Impostazioni dei criteri di protezione delle app iOS

Questo articolo descrive le impostazioni dei criteri di protezione delle app per i dispositivi iOS/iPadOS. Le impostazioni dei criteri descritte possono essere configurate per un criterio di protezione delle app nel riquadro Impostazioni nel portale quando si crea un nuovo criterio.

Esistono tre categorie di impostazioni dei criteri: rilocazione dei dati, requisiti di accesso e avvio condizionale. In questo articolo il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.

Importante

Il Intune Managed Browser è stato ritirato. Usare Microsoft Edge per l'esperienza del browser Intune protetta.

Protezione dei dati

Trasferimento dati

Impostazione Come si usa Valore predefinito
Backup dei dati dell'organizzazione in backup di iTunes e iCloud Selezionare Blocca per impedire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud. Selezionare Consenti per consentire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud. Consenti
Inviare dati dell'organizzazione ad altre app Specificare quali app possono ricevere dati da questa app:
  • Tutte le app: consente il trasferimento a qualsiasi app. L'app ricevente avrà la possibilità di leggere e modificare i dati.
  • Nessuno: non consentire il trasferimento dei dati in alcuna app, incluse altre app gestite da criteri. Se l'utente esegue una funzione open-in gestita e trasferisce un documento, i dati verranno crittografati e illeggibili.
  • App gestite da criteri: consente il trasferimento solo ad altre app gestite da criteri.

    Nota:gli utenti possono essere in grado di trasferire contenuto tramite open-in o condividere estensioni in app non gestite in dispositivi non registrati o dispositivi registrati che consentono la condivisione ad app non gestite. I dati trasferiti vengono crittografati da Intune e illeggibili da app non gestite.

  • App gestite da criteri con condivisione del sistema operativo: consente solo il trasferimento dei dati ad altre app gestite da criteri, nonché i trasferimenti di file ad altre app gestite MDM nei dispositivi registrati.

    Nota:il valore App gestite da criteri con condivisione del sistema operativo è applicabile solo ai dispositivi registrati MDM. Se questa impostazione è destinata a un utente in un dispositivo non registrato, viene applicato il comportamento del valore App gestite da criteri. Gli utenti potranno trasferire contenuto non crittografato tramite estensioni Open-in o Share a qualsiasi applicazione consentita dall'impostazione allowOpenFromManagedtoUnmanaged di iOS MDM, presupponendo che l'app di invio abbia configurato IntuneMAMUPN e IntuneMAMOID; Per altre informazioni, vedere Come gestire il trasferimento dei dati tra app iOS in Microsoft Intune. Per altre informazioni su questa impostazione MDM per iOS/iPadOS, vedere https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf .

  • App gestite da criteri con filtro Open-In/Share: consente il trasferimento solo ad altre app gestite da criteri e filtra le finestre di dialogo Apri/Condividi del sistema operativo per visualizzare solo le app gestite da criteri. Per configurare il filtro della finestra di dialogo Apri/Condividi , è necessario che le app che fungono da origine file/documento e le app che possono aprire questo file/documento abbiano l'SDK di Intune per iOS versione 8.1.1 o successiva.

    Nota:gli utenti potrebbero essere in grado di trasferire il contenuto tramite open-in o condividi estensioni in app non gestite se il tipo di dati privato di Intune è supportato dall'app. I dati trasferiti vengono crittografati da Intune e illeggibili dalle app non gestite.


La ricerca spotlight (consente la ricerca dei dati all'interno delle app) e i collegamenti a Siri sono bloccati a meno che non sia impostato su Tutte le app.

Questo criterio può essere applicato anche ai collegamenti universali iOS/iPadOS. I collegamenti Web generali vengono gestiti dall'impostazione dei criteri Apri collegamenti all'app in Intune Managed Browser.

Esistono alcune app e servizi esenti a cui Intune può consentire il trasferimento dei dati per impostazione predefinita. Inoltre, è possibile creare esenzioni personalizzate se è necessario consentire il trasferimento dei dati a un'app che non supporta l'APP di Intune. Per altre informazioni, vedere Esenzioni per il trasferimento dei dati .

Tutte le app
    Selezionare le app da escludere
Questa opzione è disponibile quando si seleziona App gestite da criteri per l'opzione precedente.
    Selezionare i collegamenti universali da escludere
Specificare quali collegamenti universali iOS/iPadOS devono aprire nell'applicazione non gestita specificata anziché nel browser protetto specificato dall'impostazione Limita il trasferimento di contenuto Web con altre app . È necessario contattare lo sviluppatore dell'applicazione per determinare il formato di collegamento universale corretto per ogni applicazione.
    Selezionare collegamenti universali gestiti
Specificare i collegamenti universali iOS/iPadOS da aprire nell'applicazione gestita specificata anziché nel browser protetto specificato dall'impostazione Limita il trasferimento di contenuto Web con altre app . È necessario contattare lo sviluppatore dell'applicazione per determinare il formato di collegamento universale corretto per ogni applicazione.
    Salvare copie dei dati dell'organizzazione
Scegliere Blocca per disabilitare l'uso dell'opzione Salva con nome in questa app. Scegliere Consenti se si vuole consentire l'uso di Salva con nome. Se impostato su Blocca, è possibile configurare l'impostazione Consenti all'utente di salvare copie nei servizi selezionati.

Nota:
  • Questa impostazione è supportata per Microsoft Excel, OneNote, Outlook, PowerPoint, Word e Microsoft Edge. Può anche essere supportato da app di terze parti e lob.
  • Questa impostazione è configurabile solo quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su App gestite da criteri, App gestite da criteri con condivisione del sistema operativo o App gestite da criteri con filtro Open-In/Share.
  • Questa impostazione sarà "Consenti" quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su Tutte le app.
  • Questa impostazione sarà "Blocca" senza percorsi di servizio consentiti quando l'impostazione Invia dati dell'organizzazione ad altre app è impostata su Nessuno.
Consenti
      Consenti all'utente di salvare copie nei servizi selezionati
Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint, Raccolta foto e Archiviazione locale). Tutti gli altri servizi sono bloccati. OneDrive for Business: è possibile salvare i file in OneDrive for Business e SharePoint Online. SharePoint: è possibile salvare i file in SharePoint locale. Raccolta foto: è possibile salvare i file nella raccolta foto in locale. Archiviazione locale: le app gestite possono salvare copie dei dati dell'organizzazione in locale. Questo non include il salvataggio dei file nei percorsi non gestiti locali, ad esempio l'app File nel dispositivo. 0 selezionato
    Trasferire i dati delle telecomunicazioni a
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, un'app dialer si aprirà con il numero di telefono prepopolato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
  • Nessuno, non trasferire questi dati tra le app: non trasferire i dati di comunicazione quando viene rilevato un numero di telefono.
  • Un'app dialer specifica: consente a un'app dialer gestita specifica di avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app dialer: consente di usare qualsiasi app dialer gestita per avviare il contatto quando viene rilevato un numero di telefono.

Nota: questa impostazione richiede Intune SDK 12.7.0 e versioni successive. Se le app si basano sulla funzionalità dialer e non usano la versione corretta di Intune SDK, come soluzione alternativa, provare ad aggiungere "tel; telprompt" come esenzione per il trasferimento dei dati. Dopo che le app supportano la versione corretta di Intune SDK, l'esenzione può essere rimossa.

Qualsiasi app dialer
      Schema URL dell'app Dialer
Quando è stata selezionata un'app dialer specifica, è necessario specificare lo schema URL dell'app dialer usato per avviare l'app dialer nei dispositivi iOS. Per altre informazioni, vedere la documentazione di Apple sui collegamenti telefonici. Blank
    Trasferire i dati di messaggistica in
In genere, quando un utente seleziona un collegamento di messaggistica con collegamenti ipertestuali in un'app, viene aperta un'app di messaggistica con il numero di telefono prepopolato e pronto per l'invio. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri. Per rendere effettiva questa impostazione, potrebbero essere necessari passaggi aggiuntivi. Prima di tutto, verificare che sms sia stato rimosso dall'elenco Selezionare le app da escludere. Assicurarsi quindi che l'applicazione usi una versione più recente di Intune SDK (versione > 19.0.0). Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
  • Nessuno, non trasferire questi dati tra le app: non trasferire i dati di comunicazione quando viene rilevato un numero di telefono.
  • Un'app di messaggistica specifica: consentire a un'app di messaggistica gestita specifica di avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app di messaggistica: consente di usare qualsiasi app di messaggistica gestita per avviare il contatto quando viene rilevato un numero di telefono.

Nota: questa impostazione richiede Intune SDK 19.0.0 e versioni successive.

Qualsiasi app di messaggistica
      Schema URL dell'app di messaggistica
Quando è stata selezionata un'app di messaggistica specifica, è necessario specificare lo schema URL dell'app di messaggistica usato per avviare l'app di messaggistica nei dispositivi iOS. Per altre informazioni, vedere la documentazione di Apple sui collegamenti telefonici. Blank
Ricevere dati da altre app Specificare quali app possono trasferire i dati all'app:
  • Tutte le app: consente il trasferimento dei dati da qualsiasi app.
  • Nessuno: non consentire il trasferimento dei dati da alcuna app, incluse altre app gestite da criteri.
  • App gestite da criteri: consente il trasferimento solo da altre app gestite da criteri.
  • Tutte le app con i dati dell'organizzazione in ingresso: consente il trasferimento dei dati da qualsiasi app. Considerare tutti i dati in ingresso senza un'identità utente come dati dell'organizzazione. I dati verranno contrassegnati con l'identità dell'utente registrato MDM come definito dall'impostazione IntuneMAMUPN .

    Nota:il valore Tutte le app con dati dell'organizzazione in ingresso è applicabile solo ai dispositivi registrati MDM. Se questa impostazione è destinata a un utente in un dispositivo non registrato, viene applicato il comportamento del valore Qualsiasi app.

Le applicazioni abilitate per MAM multi-identità tenteranno di passare a un account non gestito quando si ricevono dati non gestiti se questa impostazione è configurata su Nessuna o App gestite da criteri. Se non è presente alcun account non gestito connesso all'app o se l'app non è in grado di passare, i dati in ingresso verranno bloccati.

Tutte le app
    Aprire i dati nei documenti dell'organizzazione
Selezionare Blocca per disabilitare l'uso dell'opzione Apri o di altre opzioni per condividere i dati tra account in questa app. Selezionare Consenti se si vuole consentire l'uso di Open.

Se impostato su Blocca , è possibile configurare l'opzione Consenti all'utente di aprire i dati dai servizi selezionati a specifici servizi consentiti per le posizioni dei dati dell'organizzazione.

Nota:
  • Questa impostazione è configurabile solo quando l'impostazione Ricezione dati da altre app è impostata su App gestite da criteri.
  • Questa impostazione sarà "Consenti" quando l'impostazione Ricezione dati da altre app è impostata su Tutte le app o Tutte le app con i dati dell'organizzazione in ingresso.
  • Questa impostazione sarà "Blocca" senza percorsi di servizio consentiti quando l'impostazione Ricezione dati da altre app è impostata su Nessuno.
  • Le app seguenti supportano questa impostazione:
    • OneDrive 11.45.3 o versione successiva.
    • Outlook per iOS 4.60.0 o versione successiva.
    • Teams per iOS 3.17.0 o versione successiva.
Consenti
      Consentire agli utenti di aprire i dati dai servizi selezionati
Selezionare i servizi di archiviazione delle applicazioni da cui gli utenti possono aprire i dati. Tutti gli altri servizi sono bloccati. La selezione di nessun servizio impedirà agli utenti di aprire i dati da posizioni esterne.
Nota: Questo controllo è progettato per funzionare sui dati esterni al contenitore aziendale.

Servizi supportati:
  • OneDrive for Business
  • SharePoint Online
  • Fotocamera
  • Raccolta foto
Nota: La fotocamera non include l'accesso a Foto o Raccolta foto. Quando si seleziona Raccolta foto nell'impostazione Consenti agli utenti di aprire dati da servizi selezionati in Intune, è possibile consentire agli account gestiti di consentire i dati in ingresso dalla raccolta foto del dispositivo alle app gestite.
Tutte le opzioni selezionate
Limitare il taglio, copiare e incollare tra altre app Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app. Seleziona da:
  • Bloccato: non consentire azioni taglia, copia e incolla tra questa app e qualsiasi altra app.
  • App gestite da criteri: consente di tagliare, copiare e incollare azioni tra questa app e altre app gestite da criteri.
  • Criteri gestiti con incolla in: consente di tagliare o copiare tra questa app e altre app gestite da criteri. Consente di incollare i dati di qualsiasi app in questa app.
  • Qualsiasi app: nessuna restrizione per tagliare, copiare e incollare da e verso questa app.
Qualsiasi app
    Limite di caratteri di taglia e copia per qualsiasi app
Specificare il numero di caratteri che possono essere tagliati o copiati dai dati e dagli account dell'organizzazione. In questo modo sarà possibile condividere il numero specificato di caratteri in qualsiasi applicazione, indipendentemente dall'impostazione Limita taglia, copia e incolla con altre app .

Valore predefinito = 0

Nota: richiede che l'app abbia Intune SDK versione 9.0.14 o successiva.

0
Tastiere di terze parti Scegliere Blocca per impedire l'uso di tastiere di terze parti nelle applicazioni gestite.

Quando questa impostazione è abilitata, l'utente riceve un messaggio una tantum che indica che l'uso di tastiere di terze parti è bloccato. Questo messaggio viene visualizzato la prima volta che un utente interagisce con i dati dell'organizzazione che richiede l'uso di una tastiera. Durante l'uso di applicazioni gestite è disponibile solo la tastiera iOS/iPadOS standard e tutte le altre opzioni della tastiera sono disabilitate. Questa impostazione influirà sia sull'organizzazione che sugli account personali delle applicazioni multi-identità. Questa impostazione non influisce sull'uso di tastiere di terze parti in applicazioni non gestite.

Nota: Questa funzionalità richiede che l'app usi Intune SDK versione 12.0.16 o successiva. Le app con versioni SDK dalla versione 8.0.14 a e, inclusa la versione 12.0.15, non avranno questa funzionalità valida per le app multi-identità. Per altri dettagli, vedere Problema noto: le tastiere di terze parti non sono bloccate in iOS/iPadOS per gli account personali.

Consenti

Nota

È necessario un criterio di protezione delle app con IntuneMAMUPN per i dispositivi gestiti. Questo vale per qualsiasi impostazione che richiede anche dispositivi registrati.

Crittografia

Impostazione Come si usa Valore predefinito
Crittografare i dati dell'organizzazione Scegliere Richiedi per abilitare la crittografia dei dati aziendali o dell'istituto di istruzione in questa app. Intune applica la crittografia a livello di dispositivo iOS/iPadOS per proteggere i dati dell'app mentre il dispositivo è bloccato. Inoltre, le applicazioni possono crittografare facoltativamente i dati delle app usando la crittografia di Intune APP SDK. Intune APP SDK usa metodi di crittografia iOS/iPadOS per applicare la crittografia AES a 256 bit ai dati dell'app.

Quando si abilita questa impostazione, potrebbe essere necessario configurare e usare un PIN del dispositivo per accedere al dispositivo. Se non è necessario alcun PIN del dispositivo e la crittografia è necessaria, all'utente viene richiesto di impostare un PIN con il messaggio "L'organizzazione ha richiesto di abilitare prima un PIN del dispositivo per accedere a questa app".

Per altre informazioni sulle classi di protezione dei dati, vedere la documentazione ufficiale di Apple nell'ambito della sicurezza della piattaforma Apple.
Richiedono

Funzionalità

Impostazione Come si usa Valore predefinito
Sincronizzare i dati delle app gestite da criteri con app o componenti aggiuntivi nativi Scegliere Blocca per impedire alle app gestite da criteri di salvare i dati nelle app native del dispositivo (contatti, calendario e widget) e per impedire l'uso di componenti aggiuntivi all'interno delle app gestite da criteri. Se non è supportato dall'applicazione, sarà consentito il salvataggio dei dati nelle app native e l'uso di componenti aggiuntivi.

Se si sceglie Consenti, l'app gestita da criteri può salvare i dati nelle app native o usare i componenti aggiuntivi, se tali funzionalità sono supportate e abilitate all'interno dell'app gestita da criteri.

Le applicazioni possono fornire controlli aggiuntivi per personalizzare il comportamento di sincronizzazione dei dati in app native specifiche o non rispettare questo controllo.

Nota: quando si esegue una cancellazione selettiva per rimuovere i dati aziendali o dell'istituto di istruzione dall'app, i dati sincronizzati direttamente dall'app gestita dai criteri all'app nativa vengono rimossi. Tutti i dati sincronizzati dall'app nativa a un'altra origine esterna non verranno cancellati.

Nota: le app seguenti supportano questa funzionalità:
Consenti
Stampa dei dati dell'organizzazione Selezionare Blocca per impedire all'app di stampare dati aziendali o dell'istituto di istruzione. Se si lascia questa impostazione su Consenti, il valore predefinito, gli utenti potranno esportare e stampare tutti i dati dell'organizzazione. Consenti
Limitare il trasferimento di contenuto Web con altre app Specificare la modalità di apertura del contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri. Scegliere tra:
  • Qualsiasi app: consenti collegamenti Web in qualsiasi app.
  • Intune Managed Browser: consentire l'apertura del contenuto Web solo nel Intune Managed Browser. Questo browser è gestito da criteri.
  • Microsoft Edge: consente l'apertura del contenuto Web solo in Microsoft Edge. Questo browser è gestito da criteri.
  • Browser non gestito: consente l'apertura del contenuto Web solo nel browser non gestito definito dall'impostazione del protocollo del browser non gestito . Il contenuto Web non verrà gestito nel browser di destinazione.
    Nota: richiede che l'app abbia Intune SDK versione 11.0.9 o successiva.
Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri del browser gestito con Microsoft Intune.

Se è necessario un browser gestito da criteri ma non è installato, agli utenti finali verrà richiesto di installare Microsoft Edge.

Se è necessario un browser gestito da criteri, i collegamenti universali iOS/iPadOS vengono gestiti dall'impostazione dei criteri Invia dati dell'organizzazione ad altre app .

Registrazione del dispositivo in Intune
Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri del browser gestito con Microsoft Intune.

Microsoft Edge gestito da criteri
Il browser Microsoft Edge per dispositivi mobili (iOS/iPadOS e Android) supporta i criteri di protezione delle app di Intune. Gli utenti che accedono con i propri account Microsoft Entra aziendali nell'applicazione browser Microsoft Edge saranno protetti da Intune. Il browser Microsoft Edge integra l'SDK di Intune e supporta tutti i criteri di protezione dei dati, ad eccezione della prevenzione:

  • Salva con nome: il browser Microsoft Edge non consente a un utente di aggiungere connessioni dirette in-app ai provider di archiviazione cloud,ad esempio OneDrive.
  • Sincronizzazione dei contatti: il browser Microsoft Edge non viene salvato negli elenchi di contatti nativi.

Nota: Intune SDK non può determinare se un'app di destinazione è un browser. Nei dispositivi iOS/iPadOS non sono consentite altre app browser gestite.
Non configurata
    Protocollo browser non gestito
Immettere il protocollo per un singolo browser non gestito. Il contenuto Web (collegamenti http/https) da applicazioni gestite da criteri verrà aperto in qualsiasi app che supporta questo protocollo. Il contenuto Web non verrà gestito nel browser di destinazione.

Questa funzionalità deve essere usata solo se si vuole condividere contenuto protetto con un browser specifico che non è abilitato usando i criteri di protezione delle app di Intune. È necessario contattare il fornitore del browser per determinare il protocollo supportato dal browser desiderato.

Nota: includere solo il prefisso del protocollo. Se il browser richiede collegamenti del modulo mybrowser://www.microsoft.com, immettere mybrowser.
I collegamenti verranno tradotti come:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Notifiche dei dati dell'organizzazione Specificare la modalità di condivisione dei dati dell'organizzazione tramite le notifiche del sistema operativo per gli account dell'organizzazione. Questa impostazione dei criteri influirà sul dispositivo locale e su tutti i dispositivi connessi, ad esempio dispositivi indossabili e altoparlanti intelligenti. Le app possono fornire controlli aggiuntivi per personalizzare il comportamento delle notifiche o scegliere di non rispettare tutti i valori. Seleziona da:
  • Bloccato: non condividere le notifiche.
    • Se non è supportato dall'applicazione, le notifiche saranno consentite.
  • Blocca dati dell'organizzazione: ad esempio, non condividere i dati dell'organizzazione nelle notifiche.
    • "Hai una nuova posta"; "Hai una riunione".
    • Se non è supportato dall'applicazione, le notifiche saranno consentite.
  • Consenti: condivide i dati dell'organizzazione nelle notifiche.

Nota:
Questa impostazione richiede il supporto delle app seguenti:

  • Outlook per iOS 4.34.0 o versione successiva
  • Teams per iOS 2.0.22 o versione successiva
  • Microsoft 365 (Office) per iOS 2.72 o versione successiva
Consenti

Nota

Nessuna delle impostazioni di protezione dei dati controlla la funzionalità open-in gestita da Apple nei dispositivi iOS/iPadOS. Per usare la gestione dell'open-in Apple, vedere Gestire il trasferimento dei dati tra app iOS/iPadOS con Microsoft Intune.

Esenzioni per il trasferimento dei dati

Esistono alcune app e servizi della piattaforma esenti che i criteri di protezione delle app di Intune possono consentire il trasferimento dei dati da e verso in determinati scenari. Questo elenco è soggetto a modifiche e riflette i servizi e le app considerati utili per una produttività sicura.

È possibile aggiungere app non gestite di terze parti all'elenco delle esenzioni che possono consentire eccezioni di trasferimento dei dati. Per altri dettagli ed esempi, vedere How to create exceptions to the Intune App Protection Policy (APP) data transfer policy (Come creare eccezioni ai criteri di trasferimento dati dei criteri di protezione delle app di Intune). L'app non gestita esente deve essere richiamata in base al protocollo URL iOS. Ad esempio, quando viene aggiunta l'esenzione per il trasferimento dei dati per un'app non gestita, impedirebbe comunque agli utenti di tagliare, copiare e incollare operazioni, se limitate dai criteri. Questo tipo di esenzione impedirebbe comunque agli utenti di usare un'azione Open-in all'interno di un'app gestita per condividere o salvare i dati per esentare l'app perché non è basata sul protocollo URL iOS. Per altre informazioni sull'accesso aperto, vedere Usare la protezione delle app con le app iOS.

Nome/i dell'app/servizio Descrizione
skype Skype
app-settings Impostazioni del dispositivo
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Calendario nativo

Importante

I criteri di protezione delle app creati prima del 15 giugno 2020 includono lo schema di URL tel e telprompt come parte delle esenzioni predefinite per il trasferimento dei dati. Questi schemi URL consentono alle app gestite di avviare il dialer. L'impostazione dei criteri di protezione delle app Trasferire i dati delle telecomunicazioni in ha sostituito questa funzionalità. Gli amministratori devono rimuovere tel; telprompt; dalle esenzioni per il trasferimento dei dati e si basano sull'impostazione dei criteri di protezione delle app, a condizione che le app gestite che avviano la funzionalità dialer includano Intune SDK 12.7.0 o versione successiva.

Importante

In Intune SDK 14.5.0 o versioni successive, inclusi gli schemi DI URL sms e mailto nelle esenzioni per il trasferimento dei dati, sarà anche possibile condividere i dati dell'organizzazione con i controller di visualizzazione MFMessageCompose (per sms) e MFMailCompose (per mailto) all'interno di applicazioni gestite da criteri.

I collegamenti universali consentono all'utente di avviare direttamente un'applicazione associata al collegamento anziché un browser protetto specificato dall'impostazione Limita il trasferimento di contenuto Web con altre app . È necessario contattare lo sviluppatore dell'applicazione per determinare il formato di collegamento universale corretto per ogni applicazione.

I collegamenti clip dell'app predefiniti sono gestiti anche da criteri di collegamento universale.

Aggiungendo collegamenti universali alle app non gestite , è possibile avviare l'applicazione specificata. Per aggiungere l'app, è necessario aggiungere il collegamento all'elenco di esenzione.

Attenzione

Le applicazioni di destinazione per questi collegamenti universali non sono gestite e l'aggiunta di un'esenzione può causare perdite di sicurezza dei dati.

Le esenzioni per il collegamento universale dell'app predefinita sono le seguenti:

Collegamento universale dell'app Descrizione
http://maps.apple.com; https://maps.apple.com App Mappe
http://facetime.apple.com; https://facetime.apple.com FaceTime App

Se non si desidera consentire le esenzioni predefinite per il collegamento universale, è possibile eliminarle. È anche possibile aggiungere collegamenti universali per app di terze parti o lob. I collegamenti universali esentati consentono caratteri jolly, ad http://*.sharepoint-df.com/*esempio .

Aggiungendo collegamenti universali alle app gestite , è possibile avviare l'applicazione specificata in modo sicuro. Per aggiungere l'app, è necessario aggiungere il collegamento universale dell'app all'elenco gestito. Se l'applicazione di destinazione supporta i criteri di Protezione app di Intune, selezionando il collegamento si tenterà di avviare l'app. Se l'app non è in grado di aprirsi, il collegamento viene aperto nel browser protetto. Se l'applicazione di destinazione non integra l'SDK di Intune, selezionando il collegamento verrà avviato il browser protetto.

I collegamenti universali gestiti predefiniti sono i seguenti:

Collegamento universale dell'app gestita Descrizione
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; Todo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Zoom

Se non si desidera consentire i collegamenti universali gestiti predefiniti, è possibile eliminarli. È anche possibile aggiungere collegamenti universali per app di terze parti o lob.

Requisiti di accesso

Impostazione Come si usa Valore predefinito
PIN per l'accesso Selezionare Richiedi per richiedere un PIN per usare questa app. All'utente viene richiesto di configurare questo PIN la prima volta che esegue l'app in un contesto aziendale o dell'istituto di istruzione. Il PIN viene applicato quando si lavora online o offline.

È possibile configurare l'intensità del PIN usando le impostazioni disponibili nella sezione PIN per l'accesso .

Nota: Gli utenti finali autorizzati ad accedere all'app possono reimpostare il PIN dell'app. Questa impostazione potrebbe non essere visibile in alcuni casi nei dispositivi iOS. I dispositivi iOS hanno una limitazione massima di quattro collegamenti disponibili. Per visualizzare il collegamento per la reimpostazione del PIN dell'APP, l'utente finale potrebbe dover accedere al collegamento da un'app gestita diversa.
Richiedono
    Tipo DI PIN
Impostare un requisito per i PIN di tipo numerico o passcode prima di accedere a un'app a cui sono applicati criteri di protezione delle app. I requisiti numerici riguardano solo numeri, mentre un passcode può essere definito con almeno 1 lettera alfabetica o almeno 1 carattere speciale.

Nota:per configurare il tipo di passcode, è necessario che l'app abbia Intune SDK versione 7.1.12 o successiva. Il tipo numerico non ha restrizioni sulla versione di Intune SDK. I caratteri speciali consentiti includono i caratteri speciali e i simboli sulla tastiera iOS/iPadOS in lingua inglese.
Numerico
    PIN semplice
Selezionare Consenti per consentire agli utenti di usare sequenze PIN semplici come 1234, 1111, abcd o aaaa. Selezionare Blocca per impedire l'uso di sequenze semplici. Le sequenze semplici vengono archiviate in finestre scorrevoli di 3 caratteri. Se block è configurato, 1235 o 1112 non verrebbe accettato come PIN impostato dall'utente finale, ma 1122 sarebbe consentito.

Nota: se il PIN di tipo passcode è configurato e Consenti PIN semplice è impostato su Sì, l'utente ha bisogno di almeno 1 lettera o almeno 1 carattere speciale nel PIN. Se il PIN di tipo passcode è configurato e Consenti PIN semplice è impostato su No, l'utente ha bisogno di almeno 1 numero e 1 lettera e almeno 1 carattere speciale nel PIN.
Consenti
    Selezionare la lunghezza minima del PIN
Specificare il numero minimo di cifre in una sequenza DI PIN. 4
    Touch ID anziché PIN per l'accesso (iOS 8+)
Selezionare Consenti per consentire all'utente di usare Touch ID anziché un PIN per l'accesso all'app. Consenti
      Eseguire l'override di Touch ID con PIN dopo il timeout
Per usare questa impostazione, selezionare Richiedi e quindi configurare un timeout di inattività. Richiedono
        Timeout (minuti di inattività)
Specificare un tempo in minuti dopo il quale un passcode o un PIN numerico (come configurato) sostituirà l'uso di un'impronta digitale o di un viso come metodo di accesso. Questo valore di timeout deve essere maggiore del valore specificato in "Ricontrollare i requisiti di accesso dopo (minuti di inattività)". 30
      Face ID anziché PIN per l'accesso (iOS 11+)
Selezionare Consenti per consentire all'utente di usare la tecnologia di riconoscimento facciale per autenticare gli utenti nei dispositivi iOS/iPadOS. Se consentito, è necessario usare Face ID per accedere all'app in un dispositivo con supporto per Face ID. Consenti
    Reimpostazione del PIN dopo il numero di giorni
Selezionare per richiedere agli utenti di modificare il PIN dell'app dopo un determinato periodo di tempo, espresso in giorni.

Se impostato su , si configura il numero di giorni prima che sia necessaria la reimpostazione del PIN.
No
      Numero di giorni
Configurare il numero di giorni prima che sia necessaria la reimpostazione del PIN. 90
    PIN dell'app quando è impostato il PIN del dispositivo
Selezionare Disabilita per disabilitare il PIN dell'app quando viene rilevato un blocco del dispositivo in un dispositivo registrato con Portale aziendale configurato.

Nota:richiede che l'app abbia Intune SDK versione 7.0.1 o successiva. L'impostazione IntuneMAMUPN deve essere configurata per consentire alle applicazioni di rilevare lo stato di registrazione.

Nei dispositivi iOS/iPadOS è possibile consentire all'utente di dimostrare la propria identità usando Touch ID o Face ID anziché un PIN. Intune usa l'API LocalAuthentication per autenticare gli utenti usando Touch ID e Face ID. Per altre informazioni su Touch ID e Face ID, vedere la Guida alla sicurezza di iOS.

Quando l'utente prova a usare questa app con il proprio account aziendale o dell'istituto di istruzione, viene richiesto di fornire l'identità dell'impronta digitale o dell'identità del viso invece di immettere un PIN. Quando questa impostazione è abilitata, l'immagine di anteprima del commutatore di app verrà sfocata durante l'uso di un account aziendale o dell'istituto di istruzione. Se viene apportata una modifica al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso per l'autenticazione. Se l'utente di Intune non ha un PIN impostato, viene portato a configurare un PIN di Intune.
Attivazione
Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso Selezionare Richiedi per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione invece di immettere un PIN per l'accesso all'app. Se si imposta questa opzione su Richiedi e vengono attivati pin o richieste biometriche, vengono visualizzate sia le credenziali aziendali che il PIN o i prompt biometrici. Non richiesto
Ricontrollare i requisiti di accesso dopo (minuti di inattività) Configurare il numero di minuti di inattività che devono passare prima che l'app richieda all'utente di specificare nuovamente i requisiti di accesso.

Ad esempio, un amministratore attiva il PIN e blocca i dispositivi rooted nei criteri, un utente apre un'app gestita da Intune, deve immettere un PIN e deve usare l'app in un dispositivo nonrooted. Quando si usa questa impostazione, l'utente non deve immettere un PIN o sottoporsi a un altro controllo del rilevamento radice in un'app gestita da Intune per un periodo di tempo uguale al valore configurato.

Nota:in iOS/iPadOS, il PIN viene condiviso tra tutte le app gestite da Intune dello stesso editore. Il timer pin per un PIN specifico viene reimpostato dopo che l'app lascia il primo piano nel dispositivo. L'utente non deve immettere un PIN in un'app gestita da Intune che condivide il PIN per la durata del timeout definito in questa impostazione. Questo formato di impostazione dei criteri supporta un numero intero positivo.
30

Nota

Per altre informazioni su come più impostazioni di protezione delle app di Intune configurate nella sezione Accesso allo stesso set di app e utenti funzionano in iOS/iPadOS, vedere Domande frequenti su Mam di Intune e Cancellare in modo selettivo i dati usando le azioni di accesso ai criteri di protezione delle app in Intune.

Avvio condizionale

Configurare le impostazioni di avvio condizionale per impostare i requisiti di sicurezza di accesso per i criteri di protezione dell'accesso.

Per impostazione predefinita, vengono fornite diverse impostazioni con valori e azioni preconfigurati. È possibile eliminare alcuni di questi, ad esempio la versione min del sistema operativo. È anche possibile selezionare impostazioni aggiuntive nell'elenco a discesa Seleziona uno .

Impostazione Come si usa
Versione massima del sistema operativo Specificare un sistema operativo iOS/iPadOS massimo per usare questa app.

Le azioni includono:

  • Avvisa : l'utente visualizzerà una notifica se la versione di iOS/iPadOS nel dispositivo non soddisfa i requisiti. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di iOS/iPadOS nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.

Nota:richiede che l'app abbia Intune SDK versione 14.4.0 o successiva.
Versione minima del sistema operativo Specificare un sistema operativo iOS/iPadOS minimo per usare questa app.

Le azioni includono:

  • Avvisa : l'utente visualizzerà una notifica se la versione di iOS/iPadOS nel dispositivo non soddisfa i requisiti. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di iOS/iPadOS nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.

Nota:richiede che l'app abbia Intune SDK versione 7.0.1 o successiva.
Numero massimo di tentativi di PIN Specificare il numero di tentativi che l'utente deve immettere correttamente il PIN prima che venga eseguita l'azione configurata. Se l'utente non riesce a immettere correttamente il PIN dopo il numero massimo di tentativi di PIN, l'utente deve reimpostare il pin dopo aver eseguito correttamente l'accesso al proprio account e aver completato una richiesta di autenticazione a più fattori,se necessario. Questo formato di impostazione dei criteri supporta un numero intero positivo.

Le azioni includono:

  • Reimposta pin : l'utente deve reimpostare il PIN.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Valore predefinito = 5
Periodo di prova offline Numero di minuti in cui le app gestite da criteri possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati.

Le azioni includono:

  • Blocca l'accesso (minuti): numero di minuti in cui le app gestite da criteri possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati. Dopo la scadenza del periodo configurato, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione fino a quando non è disponibile l'accesso alla rete. Il timer del periodo di tolleranza offline per bloccare l'accesso ai dati viene calcolato singolarmente per ogni app in base all'ultimo check-in con il servizio Intune. Questo formato di impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 1440 minuti (24 ore)

    Nota: La configurazione del timer del periodo di tolleranza offline per bloccare l'accesso in modo che sia minore del valore predefinito può comportare interruzioni utente più frequenti man mano che i criteri vengono aggiornati. La scelta di un valore inferiore a 30 minuti non è consigliata perché potrebbe causare interruzioni dell'utente ad ogni avvio o ripresa dell'applicazione.

    Nota: L'arresto dell'aggiornamento dei criteri del periodo di tolleranza offline, inclusa la chiusura o la sospensione dell'applicazione, comporterà un'interruzione dell'utente all'avvio o alla ripresa dell'app successiva.

  • Cancellazione dei dati (giorni): dopo questo numero di giorni (definito dall'amministratore) di esecuzione offline, l'app richiederà all'utente di connettersi alla rete e riautenticarsi. Se l'utente esegue correttamente l'autenticazione, può continuare ad accedere ai dati e l'intervallo offline verrà reimpostato. Se l'utente non esegue l'autenticazione, l'app eseguirà una cancellazione selettiva dell'account e dei dati degli utenti. Per altre informazioni sui dati rimossi con una cancellazione selettiva, vedere Come cancellare solo i dati aziendali dalle app gestite da Intune . Il timer del periodo di tolleranza offline per la cancellazione dei dati viene calcolato singolarmente per ogni app in base all'ultimo check-in con il servizio Intune. Questo formato di impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 90 giorni
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.
Dispositivi jailbroken/rooted Non è necessario impostare alcun valore per questa impostazione.

Le azioni includono:

  • Blocca l'accesso : impedisci l'esecuzione di questa app in dispositivi jailbroken o rooted. L'utente continua a essere in grado di usare questa app per le attività personali, ma deve usare un dispositivo diverso per accedere ai dati aziendali o dell'istituto di istruzione in questa app.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Account disabilitato Non è necessario impostare alcun valore per questa impostazione.

Le azioni includono:

  • Blocca l'accesso: dopo aver confermato che l'utente è stato disabilitato in Microsoft Entra ID, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione.
  • Cancella i dati: dopo aver confermato che l'utente è stato disabilitato in Microsoft Entra ID, l'app eseguirà una cancellazione selettiva dell'account e dei dati degli utenti.
Versione minima dell'app Specificare un valore per il valore minimo della versione dell'applicazione.

Le azioni includono:

  • Avvisa : l'utente visualizza una notifica se la versione dell'app nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente viene impedito l'accesso se la versione dell'app nel dispositivo non soddisfa i requisiti.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Poiché le app hanno spesso schemi di controllo delle versioni distinti tra loro, creare un criterio con una versione minima dell'app destinata a un'app (ad esempio, criteri di versione di Outlook).

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questa impostazione dei criteri supporta i formati di versione del bundle di app iOS corrispondenti (major.minor o major.minor.patch).

Nota:richiede che l'app abbia Intune SDK versione 7.0.1 o successiva.

Inoltre, è possibile configurare la posizione in cui gli utenti finali possono ottenere una versione aggiornata di un'app line-of-business (LOB). Questo aspetto verrà visualizzato dagli utenti finali nella finestra di dialogo di avvio condizionale versione minima dell'app , che richiederà agli utenti finali di eseguire l'aggiornamento a una versione minima dell'app LOB. In iOS/iPadOS questa funzionalità richiede che l'app venga integrata (o sottoposta a wrapping tramite lo strumento di wrapping) con Intune SDK per iOS v. 10.0.7 o versione successiva. Per configurare la posizione in cui un utente finale deve aggiornare un'app lob, l'app deve inviare un criterio di configurazione dell'app gestita con la chiave . com.microsoft.intune.myappstore Il valore inviato definirà da quale archivio l'utente finale scaricherà l'app. Se l'app viene distribuita tramite il Portale aziendale, il valore deve essere CompanyPortal. Per qualsiasi altro archivio, è necessario immettere un URL completo.
Versione minima dell'SDK Specificare un valore minimo per la versione di Intune SDK.

Le azioni includono:

  • Blocca l'accesso : all'utente viene impedito l'accesso se la versione sdk dei criteri di protezione delle app di Intune dell'app non soddisfa i requisiti.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
  • Avvisa : l'utente visualizzerà una notifica se la versione di iOS/iPadOS SDK per l'app non soddisfa il requisito sdk minimo. All'utente verrà richiesto di eseguire l'aggiornamento alla versione più recente dell'app. Questa notifica può essere ignorata.
Per altre informazioni sull'SDK dei criteri di protezione delle app di Intune, vedere Panoramica di Intune App SDK. Poiché le app hanno spesso una versione distinta di Intune SDK, creare un criterio con una versione minima di Intune SDK destinata a un'app (ad esempio, criteri di versione di Intune SDK per Outlook).

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.
Modelli di dispositivo Specificare un elenco delimitato da punti e virgola di identificatori di modello. Questi valori non fanno distinzione tra maiuscole e minuscole.

Le azioni includono:

  • Consenti specificato (blocca non specificato): solo i dispositivi che corrispondono al modello di dispositivo specificato possono usare l'app. Tutti gli altri modelli di dispositivo sono bloccati.
  • Consenti specificato (cancella non specificato): l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per altre informazioni sull'uso di questa impostazione, vedere Azioni di avvio condizionale.
Livello massimo di minaccia consentito per il dispositivo Protezione di app criteri possono sfruttare il connettore Intune-MTD. Specificare un livello di minaccia massimo accettabile per l'uso di questa app. Le minacce sono determinate dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale. Specificare Protetto, Basso, Medio o Alto. La protezione non richiede minacce nel dispositivo ed è il valore configurabile più restrittivo, mentre High richiede essenzialmente una connessione da Intune a MTD attiva.

Le azioni includono:

  • Blocca l'accesso : all'utente verrà impedito l'accesso se il livello di minaccia determinato dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Nota:richiede che l'app abbia Intune SDK versione 12.0.15 o successiva.

Per altre informazioni sull'uso di questa impostazione, vedere Abilitare MTD per i dispositivi non registrazione.
Servizio MTD primario Se sono stati configurati più connettori Intune-MTD, specificare l'app fornitore MTD primaria che deve essere usata nel dispositivo dell'utente finale.

I valori includono:

  • Microsoft Defender per endpoint: se il connettore MTD è configurato, specificare Microsoft Defender per endpoint fornirà le informazioni sul livello di minaccia del dispositivo.
  • Mobile Threat Defense (non Microsoft): se il connettore MTD è configurato, specificare che l'MTD non Microsoft fornirà le informazioni sul livello di minaccia del dispositivo.

Per usare questa impostazione, è necessario configurare l'impostazione "Livello massimo di minaccia consentito per il dispositivo".

Non sono presenti azioni per questa impostazione.

Ulteriori informazioni