo stesso editore. Pertanto, Intune SDK non cancella il PIN perché potrebbe essere ancora usato per altre app. L'aspettativa è che il PIN dell'app venga cancellato quando l'ultima app da tale server di pubblicazione verrà rimossa alla fine come parte di una pulizia del sistema operativo.

Se si osserva che il PIN viene cancellato in alcuni dispositivi, è probabile che si verifichi quanto segue: poiché il PIN è associato a un'identità, se l'utente ha eseguito l'accesso con un account diverso dopo una cancellazione, verrà richiesto di immettere un nuovo PIN. Tuttavia, se accedono con un account esistente in precedenza, è possibile usare già un PIN archiviato nel keychain per accedere.

Impostare un PIN due volte nelle app dello stesso editore?
MAM (in iOS/iPadOS) attualmente consente al PIN a livello di applicazione con caratteri alfanumerici e speciali (chiamati "passcode") che richiede la partecipazione di applicazioni (ad esempio WXP, Outlook, Managed Browser, Yammer) per integrare l'SDK Intune per iOS. In caso contrario, le impostazioni del passcode non vengono applicate correttamente per le applicazioni di destinazione. Si tratta di una funzionalità rilasciata nell'SDK Intune per iOS v. 7.1.12.

Per supportare questa funzionalità e garantire la compatibilità con le versioni precedenti di Intune SDK per iOS/iPadOS, tutti i PIN (numerici o passcode) nella versione 7.1.12+ vengono gestiti separatamente dal PIN numerico nelle versioni precedenti dell'SDK. Un'altra modifica è stata introdotta nell'SDK Intune per iOS v 14.6.0 che fa sì che tutti i PIN nella versione 14.6.0 e successive vengano gestiti separatamente da qualsiasi PIN nelle versioni precedenti dell'SDK.

Pertanto, se un dispositivo ha applicazioni con Intune SDK per le versioni di iOS precedenti alla 7.1.12 E dopo la 7.1.12 dello stesso editore (o versioni precedenti alla 14.6.0 E successive alla 14.6.0), dovrà configurare due PIN. I due PIN (per ogni app) non sono correlati in alcun modo ,ad esempio devono rispettare i criteri di protezione delle app applicati all'app. Di conseguenza, solo se le app A e B hanno gli stessi criteri applicati (rispetto al PIN), l'utente può configurare lo stesso PIN due volte.

Questo comportamento è specifico del PIN nelle applicazioni iOS/iPadOS abilitate con Intune Gestione app per dispositivi mobili. Con il passare del tempo, quando le applicazioni adottano versioni successive di Intune SDK per iOS/iPadOS, la necessità di impostare un PIN due volte nelle app dello stesso editore diventa meno un problema. Per un esempio, vedere la nota seguente.

Nota

Ad esempio, se l'app A viene compilata con una versione precedente alla 7.1.12 (o alla 14.6.0) e l'app B viene compilata con una versione maggiore o uguale a 7.1.12 (o 14.6.0) dello stesso editore, l'utente finale dovrà configurare i PIN separatamente per A e B se entrambi sono installati in un dispositivo iOS/iPadOS. Se un'app C con SDK versione 7.1.9 (o 14.5.0) è installata nel dispositivo, condividerà lo stesso PIN dell'app A. Un'app D compilata con 7.1.14 (o 14.6.2) condividerà lo stesso PIN dell'app B.
Se in un dispositivo sono installate solo le app A e C, sarà necessario impostare un PIN. Lo stesso vale per se in un dispositivo vengono installate solo le app B e D.

Crittografia dei dati dell'app

Gli amministratori IT possono distribuire criteri di protezione delle app che richiedono la crittografia dei dati dell'app. Come parte dei criteri, l'amministratore IT può anche specificare quando il contenuto viene crittografato.

In che modo Intune processo di crittografia dei dati
Per informazioni dettagliate sull'impostazione dei criteri di protezione delle app di crittografia, vedere le impostazioni dei criteri di protezione delle app Android e iOS/iPadOS.

Dati crittografati
Solo i dati contrassegnati come "aziendali" vengono crittografati in base ai criteri di protezione delle app dell'amministratore IT. I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app Office, Intune considera quanto segue come sedi aziendali:

  • Posta elettronica (Exchange)
  • Archiviazione cloud (OneDrive'app con un account OneDrive for Business)

Per le app line-of-business gestite dal Intune App Wrapping Tool, tutti i dati dell'app sono considerati "aziendali".

Cancellazione selettiva

Cancellare i dati in remoto
Intune possibile cancellare i dati dell'app in tre modi diversi:

  • Cancellazione completa del dispositivo
  • Cancellazione selettiva per MDM
  • Cancellazione selettiva MAM

Per altre informazioni sulla cancellazione remota per MDM, vedere Rimuovere i dispositivi usando la cancellazione o il ritiro. Per altre informazioni sulla cancellazione selettiva tramite MAM, vedere l'azione Ritiro e Come cancellare solo i dati aziendali dalle app.

La cancellazione completa del dispositivo rimuove tutti i dati utente e le impostazioni dal dispositivo ripristinando le impostazioni predefinite del dispositivo. Il dispositivo viene rimosso da Intune.

Nota

La cancellazione completa del dispositivo e la cancellazione selettiva per MDM possono essere ottenute solo nei dispositivi registrati con Intune gestione dei dispositivi mobili (MDM).

Cancellazione selettiva per MDM
Per informazioni sulla rimozione dei dati aziendali, vedere Rimuovere i dispositivi: ritirare .

Cancellazione selettiva per MAM
La cancellazione selettiva per MAM rimuove semplicemente i dati dell'app aziendale da un'app. La richiesta viene avviata tramite Intune. Per informazioni su come avviare una richiesta di cancellazione, vedere Come cancellare solo i dati aziendali dalle app.

Se l'utente usa l'app quando viene avviata la cancellazione selettiva, Intune SDK verifica ogni 30 minuti una richiesta di cancellazione selettiva dal servizio MAM Intune. Verifica anche la cancellazione selettiva quando l'utente avvia l'app per la prima volta e accede con il proprio account aziendale o dell'istituto di istruzione.

Quando i servizi locali (locali) non funzionano con le app Intune protette
Intune protezione delle app dipende dall'identità dell'utente per essere coerente tra l'applicazione e Intune SDK. L'unico modo per garantire che è attraverso l'autenticazione moderna. Esistono scenari in cui le app possono funzionare con una configurazione locale, ma non sono né coerenti né garantite.

Modo sicuro per aprire collegamenti Web da app gestite
L'amministratore IT può distribuire e impostare i criteri di protezione delle app per Microsoft Edge, un Web browser che può essere gestito facilmente con Intune. L'amministratore IT può richiedere l'apertura di tutti i collegamenti Web nelle app gestite da Intune tramite un browser gestito.

esperienza Protezione di app per i dispositivi iOS

ID impronta digitale o viso del dispositivo

Intune criteri di protezione delle app consentono il controllo sull'accesso alle app solo all'utente con licenza Intune. Uno dei modi per controllare l'accesso all'app consiste nel richiedere l'ID tocco di Apple o l'ID viso nei dispositivi supportati. Intune implementa un comportamento in cui, in caso di modifiche al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso. Se l'utente Intune non ha un PIN impostato, viene configurato un PIN Intune.

Lo scopo di questo processo è continuare a mantenere i dati dell'organizzazione all'interno dell'app protetti e protetti a livello di app. Questa funzionalità è disponibile solo per iOS/iPadOS e richiede la partecipazione di applicazioni che integrano Intune SDK per iOS/iPadOS, versione 9.0.1 o successiva. L'integrazione dell'SDK è necessaria in modo che il comportamento possa essere applicato alle applicazioni di destinazione. Questa integrazione avviene in sequenza e dipende dai team di applicazioni specifici. Alcune app che partecipano includono WXP, Outlook, Managed Browser e Yammer.

Estensione di condivisione iOS

È possibile usare l'estensione di condivisione iOS/iPadOS per aprire i dati aziendali o dell'istituto di istruzione nelle app non gestite, anche con i criteri di trasferimento dati impostati solo su app gestite o nessuna app. Intune i criteri di protezione delle app non possono controllare l'estensione di condivisione iOS/iPadOS senza gestire il dispositivo. Pertanto, Intune crittografa i dati "aziendali" prima che siano condivisi all'esterno dell'app. È possibile convalidare questo comportamento di crittografia provando ad aprire un file "aziendale" all'esterno dell'app gestita. Il file deve essere crittografato e non può essere aperto all'esterno dell'app gestita.

Per impostazione predefinita, Intune criteri di protezione delle app impediranno l'accesso al contenuto non autorizzato dell'applicazione. In iOS/iPadOS sono disponibili funzionalità per aprire contenuti o applicazioni specifici usando i collegamenti universali.

Gli utenti possono disabilitare i collegamenti universali di un'app visitandoli in Safari e selezionando Apri in nuova scheda o Apri. Per consentire all'utente di usare i collegamenti universali con Intune criteri di protezione delle app, è importante riabilitare i collegamenti universali. L'utente finale deve eseguire una> open in app in < Safari dopo aver premuto a lungo un collegamento corrispondente.**** Questo dovrebbe richiedere a qualsiasi app protetta aggiuntiva di instradare tutti i collegamenti universali all'applicazione protetta nel dispositivo.

Più Intune impostazioni di accesso alla protezione delle app per lo stesso set di app e utenti

Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, una cancellazione avrebbe la precedenza, seguita da un blocco, quindi da un avviso ignorabile. Ad esempio, se applicabile all'utente/app specifico, verrà applicata un'impostazione minima del sistema operativo iOS/iPadOS che avvisa un utente di aggiornare la versione di iOS/iPadOS dopo l'impostazione minima del sistema operativo iOS/iPadOS che blocca l'accesso dell'utente. Pertanto, nello scenario in cui l'amministratore IT configura il sistema operativo iOS minimo su 11.0.0.0 e il sistema operativo iOS minimo (solo avviso) su 11.1.0.0, mentre il dispositivo che tenta di accedere all'app si trovava in iOS 10, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima del sistema operativo iOS che comporta l'accesso bloccato.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'SDK Intune avrà la precedenza, quindi un requisito di versione dell'app, seguito dal requisito della versione del sistema operativo iOS/iPadOS. Vengono quindi controllati tutti gli avvisi relativi a tutti i tipi di impostazioni nello stesso ordine. È consigliabile configurare il requisito della versione Intune SDK solo in base alle indicazioni del team di prodotto Intune per scenari di blocco essenziali.

esperienza Protezione di app per i dispositivi Android

Nota

Protezione di app criteri non sono supportati nei dispositivi Intune gestiti Android Enterprise dedicati. Se gli utenti in Android Enterprise dispositivi dedicati hanno criteri APP applicati per un altro dispositivo, è necessario seguire questa procedura:

  1. Assicurarsi che i dispositivi di destinazione siano solo Intune dispositivi dedicati gestiti. I criteri di blocco non hanno effetto se il dispositivo è gestito da un provider MDM di terze parti.

  2. Assicurarsi che Portale aziendale sia installato nel dispositivo dedicato. Questa operazione è necessaria per rendere effettivi i criteri di blocco dell'APP. Non è necessaria alcuna interazione dell'utente finale in Portale aziendale'app nei dispositivi dedicati per bloccare la funzionalità DELL'APP, quindi non è necessario che l'app Portale aziendale venga avviata dagli utenti finali. Il Portale aziendale deve essere semplicemente installato nel dispositivo. Ad esempio, non è necessario consentirne l'elenco in cima a Schermata iniziale gestita.

Si noti che gli utenti destinati ai criteri APP nei dispositivi non dedicati non saranno interessati.

Microsoft Teams Android dispositivi

L'app Teams nei dispositivi Microsoft Teams Android non supporta l'APP (non riceve criteri tramite l'app Portale aziendale). Ciò significa che le impostazioni dei criteri di protezione delle app non verranno applicate a Teams nei dispositivi Microsoft Teams Android. Se per questi dispositivi sono configurati criteri di protezione delle app, è consigliabile creare un gruppo di utenti di dispositivi Teams ed escludere tale gruppo dai criteri di protezione delle app correlati. Valutare inoltre la possibilità di modificare i criteri di registrazione Intune, i criteri di accesso condizionale e i criteri di conformità Intune in modo che dispongano delle impostazioni supportate. Se non è possibile modificare i criteri esistenti, è necessario configurare i filtri di dispositivo (esclusione). Verificare ogni impostazione rispetto alla configurazione dell'accesso condizionale esistente e Intune criteri di conformità per verificare se sono presenti impostazioni non supportate. Per informazioni correlate, vedere Supported Conditional Access and Intune device compliance policies for Microsoft Teams Rooms and Teams Android Devices (Criteri di conformità dei dispositivi supportati per Microsoft Teams Rooms e dispositivi Teams Android). Per informazioni relative a Microsoft Teams Rooms, vedere Accesso condizionale e conformità Intune per Microsoft Teams Rooms.

Autenticazione biometrica del dispositivo

Per Android dispositivi che supportano l'autenticazione biometrica, è possibile consentire agli utenti finali di usare l'impronta digitale o lo sblocco viso, a seconda del dispositivo Android supportato. È possibile configurare se tutti i tipi biometrici oltre l'impronta digitale possono essere usati per l'autenticazione. Si noti che l'impronta digitale e lo sblocco viso sono disponibili solo per i dispositivi prodotti per supportare questi tipi biometrici e eseguono la versione corretta di Android. Android 6 e superiori è necessario per l'impronta digitale e Android 10 e versioni successive è necessario per sblocco viso.

Portale aziendale protezione delle app e delle app Intune

Gran parte delle funzionalità di protezione delle app è integrata nell'app Portale aziendale. La registrazione del dispositivo non è necessaria anche se l'app Portale aziendale è sempre necessaria. Per Mobile Application Management (MAM), l'utente finale deve solo avere l'app Portale aziendale installata nel dispositivo.

Più Intune impostazioni di accesso alla protezione delle app per lo stesso set di app e utenti

Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, un blocco avrà la precedenza, quindi un avviso ignorabile. Ad esempio, se applicabile all'utente o all'app specifica, verrà applicata un'impostazione minima Android versione della patch che avvisa un utente di eseguire un aggiornamento della patch dopo l'impostazione minima Android versione della patch che impedisce all'utente di accedere. Pertanto, nello scenario in cui l'amministratore IT configura la versione minima Android patch su 2018-03-01 e la versione minima Android patch (solo avviso) su 2018-02-01, mentre il dispositivo che tenta di accedere all'app si trovava in una versione patch 2018-01-01, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima Android patch che comporta il blocco dell'accesso.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'app avrà la precedenza, seguito da Android requisito della versione del sistema operativo e Android requisito della versione della patch. Vengono quindi controllati tutti gli avvisi relativi a tutti i tipi di impostazioni nello stesso ordine.

Intune criteri di protezione delle app e l'attestazione SafetyNet di Google per i dispositivi Android

Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di superare l'attestazione SafetyNet di Google per i dispositivi Android. Un nuovo Google Play determinazione del servizio verrà segnalato all'amministratore IT a un intervallo determinato dal servizio Intune. La frequenza con cui viene eseguita la chiamata al servizio viene limitata a causa del caricamento, pertanto questo valore viene mantenuto internamente e non è configurabile. Qualsiasi azione configurata dall'amministratore IT per l'impostazione attestazione Google SafetyNet verrà eseguita in base all'ultimo risultato segnalato al servizio Intune al momento dell'avvio condizionale. Se non sono presenti dati, l'accesso sarà consentito a seconda che non siano stati eseguiti altri controlli di avvio condizionale e Google Play servizio "roundtrip" per determinare i risultati dell'attestazione inizierà nel back-end e richiederà all'utente in modo asincrono se il dispositivo ha avuto esito negativo. Se sono presenti dati non aggiornati, l'accesso verrà bloccato o consentito a seconda dell'ultimo risultato segnalato e, analogamente, verrà avviato un "roundtrip" del servizio Google Play per determinare i risultati dell'attestazione e verrà richiesto all'utente in modo asincrono se il dispositivo ha avuto esito negativo.

Intune criteri di protezione delle app e l'API Verifica app di Google per i dispositivi Android

Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di inviare segnali tramite l'API Verifica app di Google per i dispositivi Android. Le istruzioni su come eseguire questa operazione variano leggermente in base al dispositivo. Il processo generale prevede l'accesso al Google Play Store, quindi fare clic su App personali & giochi, facendo clic sul risultato dell'ultima analisi dell'app che ti porterà nel menu Play Protect. Assicurarsi che l'interruttore per l'analisi delle minacce alla sicurezza del dispositivo sia attivato.

API di attestazione SafetyNet di Google

Intune sfrutta Google Play Proteggere le API SafetyNet per aggiungere ai controlli di rilevamento radice esistenti per i dispositivi non registrazione. Google ha sviluppato e mantenuto questo set di API per Android app da adottare se non vogliono che le app vengano eseguite su dispositivi rooted. L'app Android Pay lo ha incorporato, ad esempio. Anche se Google non condivide pubblicamente la totalità dei controlli di rilevamento radice che si verificano, ci aspettiamo che queste API rilevino gli utenti che hanno rooted i loro dispositivi. A questi utenti può quindi essere impedito l'accesso o gli account aziendali cancellati dalle app abilitate per i criteri. Controllare l'integrità di base per informazioni sull'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. Controllare l'integrità di base & i dispositivi certificati indicano la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. I dispositivi che avranno esito negativo includono quanto segue:

  • Dispositivi che non riescono all'integrità di base
  • Dispositivi con un bootloader sbloccato
  • Dispositivi con un'immagine/ROM di sistema personalizzata
  • Dispositivi per i quali il produttore non ha fatto domanda o non ha superato la certificazione Google
  • Dispositivi con un'immagine di sistema creata direttamente dai file di origine del programma Open Source Android
  • Dispositivi con un'immagine di sistema beta/developer preview

Per informazioni tecniche , vedere la documentazione di Google sull'attestazione SafetyNet .

Impostazione di attestazione del dispositivo SafetyNet e impostazione "dispositivi jailbroken/rooted"

Google Play i controlli dell'API SafetyNet di Protect richiedono che l'utente finale sia online, almeno per la durata del momento in cui viene eseguito il "roundtrip" per determinare i risultati dell'attestazione. Se l'utente finale è offline, l'amministratore IT può comunque aspettarsi che venga applicato un risultato dall'impostazione dei dispositivi jailbroken/rooted . Detto questo, se l'utente finale è stato offline troppo a lungo, entra in gioco il valore del periodo di tolleranza Offline e tutti gli accessi ai dati aziendali o dell'istituto di istruzione vengono bloccati una volta raggiunto il valore del timer, fino a quando non è disponibile l'accesso alla rete. L'attivazione di entrambe le impostazioni consente un approccio a più livelli per mantenere integri i dispositivi degli utenti finali, cosa importante quando gli utenti finali accedono ai dati aziendali o dell'istituto di istruzione nei dispositivi mobili.

Google Play Proteggere API e Google Play Services

Le impostazioni dei criteri di protezione delle app che sfruttano le API di protezione Google Play richiedono Google Play Services per funzionare. Sia l'attestazione del dispositivo SafetyNet che l'analisi delle minacce nelle app richiedono che google determini la versione di Google Play Services per funzionare correttamente. Poiché si tratta di impostazioni che rientrano nell'area di sicurezza, l'utente finale verrà bloccato se è stato assegnato a queste impostazioni e non soddisfa la versione appropriata di Google Play Services o non ha accesso a Google Play Services.

Passaggi successivi

Come creare e distribuire criteri di protezione delle app con Microsoft Intune

Impostazioni dei criteri di protezione delle app disponibili Android con Microsoft Intune

Impostazioni dei criteri di protezione delle app iOS/iPadOS disponibili con Microsoft Intune