Condividi tramite


Impostazioni dei criteri di protezione delle app Android in Microsoft Intune

Questo articolo descrive le impostazioni dei criteri di protezione delle app per i dispositivi Android. Le impostazioni dei criteri descritte possono essere configurate per un criterio di protezione delle app nel riquadro Impostazioni del portale. Esistono tre categorie di impostazioni dei criteri: impostazioni di protezione dei dati, requisiti di accesso e avvio condizionale. In questo articolo il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.

Importante

Il Portale aziendale Intune è necessario nel dispositivo per ricevere i criteri di protezione delle app per i dispositivi Android.

Il Intune Managed Browser è stato ritirato. Usare Microsoft Edge per l'esperienza del browser Intune protetta.

Protezione dei dati

Trasferimento dati

Impostazione Come si usa Valore predefinito
Eseguire il backup dei dati dell'organizzazione nei servizi di backup Android Selezionare Blocca per impedire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione nel servizio Backup Android.

Selezionare Consenti per consentire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione.
Consenti
Inviare dati dell'organizzazione ad altre app Specificare quali app possono ricevere dati da questa app:
  • App gestite da criteri: consente il trasferimento solo ad altre app gestite da criteri.
  • Tutte le app: consente il trasferimento a qualsiasi app.
  • Nessuno: non consentire il trasferimento dei dati in alcuna app, incluse altre app gestite da criteri.

Esistono alcune app e servizi esenti a cui Intune possono consentire il trasferimento dei dati per impostazione predefinita. Inoltre, è possibile creare esenzioni personalizzate se è necessario consentire il trasferimento dei dati a un'app che non supporta Intune'APP. Per altre informazioni, vedere Esenzioni per il trasferimento dei dati.

Questo criterio può essere applicato anche ai collegamenti alle app Android. I collegamenti Web generali vengono gestiti dall'impostazione dei criteri Apri collegamenti all'app in Intune Managed Browser.

Nota

Intune attualmente non supporta la funzionalità App istantanee Android. Intune bloccherà qualsiasi connessione dati da o verso l'app. Per altre informazioni, vedere App istantanee Android nella documentazione per sviluppatori Android.

Se l'opzione Invia dati dell'organizzazione ad altre app è configurata in Tutte le app, i dati di testo potrebbero comunque essere trasferiti tramite condivisione del sistema operativo negli Appunti.

Tutte le app
    Selezionare le app da escludere
Questa opzione è disponibile quando si seleziona App gestite da criteri per l'opzione precedente.
    Salvare copie dei dati dell'organizzazione
Scegliere Blocca per disabilitare l'uso dell'opzione Salva con nome in questa app. Scegliere Consenti se si vuole consentire l'uso di Salva con nome. Se impostato su Blocca, è possibile configurare l'impostazione Consenti all'utente di salvare copie nei servizi selezionati.

Nota:
  • Questa impostazione è supportata per Microsoft Excel, OneNote, PowerPoint, Word e Edge. Può anche essere supportato da app di terze parti e lob.
  • Questa impostazione è configurabile solo quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su App gestite da criteri.
  • Questa impostazione sarà "Consenti" quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su Tutte le app.
  • Questa impostazione sarà "Blocca" senza percorsi di servizio consentiti quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su Nessuno.
  • Questa impostazione consente di salvare i file come crittografati se Crittografa i dati dell'organizzazione è impostato su Richiedi.
Consenti
      Consenti all'utente di salvare copie nei servizi selezionati
Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint, Raccolta foto, Box e Archiviazione locale). Tutti gli altri servizi verranno bloccati. 0 selezionato
    Trasferire i dati delle telecomunicazioni a
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, un'app dialer si aprirà con il numero di telefono prepopolato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
  • Nessuno, non trasferire questi dati tra le app: non trasferire i dati di comunicazione quando viene rilevato un numero di telefono.
  • Un'app dialer specifica: consente a un'app dialer specifica di avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app dialer gestita da criteri: consente a qualsiasi app dialer gestita da criteri di avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app dialer: consente di usare qualsiasi app dialer per avviare il contatto quando viene rilevato un numero di telefono.
Qualsiasi app dialer
      ID pacchetto dell'app Dialer
Quando è stata selezionata un'app dialer specifica, è necessario specificare l'ID pacchetto dell'app. Blank
      Nome app dialer
Quando è stata selezionata un'app dialer specifica, è necessario specificare il nome dell'app dialer. Blank
    Trasferire i dati di messaggistica in
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, un'app dialer si aprirà con il numero di telefono prepopolato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
  • Nessuno, non trasferire questi dati tra le app: non trasferire i dati di comunicazione quando viene rilevato un numero di telefono.
  • Un'app di messaggistica specifica: consente di usare un'app di messaggistica specifica per avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app di messaggistica gestita da criteri: consente di usare qualsiasi app di messaggistica gestita da criteri per avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app di messaggistica: consente di usare qualsiasi app di messaggistica per avviare il contatto quando viene rilevato un numero di telefono.
Qualsiasi app di messaggistica
      ID pacchetto dell'app di messaggistica
Quando è stata selezionata un'app di messaggistica specifica, è necessario specificare l'ID pacchetto dell'app. Blank
      Nome app di messaggistica
Quando è stata selezionata un'app di messaggistica specifica, è necessario specificare il nome dell'app di messaggistica. Blank
Ricevere dati da altre app Specificare quali app possono trasferire i dati all'app:
  • App gestite da criteri: consente il trasferimento solo da altre app gestite da criteri.
  • Tutte le app: consente il trasferimento dei dati da qualsiasi app.
  • Nessuno: non consentire il trasferimento dei dati da alcuna app, incluse altre app gestite da criteri.

Esistono alcune app e servizi esenti da cui Intune possono consentire il trasferimento dei dati. Per un elenco completo di app e servizi, vedere Esenzioni per il trasferimento dei dati.

Tutte le app
    Aprire i dati nei documenti dell'organizzazione
Selezionare Blocca per disabilitare l'uso dell'opzione Apri o di altre opzioni per condividere i dati tra account in questa app. Selezionare Consenti se si vuole consentire l'uso di Open.

Se impostato su Blocca , è possibile configurare l'opzione Consenti all'utente di aprire i dati dai servizi selezionati a specifici servizi consentiti per le posizioni dei dati dell'organizzazione.

Nota:
  • Questa impostazione è configurabile solo quando l'impostazione Ricezione dati da altre app è impostata su App gestite da criteri.
  • Questa impostazione sarà "Consenti" quando l'impostazione Ricezione dati da altre app è impostata su Tutte le app.
  • Questa impostazione sarà "Blocca" senza percorsi di servizio consentiti quando l'impostazione Ricezione dati da altre app è impostata su Nessuno.
  • Le app seguenti supportano questa impostazione:
    • OneDrive 6.14.1 o versione successiva.
    • Outlook per Android 4.2039.2 o versione successiva.
    • Teams per Android 1416/1.0.0.2021173701 o versione successiva.


Consenti
      Consentire agli utenti di aprire i dati dai servizi selezionati
Selezionare i servizi di archiviazione delle applicazioni da cui gli utenti possono aprire i dati. Tutti gli altri servizi sono bloccati. La selezione di nessun servizio impedirà agli utenti di aprire i dati.

Servizi supportati:
  • OneDrive for Business
  • SharePoint Online
  • Fotocamera
  • Raccolta foto
Nota: La fotocamera non include l'accesso a Foto o Raccolta foto. Quando si seleziona Raccolta foto (include lo strumento selezione foto di Android) nell'impostazione Consenti agli utenti di aprire i dati dai servizi selezionati all'interno di Intune, è possibile consentire agli account gestiti di consentire l'ingresso di immagini/video dall'archiviazione locale del dispositivo alle app gestite.
Tutte le opzioni selezionate
Limitare il taglio, copiare e incollare tra altre app Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app. Scegliere tra:
  • Bloccato: non consentire azioni taglia, copia e incolla tra questa app e qualsiasi altra app.
  • App gestite da criteri: consente di tagliare, copiare e incollare azioni tra questa app e altre app gestite da criteri.
  • Criteri gestiti con incolla in: consente di tagliare o copiare tra questa app e altre app gestite da criteri. Consente di incollare i dati di qualsiasi app in questa app.
  • Qualsiasi app: nessuna restrizione per tagliare, copiare e incollare da e verso questa app.
Qualsiasi app
    Limite di caratteri di taglia e copia per qualsiasi app
Specificare il numero di caratteri che possono essere tagliati o copiati dai dati e dagli account dell'organizzazione. Ciò consentirà la condivisione del numero specificato di caratteri quando sarebbe altrimenti bloccato dall'impostazione "Limita taglia, copia e incolla con altre app".

Valore predefinito = 0

Nota: richiede Portale aziendale Intune versione 5.0.4364.0 o successiva.

0
Acquisizione dello schermo e Google Assistant Selezionare Blocca per bloccare l'acquisizione dello schermo, bloccare Circle to Search e bloccare Google Assistant che accede ai dati dell'organizzazione nel dispositivo quando si usa questa app. La scelta di Blocca sfocerà anche l'immagine di anteprima del commutatore di app quando si usa questa app con un account aziendale o dell'istituto di istruzione.

Nota: Google Assistant può essere accessibile agli utenti per scenari che non accedono ai dati dell'organizzazione.

Blocca
Tastiere approvate Selezionare Richiedi e quindi specificare un elenco di tastiere approvate per questo criterio.

Gli utenti che non usano una tastiera approvata ricevono una richiesta di download e installazione di una tastiera approvata prima di poter usare l'app protetta. Questa impostazione richiede che l'app disponga dell'SDK Intune per Android versione 6.2.0 o successiva.

Non richiesto
    Selezionare le tastiere da approvare
Questa opzione è disponibile quando si seleziona Richiedi per l'opzione precedente. Scegliere Seleziona per gestire l'elenco di tastiere e metodi di input che possono essere usati con le app protette da questo criterio. È possibile aggiungere tastiere aggiuntive all'elenco e rimuovere una delle opzioni predefinite. Per salvare l'impostazione, è necessario disporre di almeno una tastiera approvata. Nel corso del tempo, Microsoft può aggiungere tastiere aggiuntive all'elenco per i nuovi criteri di protezione delle app, che richiederanno agli amministratori di esaminare e aggiornare i criteri esistenti in base alle esigenze.

Per aggiungere una tastiera, specificare:

  • Nome: nome descrittivo che identifica la tastiera ed è visibile all'utente.
  • ID pacchetto: ID pacchetto dell'app in Google Play Store. Ad esempio, se l'URL per l'app nel Play Store è https://play.google.com/store/details?id=com.contoskeyboard.android.prod, l'ID pacchetto è com.contosokeyboard.android.prod. Questo ID pacchetto viene presentato all'utente come un semplice collegamento per scaricare la tastiera da Google Play.

Nota: Un utente a cui sono stati assegnati più criteri di protezione delle app potrà usare solo le tastiere approvate comuni a tutti i criteri.

Crittografia

Impostazione Come si usa Valore predefinito
Crittografare i dati dell'organizzazione Scegliere Richiedi per abilitare la crittografia dei dati aziendali o dell'istituto di istruzione in questa app. Intune usa uno schema di crittografia AES wolfSSL a 256 bit insieme al sistema Android Keystore per crittografare in modo sicuro i dati dell'app. I dati vengono crittografati in modo sincrono durante le attività di I/O dei file. Il contenuto nell'archiviazione del dispositivo è sempre crittografato e può essere aperto solo dalle app che supportano i criteri di protezione delle app di Intune e a cui sono assegnati criteri. I nuovi file verranno crittografati con chiavi a 256 bit. I file crittografati a 128 bit esistenti verranno sottoposti a un tentativo di migrazione a chiavi a 256 bit, ma il processo non è garantito. I file crittografati con chiavi a 128 bit rimarranno leggibili.

Il metodo di crittografia è convalidato da FIPS 140-2; per altre informazioni, vedere wolfCrypt FIPS 140-2 e FIPS 140-3.
Richiedere
    Crittografare i dati dell'organizzazione nei dispositivi registrati
Selezionare Richiedi per applicare la crittografia dei dati dell'organizzazione con Intune crittografia a livello di app in tutti i dispositivi. Selezionare Non obbligatorio per non applicare la crittografia dei dati dell'organizzazione con Intune crittografia a livello di app nei dispositivi registrati. Richiedere

Funzionalità

Impostazione Come si usa Valore predefinito
Sincronizzare i dati delle app gestite da criteri con app o componenti aggiuntivi nativi Scegliere Blocca per impedire alle app gestite da criteri di salvare i dati nelle app native del dispositivo (contatti, calendario e widget) e per impedire l'uso di componenti aggiuntivi all'interno delle app gestite da criteri. Se non è supportato dall'applicazione, sarà consentito il salvataggio dei dati nelle app native e l'uso di componenti aggiuntivi.

Se si sceglie Consenti, l'app gestita da criteri può salvare i dati nelle app native o usare i componenti aggiuntivi, se tali funzionalità sono supportate e abilitate all'interno dell'app gestita da criteri.

Le applicazioni possono fornire controlli aggiuntivi per personalizzare il comportamento di sincronizzazione dei dati in app native specifiche o non rispettare questo controllo.

Nota: quando si esegue una cancellazione selettiva per rimuovere i dati aziendali o dell'istituto di istruzione dall'app, i dati sincronizzati direttamente dall'app gestita dai criteri all'app nativa vengono rimossi. Tutti i dati sincronizzati dall'app nativa a un'altra origine esterna non verranno cancellati.

Nota: le app seguenti supportano questa funzionalità:
Consenti
Stampa dei dati dell'organizzazione Scegliere Blocca per impedire all'app di stampare dati aziendali o dell'istituto di istruzione. Se si lascia questa impostazione su Consenti, il valore predefinito, gli utenti potranno esportare e stampare tutti i dati dell'organizzazione. Consenti
Limitare il trasferimento di contenuto Web con altre app Specificare la modalità di apertura del contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri. Scegliere tra:
  • Qualsiasi app: consenti collegamenti Web in qualsiasi app.
  • Intune Managed Browser: consentire l'apertura del contenuto Web solo nel Intune Managed Browser. Questo browser è gestito da criteri.
  • Microsoft Edge: consente l'apertura del contenuto Web solo in Microsoft Edge. Questo browser è gestito da criteri.
  • Browser non gestito: consente l'apertura del contenuto Web solo nel browser non gestito definito dall'impostazione del protocollo del browser non gestito . Il contenuto Web non verrà gestito nel browser di destinazione.
    Nota: richiede Portale aziendale Intune versione 5.0.4415.0 o successiva.


  • Browser gestiti da criteri
    In Android gli utenti finali possono scegliere tra altre app gestite da criteri che supportano i collegamenti http/https se non è installato né Intune Managed Browser né Microsoft Edge.

    Se è necessario un browser gestito da criteri ma non è installato, agli utenti finali verrà richiesto di installare Microsoft Edge.

    Se è necessario un browser gestito da criteri, i collegamenti alle app Android vengono gestiti dall'impostazione dei criteri Consenti all'app di trasferire dati ad altre app .

    Intune registrazione del dispositivo
    Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri del browser gestito con Microsoft Intune.

    Microsoft Edge gestito da criteri
    Il browser Microsoft Edge per dispositivi mobili (iOS/iPadOS e Android) supporta Intune criteri di protezione delle app. Gli utenti che accedono con i propri account Microsoft Entra aziendali nell'applicazione browser Microsoft Edge saranno protetti da Intune. Il browser Microsoft Edge integra APP SDK e supporta tutti i criteri di protezione dei dati, ad eccezione di impedire:

    • Salva con nome: il browser Microsoft Edge non consente a un utente di aggiungere connessioni dirette in-app ai provider di archiviazione cloud,ad esempio OneDrive.
    • Sincronizzazione dei contatti: il browser Microsoft Edge non viene salvato negli elenchi di contatti nativi.
    Nota:APP SDK non può determinare se un'app di destinazione è un browser. Nei dispositivi Android sono consentite altre app del browser gestito che supportano la finalità http/https.
Non configurata
    ID browser non gestito
Immettere l'ID applicazione per un singolo browser. Il contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri verrà aperto nel browser specificato. Il contenuto Web non verrà gestito nel browser di destinazione. Blank
    Nome browser non gestito
Immettere il nome dell'applicazione per il browser associato all'ID del browser non gestito. Questo nome verrà visualizzato agli utenti se il browser specificato non è installato. Blank
Notifiche dei dati dell'organizzazione Specificare la quantità di dati dell'organizzazione condivisi tramite le notifiche del sistema operativo per gli account dell'organizzazione. Questa impostazione dei criteri influirà sul dispositivo locale e su tutti i dispositivi connessi, ad esempio dispositivi indossabili e altoparlanti intelligenti. Le app possono fornire controlli aggiuntivi per personalizzare il comportamento delle notifiche o scegliere di non rispettare tutti i valori. Seleziona da:
  • Blocca: non condividere le notifiche.
    • Se non è supportato dall'applicazione, le notifiche saranno consentite.
  • Blocca i dati dell'organizzazione: non condividere i dati dell'organizzazione nelle notifiche. Ad esempio, "You have new mail"; "Hai una riunione".
    • Se non è supportata dall'applicazione, le notifiche verranno bloccate.
  • Consenti: condivide i dati dell'organizzazione nelle notifiche

Nota: questa impostazione richiede il supporto dell'app:

  • Outlook per Android 4.0.95 o versione successiva
  • Teams per Android 1416/1.0.0.2020092202 o versione successiva.
Consenti

Esenzioni per il trasferimento dei dati

Esistono alcune app e servizi della piattaforma esenti che Intune criteri di protezione delle app consentono il trasferimento dei dati da e verso. Ad esempio, tutte le app gestite da Intune in Android devono essere in grado di trasferire dati da e verso il riconoscimento vocale di Google, in modo che il testo dallo schermo del dispositivo mobile possa essere letto ad alta voce. Questo elenco è soggetto a modifiche e riflette i servizi e le app considerati utili per una produttività sicura.

Esenzioni complete

Queste app e questi servizi sono completamente consentiti per il trasferimento dei dati da e verso le app gestite da Intune.

Nome app/servizio Descrizione
com.android.phone App per telefoni nativa
com.android.vending Google Play Store
com.google.android.webview WebView, che è necessario per molte app tra cui Outlook.
com.android.webview Webview, che è necessario per molte app tra cui Outlook.
com.google.android.tts Sintesi vocale di Google
com.android.providers.settings Impostazioni di sistema Android
com.android.settings Impostazioni di sistema Android
com.azure.authenticator App Azure Authenticator, necessaria per l'autenticazione corretta in molti scenari.
com.microsoft.windowsintune.companyportal Portale aziendale di Intune
com.android.providers.contacts App contatti nativa

Esenzioni condizionali

Queste app e servizi sono consentiti solo per il trasferimento dei dati da e verso le app gestite da Intune in determinate condizioni.

Nome app/servizio Descrizione Condizione di esenzione
com.android.chrome Browser Google Chrome Chrome viene usato per alcuni componenti WebView in Android 7.0 e non è mai nascosto alla visualizzazione. Il flusso di dati da e verso l'app, tuttavia, è sempre limitato.
com.skype.raider Skype L'app Skype è consentita solo per determinate azioni che comportano una chiamata telefonica.
com.android.providers.media Provider di contenuti multimediali Android Il provider di contenuti multimediali è consentito solo per l'azione di selezione della suoneria.
com.google.android.gms; com.google.android.gsf Pacchetti di Google Play Services Questi pacchetti sono consentiti per le azioni di Google Cloud Messaging, ad esempio le notifiche push.
com.google.android.apps.maps Google Maps Gli indirizzi sono consentiti per lo spostamento.
com.android.documentsui Selezione documenti Android Consentito durante l'apertura o la creazione di un file.
com.google.android.documentsui Selezione documenti Android (Android 10+) Consentito durante l'apertura o la creazione di un file.

Per altre informazioni, vedere Eccezioni dei criteri di trasferimento dati per le app.

Requisiti di accesso

Impostazione Come si usa
PIN per l'accesso Selezionare Richiedi per richiedere un PIN per usare questa app. All'utente viene richiesto di configurare questo PIN la prima volta che esegue l'app in un contesto aziendale o dell'istituto di istruzione.

Valore predefinito = Require

È possibile configurare l'intensità del PIN usando le impostazioni disponibili nella sezione PIN per l'accesso.

Nota: Gli utenti finali autorizzati ad accedere all'app possono reimpostare il PIN dell'app. Questa impostazione potrebbe non essere visibile in alcuni casi nei dispositivi Android. I dispositivi Android hanno una limitazione massima di quattro scorciatoie disponibili. Quando è stato raggiunto il massimo, l'utente finale deve rimuovere eventuali collegamenti personalizzati (o accedere al collegamento da un'altra visualizzazione dell'app gestita) per visualizzare il collegamento al PIN dell'app di reimpostazione. In alternativa, l'utente finale potrebbe aggiungere il collegamento alla home page.

    Tipo DI PIN
Impostare un requisito per i PIN di tipo numerico o passcode prima di accedere a un'app a cui sono applicati criteri di protezione delle app. I requisiti numerici riguardano solo numeri, mentre un passcode può essere definito con almeno 1 lettera alfabetica o almeno 1 carattere speciale.

Valore predefinito = numerico

Nota: I caratteri speciali consentiti includono i caratteri speciali e i simboli sulla tastiera in lingua inglese Android.
    PIN semplice
Selezionare Consenti per consentire agli utenti di usare sequenze PIN semplici come 1234, 1111, abcd o aaaa. Selezionare Blocchi per impedire l'uso di sequenze semplici. Le sequenze semplici vengono archiviate in finestre scorrevoli di 3 caratteri. Se block è configurato, 1235 o 1112 non verrebbe accettato come PIN impostato dall'utente finale, ma 1122 sarebbe consentito.

Valore predefinito = Consenti

Nota: Se il PIN di tipo passcode è configurato e il PIN semplice è impostato su Consenti, l'utente deve includere almeno una lettera o almeno un carattere speciale nel PIN. Se il PIN di tipo passcode è configurato e il PIN semplice è impostato su Blocca, l'utente ha bisogno di almeno un numero e una lettera e almeno un carattere speciale nel PIN.
    Selezionare la lunghezza minima del PIN
Specificare il numero minimo di cifre in una sequenza DI PIN.

Valore predefinito = 4
    Biometria anziché PIN per l'accesso
Selezionare Consenti per consentire all'utente di usare la biometria per autenticare gli utenti nei dispositivi Android. Se consentito, la biometria viene usata per accedere all'app in dispositivi Android 10 o versioni successive.
    Eseguire l'override della biometria con PIN dopo il timeout
Per usare questa impostazione, selezionare Richiedi e quindi configurare un timeout di inattività.

Valore predefinito = Require
      Timeout (minuti di inattività)
Specificare un tempo in minuti dopo il quale un passcode o un PIN numerico (come configurato) sostituirà l'uso di una biometria. Questo valore di timeout deve essere maggiore del valore specificato in "Ricontrollare i requisiti di accesso dopo (minuti di inattività)".

Valore predefinito = 30
    Biometria di classe 3 (Android 9.0+)
Selezionare Richiedi per richiedere all'utente di accedere con la biometria di classe 3. Per altre informazioni sulla biometria di classe 3, vedere Biometria nella documentazione di Google.
    Eseguire l'override della biometria con IL PIN dopo gli aggiornamenti biometrici
Selezionare Richiedi per ignorare l'uso della biometria con PIN quando viene rilevata una modifica della biometria.

NOTA:
Questa impostazione diventa effettiva solo dopo che è stata usata una biometria per accedere all'app. A seconda del produttore del dispositivo Android, non tutte le forme di biometria possono essere supportate per le operazioni di crittografia. Attualmente, le operazioni di crittografia sono supportate per qualsiasi biometria (ad esempio impronta digitale, iris o viso) nel dispositivo che soddisfa o supera i requisiti per la biometria di classe 3, come definito nella documentazione di Android. Vedere la BIOMETRIC_STRONG costante dell'interfaccia BiometricManager.Authenticators e il authenticate metodo della classe BiometricPrompt . Potrebbe essere necessario contattare il produttore del dispositivo per comprendere le limitazioni specifiche del dispositivo.

    Reimpostazione del PIN dopo il numero di giorni
Selezionare per richiedere agli utenti di modificare il PIN dell'app dopo un determinato periodo di tempo, espresso in giorni.

Se impostato su , si configura il numero di giorni prima che sia necessaria la reimpostazione del PIN.

Valore predefinito = No
      Numero di giorni
Configurare il numero di giorni prima che sia necessaria la reimpostazione del PIN.

Valore predefinito = 90
    Selezionare il numero di valori PIN precedenti da gestire
Questa impostazione specifica il numero di PIN precedenti che Intune gestiranno. I nuovi PIN devono essere diversi da quelli che Intune mantiene.

Valore predefinito = 0
    PIN dell'app quando è impostato il PIN del dispositivo
Selezionare Non necessario per disabilitare il PIN dell'app quando viene rilevato un blocco del dispositivo in un dispositivo registrato con Portale aziendale configurato.

Valore predefinito = Require.
Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso Scegliere Richiedi per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione invece di immettere un PIN per l'accesso all'app. Quando è impostato su Richiedi e vengono attivati pin o richieste biometriche, vengono visualizzate sia le credenziali aziendali che il PIN o i prompt biometrici.

Valore predefinito = Non obbligatorio
Ricontrollare i requisiti di accesso dopo (minuti di inattività) Configurare l'impostazione seguente:
  • Timeout: indica il numero di minuti prima che i requisiti di accesso (definiti in precedenza nei criteri) vengano ricontrollati. Ad esempio, un amministratore attiva il PIN e blocca i dispositivi rooted nei criteri, un utente apre un'app gestita da Intune, deve immettere un PIN e deve usare l'app in un dispositivo non rooted. Quando si usa questa impostazione, l'utente non dovrà immettere un PIN o sottoporsi a un altro controllo di rilevamento radice in un'app gestita da Intune per un periodo di tempo uguale al valore configurato.

    Questo formato di impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 30 minuti

    Nota: In Android il PIN viene condiviso con tutte le app gestite da Intune. Il timer DEL PIN viene reimpostato quando l'app lascia il primo piano nel dispositivo. L'utente non dovrà immettere un PIN in un'app gestita da Intune che condivide il PIN per la durata del timeout definito in questa impostazione.

Nota

Per altre informazioni sul funzionamento di più impostazioni di protezione delle app Intune configurate nella sezione Access per lo stesso set di app e utenti in Android, vedere Intune domande frequenti di MAM e cancellare in modo selettivo i dati usando le azioni di accesso ai criteri di protezione delle app in Intune.

Avvio condizionale

Configurare le impostazioni di avvio condizionale per impostare i requisiti di sicurezza di accesso per i criteri di protezione delle app.

Per impostazione predefinita, vengono fornite diverse impostazioni con valori e azioni preconfigurati. È possibile eliminare alcune impostazioni, ad esempio la versione minima del sistema operativo. È anche possibile selezionare impostazioni aggiuntive nell'elenco a discesa Seleziona uno .

Condizioni dell'app

Impostazione Come si usa
Numero massimo di tentativi di PIN Specificare il numero di tentativi che l'utente deve immettere correttamente il PIN prima che venga eseguita l'azione configurata. Se l'utente non riesce a immettere correttamente il PIN dopo il numero massimo di tentativi di PIN, l'utente deve reimpostare il pin dopo aver eseguito correttamente l'accesso al proprio account e aver completato una richiesta di autenticazione a più fattori (MFA), se necessario. Questo formato di impostazione dei criteri supporta un numero intero positivo.

Le azioni includono:

  • Reimposta pin : l'utente deve reimpostare il PIN.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Valore predefinito = 5
Periodo di prova offline Numero di minuti in cui le app gestite possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati.

Le azioni includono:

  • Blocca l'accesso (minuti): numero di minuti in cui le app gestite possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati. Dopo la scadenza di questo periodo, l'app richiede l'autenticazione utente per Microsoft Entra ID in modo che l'app possa continuare a essere eseguita.

    Questo formato di impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 1440 minuti (24 ore)

    Nota: La configurazione del timer del periodo di tolleranza offline per bloccare l'accesso in modo che sia minore del valore predefinito può comportare interruzioni utente più frequenti man mano che i criteri vengono aggiornati. La scelta di un valore inferiore a 30 minuti non è consigliata perché potrebbe causare interruzioni dell'utente ad ogni avvio o ripresa dell'applicazione.
  • Cancellazione dei dati (giorni): dopo questo numero di giorni (definito dall'amministratore) di esecuzione offline, l'app richiederà all'utente di connettersi alla rete e riautenticarsi. Se l'utente esegue correttamente l'autenticazione, può continuare ad accedere ai dati e l'intervallo offline verrà reimpostato. Se l'utente non esegue l'autenticazione, l'app eseguirà una cancellazione selettiva dell'account e dei dati dell'utente. Per altre informazioni, vedere Come cancellare solo i dati aziendali dalle app gestite da Intune. Questo formato di impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 90 giorni
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.
Versione minima dell'app Specificare un valore per il valore minimo della versione dell'applicazione.

Le azioni includono:

  • Avvisa : l'utente visualizza una notifica se la versione dell'app nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente viene impedito l'accesso se la versione dell'app nel dispositivo non soddisfa i requisiti.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Poiché le app hanno spesso schemi di controllo delle versioni distinti tra loro, creare un criterio con una versione minima dell'app destinata a un'app (ad esempio, criteri di versione di Outlook).

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.

Inoltre, è possibile configurare la posizione in cui gli utenti finali possono ottenere una versione aggiornata di un'app line-of-business (LOB). Questo aspetto verrà visualizzato dagli utenti finali nella finestra di dialogo di avvio condizionale versione minima dell'app , che richiederà agli utenti finali di eseguire l'aggiornamento a una versione minima dell'app LOB. In Android questa funzionalità usa il Portale aziendale. Per configurare la posizione in cui un utente finale deve aggiornare un'app lob, l'app deve inviare un criterio di configurazione dell'app gestita con la chiave . com.microsoft.intune.myappstore Il valore inviato definirà da quale archivio l'utente finale scaricherà l'app. Se l'app viene distribuita tramite il Portale aziendale, il valore deve essere CompanyPortal. Per qualsiasi altro archivio, è necessario immettere un URL completo.
Account disabilitato Non è necessario impostare alcun valore per questa impostazione.

Le azioni includono:

  • Blocca l'accesso : all'utente viene impedito l'accesso perché l'account è stato disabilitato.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Orario non lavorativo Non è necessario impostare alcun valore per questa impostazione.

Le azioni includono:

  • Blocca l'accesso : all'utente viene impedito l'accesso perché l'account utente associato all'applicazione è in tempo non lavorativo.
  • Avvisa : l'utente visualizza una notifica se l'account utente associato all'applicazione è in orario non lavorativo. La notifica può essere ignorata.
Nota: questa impostazione deve essere configurata solo se il tenant è stato integrato con l'API Ora di lavoro. Per altre informazioni sull'integrazione di questa impostazione con l'API Orario di lavoro, vedere Limitare l'accesso a Microsoft Teams quando i lavoratori in prima linea sono fuori turno. La configurazione di questa impostazione senza l'integrazione con l'API Ora di lavoro potrebbe comportare il blocco degli account a causa dello stato dell'orario di lavoro mancante per l'account gestito associato all'applicazione.

Le app seguenti supportano questa funzionalità con Portale aziendale versione 5.0.5849.0 o successiva:

  • Teams per Android v1416/1.0.0.2023226005 (2023226050) o versioni successive
  • Edge per Android v125.0.2535.96 o versione successiva

Condizioni del dispositivo

Impostazione Come si usa
Dispositivi jailbroken/rooted Specificare se bloccare l'accesso al dispositivo o cancellare i dati del dispositivo per i dispositivi jailbroken/rooted. Le azioni includono:
  • Blocca l'accesso : impedisci l'esecuzione di questa app in dispositivi jailbroken o rooted. L'utente continua a essere in grado di usare questa app per le attività personali, ma dovrà usare un dispositivo diverso per accedere ai dati aziendali o dell'istituto di istruzione in questa app.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Versione minima del sistema operativo Specificare un sistema operativo Android minimo necessario per usare questa app. Le versioni del sistema operativo sotto la versione minima del sistema operativo specificata attiveranno le azioni. Le azioni includono:
  • Avvisa : l'utente visualizzerà una notifica se la versione di Android nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di Android nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.
Versione massima del sistema operativo Specificare un sistema operativo Android massimo necessario per usare questa app. Le versioni del sistema operativo sotto la versione max del sistema operativo specificata attiveranno le azioni. Le azioni includono:
  • Avvisa : l'utente visualizzerà una notifica se la versione di Android nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di Android nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.
Versione minima patch Richiedi che i dispositivi dispongano di una patch di sicurezza Android minima rilasciata da Google.
  • Avvisa : l'utente visualizzerà una notifica se la versione di Android nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di Android nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questa impostazione di criterio supporta il formato data di AAAA-MM-GG.
Produttori di dispositivi Specificare un elenco di produttori separati da punto e virgola. Questi valori non fanno distinzione tra maiuscole e minuscole. Le azioni includono:
  • Consenti specificato (blocca non specificato): solo i dispositivi che corrispondono al produttore specificato possono usare l'app. Tutti gli altri dispositivi sono bloccati.
  • Consenti specificato (cancella non specificato): l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per altre informazioni sull'uso di questa impostazione, vedere Azioni di avvio condizionale.
Verdetto integrità riproduzione Protezione di app criteri supportano alcune API di integrità di Google Play. Questa impostazione, in particolare, configura il controllo dell'integrità play di Google nei dispositivi degli utenti finali per convalidare l'integrità di tali dispositivi. Specificare Integrità di base o Integrità di base e integrità del dispositivo.

L'integrità di base indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. L'integrità di base & dispositivi certificati indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo.

Se si seleziona Verdetto integrità riproduzione come richiesto per l'avvio condizionale, è possibile specificare che come tipo di valutazione viene usato un controllo di integrità avanzata. La presenza di un controllo di integrità sicuro come tipo di valutazione indicherà una maggiore integrità di un dispositivo. I dispositivi che non supportano controlli di integrità avanzati verranno bloccati dai criteri MAM se sono destinati a questa impostazione. Il controllo dell'integrità avanzata fornisce un rilevamento radice più affidabile in risposta ai tipi più recenti di strumenti e metodi di rooting che non sempre possono essere rilevati in modo affidabile da una soluzione solo software. All'interno dell'APP, l'attestazione hardware verrà abilitata impostando il tipo di valutazione del verdetto di integrità della riproduzione su Verifica integrità avanzata dopo aver configurato il verdetto sull'integrità di riproduzione e il tipo di valutazione SafetyNet richiesto su Verifica integrità avanzata dopo la configurazione del controllo dell'integrità del dispositivo . L'attestazione basata su hardware sfrutta un componente basato su hardware fornito con dispositivi installati con Android 8.1 e versioni successive. È improbabile che i dispositivi aggiornati da una versione precedente di Android ad Android 8.1 abbiano i componenti basati su hardware necessari per l'attestazione basata su hardware. Anche se questa impostazione deve essere ampiamente supportata a partire dai dispositivi forniti con Android 8.1, Microsoft consiglia vivamente di testare i dispositivi singolarmente prima di abilitare questa impostazione di criteri su larga scala.

Importante: I dispositivi che non supportano questo tipo di valutazione verranno bloccati o cancellati in base all'azione di controllo dell'integrità del dispositivo. Le organizzazioni che desiderano usare questa funzionalità dovranno assicurarsi che gli utenti dispongano di dispositivi supportati. Per altre informazioni sui dispositivi consigliati da Google, vedere Requisiti consigliati per Android Enterprise.

Le azioni includono:

  • Avvisa : l'utente visualizza una notifica se il dispositivo non soddisfa il controllo dell'integrità del dispositivo di Google in base al valore configurato. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente viene impedito l'accesso se il dispositivo non soddisfa il controllo dell'integrità del dispositivo di Google in base al valore configurato.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per le domande frequenti relative a questa impostazione, vedere Domande frequenti su MAM e protezione delle app.
Richiedere l'analisi delle minacce nelle app Protezione di app criteri supportano alcune API di Google Play Protect. Questa impostazione garantisce in particolare che l'analisi verifica app di Google sia attivata per i dispositivi degli utenti finali. Se configurato, all'utente finale verrà impedito l'accesso fino a quando non attiva l'analisi delle app di Google nel dispositivo Android. Le azioni includono:
  • Avvisa : l'utente visualizza una notifica se l'analisi verifica app di Google nel dispositivo non è attivata. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente viene impedito l'accesso se l'analisi verifica app di Google nel dispositivo non è attivata.
I risultati dell'analisi Verifica app di Google vengono visualizzati nel report App potenzialmente dannose nella console.
Tipo di valutazione SafetyNet obbligatorio L'attestazione basata su hardware migliora il controllo del servizio di attestazione SafetyNet esistente. È possibile impostare il valore su Chiave supportata dall'hardware dopo aver impostato l'attestazione del dispositivo SafteyNet.
Richiedi blocco del dispositivo Questa impostazione determina se il dispositivo Android dispone di un PIN del dispositivo che soddisfa il requisito minimo di password. Il criterio Protezione di app può intervenire se il blocco del dispositivo non soddisfa il requisito minimo della password.

I valori includono:

  • Bassa complessità
  • Complessità media
  • Complessità elevata

Questo valore di complessità è destinato ad Android 12 e versioni successive. Per i dispositivi che operano in Android 11 e versioni precedenti, l'impostazione di un valore di complessità basso, medio o alto per impostazione predefinita sul comportamento previsto per bassa complessità. Per altre informazioni, vedere la documentazione per sviluppatori di Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH.

Le azioni includono:

  • Avvisa : l'utente visualizza una notifica se il blocco del dispositivo non soddisfa il requisito minimo di password. La notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se il blocco del dispositivo non soddisfa il requisito minimo di password.
  • Cancellazione dei dati : l'account utente associato all'applicazione viene cancellato dal dispositivo se il blocco del dispositivo non soddisfa il requisito minimo di password.
Versione minima Portale aziendale Usando la versione Min Portale aziendale, è possibile specificare una versione minima specifica del Portale aziendale applicata a un dispositivo dell'utente finale. Questa impostazione di avvio condizionale consente di impostare i valori su Blocca accesso, Cancella dati e Avvisa come possibili azioni quando ogni valore non viene soddisfatto. I formati possibili per questo valore seguono il modello [Major].[ Minore], [Maggiore].[ Minore]. [Build], or [Major].[ Minore]. [Build]. [Revisione]. Dato che alcuni utenti finali potrebbero non preferire un aggiornamento forzato delle app sul posto, l'opzione "avvisa" può essere ideale quando si configura questa impostazione. Google Play Store esegue un buon lavoro solo per l'invio dei byte delta per gli aggiornamenti delle app, ma può comunque trattarsi di una grande quantità di dati che l'utente potrebbe non voler usare se si trovano sui dati al momento dell'aggiornamento. Forzare un aggiornamento e quindi scaricare un'app aggiornata potrebbe comportare addebiti imprevisti per i dati al momento dell'aggiornamento. Per altre informazioni, vedere Impostazioni dei criteri Android.
Età massima Portale aziendale versione (giorni) È possibile impostare un numero massimo di giorni come età della versione Portale aziendale (CP) per i dispositivi Android. Questa impostazione garantisce che gli utenti finali si trovino all'interno di un determinato intervallo di versioni CP (in giorni). Il valore deve essere compreso tra 0 e 365 giorni. Quando l'impostazione per i dispositivi non viene soddisfatta, viene attivata l'azione per questa impostazione. Le azioni includono Blocca l'accesso, Cancella dati o Avvisa. Per informazioni correlate, vedere Impostazioni dei criteri Android. Nota: L'età della build Portale aziendale è determinata da Google Play nel dispositivo dell'utente finale.
Attestazione del dispositivo Samsung Knox Specificare se è necessario il controllo dell'attestazione del dispositivo Samsung Knox. Solo i dispositivi non modificati verificati da Samsung possono superare questo controllo. Per l'elenco dei dispositivi supportati, vedere samsungknox.com.

Usando questa impostazione, Microsoft Intune verificherà anche che la comunicazione dal Portale aziendale al servizio Intune sia stata inviata da un dispositivo integro.

Le azioni includono:
  • Avvisa : l'utente visualizza una notifica se il dispositivo non soddisfa il controllo di attestazione del dispositivo Samsung Knox. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'account utente viene impedito l'accesso se il dispositivo non soddisfa il controllo di attestazione del dispositivo Knox di Samsung.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.

Nota: L'utente deve accettare le condizioni di Samsung Knox prima di poter eseguire il controllo dell'attestazione del dispositivo. Se l'utente non accetta le condizioni di Samsung Knox, verrà eseguita l'azione specificata.

Nota: Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.

Livello massimo di minaccia consentito per il dispositivo Protezione di app criteri possono sfruttare il connettore Intune-MTD. Specificare un livello di minaccia massimo accettabile per l'uso di questa app. Le minacce sono determinate dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale. Specificare Protetto, Basso, Medio o Alto. La protezione non richiede minacce nel dispositivo ed è il valore configurabile più restrittivo, mentre High richiede essenzialmente una connessione da Intune a MTD attiva.

Le azioni includono:

  • Blocca l'accesso : all'utente verrà impedito l'accesso se il livello di minaccia determinato dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per altre informazioni sull'uso di questa impostazione, vedere Abilitare il connettore Mobile Threat Defense in Intune per i dispositivi non registrazione.
Servizio MTD primario Se sono stati configurati più connettori Intune-MTD, specificare l'app fornitore MTD primaria che deve essere usata nel dispositivo dell'utente finale.

I valori includono:

  • Microsoft Defender per endpoint: se il connettore MTD è configurato, specificare Microsoft Defender per endpoint fornirà le informazioni sul livello di minaccia del dispositivo.
  • Mobile Threat Defense (non Microsoft): se il connettore MTD è configurato, specificare che l'MTD non Microsoft fornirà le informazioni sul livello di minaccia del dispositivo.

Per usare questa impostazione, è necessario configurare l'impostazione "Livello massimo di minaccia consentito per il dispositivo".

Non sono presenti azioni per questa impostazione.