Condividi tramite

Impostazioni dei criteri di protezione delle app per Windows

  • Articolo

Questo articolo descrive le impostazioni dei criteri di protezione delle app (APP) per Windows. Le impostazioni dei criteri descritte possono essere configurate per un criterio di protezione delle app nel riquadro Impostazioni nell'interfaccia di amministrazione di Intune quando si creano nuovi criteri.

È possibile abilitare l'accesso MAM protetto ai dati dell'organizzazione tramite Microsoft Edge nei dispositivi Windows personali. Questa funzionalità è nota come Windows MAM e offre funzionalità che usano i criteri di configurazione delle applicazioni (ACP) di Intune, i criteri di protezione delle applicazioni (APP) di Intune, la difesa dalle minacce client del Centro sicurezza di Windows e l'accesso condizionale di Protezione delle applicazioni. Per altre informazioni su Windows MAM, vedi Protezione dei dati per Windows MAM, Creare criteri di protezione delle app MTD per Windows e Configurare Microsoft Edge per Windows con Intune.

Esistono due categorie di impostazioni dei criteri di protezione delle app per Windows:

Importante

Intune MAM in Windows supporta i dispositivi non gestiti. Se un dispositivo è già gestito, la registrazione MAM di Intune verrà bloccata e le impostazioni dell'APP non verranno applicate. Se un dispositivo viene gestito dopo la registrazione MAM, le impostazioni DELL'APP non verranno più applicate.

Protezione dei dati

Le impostazioni di protezione dei dati influiscono sui dati e sul contesto dell'organizzazione. L'amministratore può controllare lo spostamento dei dati all'interno e all'esterno del contesto di protezione dell'organizzazione. Il contesto dell'organizzazione è definito da documenti, servizi e siti a cui accede l'account dell'organizzazione specificato. Le impostazioni dei criteri seguenti consentono di controllare i dati esterni ricevuti nel contesto dell'organizzazione e i dati dell'organizzazione inviati dal contesto dell'organizzazione.

Trasferimento dati

Impostazione Come si usa Valore predefinito
Ricevere dati da Selezionare una delle opzioni seguenti per specificare le origini da cui gli utenti dell'organizzazione possono ricevere i dati:
  • Tutte le origini: gli utenti dell'organizzazione possono aprire i dati da qualsiasi account, documento, posizione o applicazione nel contesto dell'organizzazione.
  • Nessuna origine: gli utenti dell'organizzazione non possono aprire i dati da account, documenti, posizioni o applicazioni esterni nel contesto dell'organizzazione. NOTA: Per Microsoft Edge, Nessuna origine controlla il comportamento di caricamento dei file tramite trascinamento della selezione o la finestra di dialogo di apertura del file. La visualizzazione e la condivisione dei file locali tra siti/schede verranno bloccate.


 Tutte le origini
Inviare i dati dell'organizzazione a Selezionare una delle opzioni seguenti per specificare le destinazioni a cui gli utenti dell'organizzazione possono inviare i dati:
  • Tutte le destinazioni: gli utenti dell'organizzazione possono inviare i dati dell'organizzazione a qualsiasi account, documento, posizione o applicazione.
  • Nessuna destinazione: gli utenti dell'organizzazione non possono inviare dati dell'organizzazione a account, documenti, posizioni o applicazioni esterni dal contesto dell'organizzazione. NOTA: per Microsoft Edge, nessuna destinazione blocca il download dei file. Ciò significa che la condivisione di file tra siti/schede verrà bloccata.


 Tutte le destinazioni
Consenti taglia, copia e incolla per Selezionare una delle opzioni seguenti per specificare le origini e le destinazioni che gli utenti dell'organizzazione possono tagliare o copiare o incollare i dati dell'organizzazione:
  • Qualsiasi destinazione e origine: gli utenti dell'organizzazione possono incollare i dati da e tagliare/copiare i dati in qualsiasi account, documento, posizione o applicazione.
  • Nessuna destinazione o origine: gli utenti dell'organizzazione non possono tagliare, copiare o incollare dati da o verso account esterni, documenti, posizioni o applicazioni da o nel contesto dell'organizzazione. NOTA: per Microsoft Edge, nessun blocco di destinazione o di origine taglia, copia e incolla solo all'interno del contenuto Web. Taglia, copia e incolla sono disabilitati da tutto il contenuto Web, ma non dai controlli applicazione, inclusa la barra degli indirizzi.


 Qualsiasi destinazione e origine

Funzionalità

Impostazione Come si usa Valore predefinito
Stampa dei dati dell'organizzazione Selezionare Blocca per impedire la stampa dei dati dell'organizzazione. Selezionare Consenti per consentire la stampa dei dati dell'organizzazione. I dati personali o non gestiti non sono interessati. Consenti

Controlli di integrità

Impostare le condizioni di controllo dell'integrità per i criteri di protezione delle app. Selezionare un'impostazione e immettere il valore che gli utenti devono soddisfare per accedere ai dati dell'organizzazione. Selezionare quindi l'azione da eseguire se gli utenti non soddisfano le condizioni. In alcuni casi, è possibile configurare più azioni per un'unica impostazione. Per altre informazioni, vedere Azioni di controllo dell'integrità.

Condizioni dell'app

Configurare le impostazioni di controllo dell'integrità seguenti per verificare la configurazione dell'applicazione prima di consentire l'accesso agli account e ai dati dell'organizzazione.

Nota

Il termine app gestita da criteri si riferisce alle app configurate con i criteri di protezione delle app.

Impostazione Come si usa Valore predefinito
Periodo di prova offline Numero di minuti in cui l'app gestita da criteri può essere eseguita offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati.

Le azioni includono:

  • Blocca l'accesso (minuti):numero di minuti in cui le app gestite da criteri possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati. Dopo la scadenza del periodo configurato, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione fino a quando non è disponibile l'accesso alla rete. Il timer del periodo di tolleranza offline per bloccare l'accesso ai dati viene calcolato in base all'ultimo check-in con il servizio Intune. Questo formato di impostazione dei criteri supporta un numero intero positivo.
  • Cancellare i dati (giorni): dopo questo numero di giorni (definito dall'amministratore) di esecuzione offline, l'app richiederà all'utente di connettersi alla rete e ripetere l'autenticazione. Se l'utente esegue correttamente l'autenticazione, può continuare ad accedere ai dati e l'intervallo offline verrà reimpostato. Se l'utente non esegue l'autenticazione, l'app eseguirà una cancellazione selettiva dell'account e dei dati degli utenti. Per altre informazioni sui dati rimossi con una cancellazione selettiva, vedere Come cancellare solo i dati aziendali dalle app gestite da Intune . Il timer del periodo di tolleranza offline per la cancellazione dei dati viene calcolato dall'app in base all'ultimo check-in con il servizio Intune. Questo formato di impostazione dei criteri supporta un numero intero positivo.
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

 Blocca l'accesso (minuti): 720 minuti (12 ore)

Cancellare i dati (giorni): 90 giorni
Versione minima dell'app Specificare un valore per il valore minimo della versione dell'applicazione.

Le azioni includono:

  • Avvisa : l'utente visualizza una notifica se la versione dell'app nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente viene impedito l'accesso se la versione dell'app nel dispositivo non soddisfa i requisiti.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Poiché le app hanno spesso schemi di controllo delle versioni distinti tra loro, creare un criterio con una versione minima dell'app destinata a un'app.

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questa impostazione dei criteri supporta la corrispondenza dei formati di versione del bundle delle app di Windows (major.minor o major.minor.patch).		 Nessun valore predefinito
Versione minima dell'SDK Specificare un valore minimo per la versione di Intune SDK.

Le azioni includono:

  • Blocca l'accesso : all'utente viene impedito l'accesso se la versione sdk dei criteri di protezione delle app di Intune dell'app non soddisfa i requisiti.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.		 Nessun valore predefinito
Account disabilitato Specificare un'azione automatizzata se l'account Microsoft Entra per l'utente è disabilitato. L'amministratore può specificare una sola azione. Non è necessario impostare alcun valore per questa impostazione. Le azioni includono:
  • Blocca l'accesso : dopo aver confermato che l'utente è stato disabilitato in Microsoft Entra ID, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione.
  • Cancellare i dati : dopo aver confermato che l'utente è stato disabilitato in Microsoft Entra ID, l'app eseguirà una cancellazione selettiva dell'account e dei dati degli utenti.
NOTA: Se lo stato dell'utente non può essere confermato a causa della connettività, dell'autenticazione o di qualsiasi altro motivo, queste azioni (Bloccare l'accesso e cancellare i dati) non verranno applicate.		 Nessun valore predefinito

Condizioni del dispositivo

Configurare le impostazioni di controllo dell'integrità seguenti per verificare la configurazione del dispositivo prima di consentire l'accesso agli account e ai dati dell'organizzazione. Impostazioni simili basate su dispositivi possono essere configurate per i dispositivi registrati. Altre informazioni sulla configurazione delle impostazioni di conformità dei dispositivi per i dispositivi registrati.

Impostazione Come si usa Valore predefinito
Versione minima del sistema operativo Specificare un sistema operativo Windows minimo per usare questa app.

Le azioni includono:

  • Avvisa : l'utente visualizzerà una notifica se la versione di Windows nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di Windows nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.

Per trovare la versione di Windows, aprire un prompt dei comandi. La versione viene visualizzata nella parte superiore della finestra del prompt dei comandi. Un esempio del formato della versione da usare è 10.0.22631.3155. Si noti che se si usa il winver comando , verrà visualizzata solo la build del sistema operativo (ad esempio 22631.3155), che non è il formato corretto da usare.
Versione massima del sistema operativo Specificare un sistema operativo Windows massimo per usare questa app.

Le azioni includono:

  • Avvisa : l'utente visualizzerà una notifica se la versione di Windows nel dispositivo non soddisfa il requisito. Questa notifica può essere ignorata.
  • Blocca l'accesso : all'utente verrà impedito l'accesso se la versione di Windows nel dispositivo non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.

Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa.

Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision.
Livello massimo di minaccia consentito per il dispositivo I criteri di protezione delle app possono sfruttare i vantaggi del connettore Intune-MTD. Specificare un livello di minaccia massimo accettabile per l'uso di questa app. Le minacce sono determinate dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale. Specificare Protetto, Basso, Medio o Alto. La protezione non richiede minacce nel dispositivo ed è il valore configurabile più restrittivo, mentre High richiede essenzialmente una connessione da Intune a MTD attiva.

Le azioni includono:

  • Blocca l'accesso : all'utente verrà impedito l'accesso se il livello di minaccia determinato dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale non soddisfa questo requisito.
  • Cancellare i dati : l'account utente associato all'applicazione viene cancellato dal dispositivo.

Per altre informazioni sull'uso di questa impostazione, vedere Abilitare MTD per i dispositivi non registrazione.

Informazioni aggiuntive

Per altre informazioni sull'APP per dispositivi Windows, vedere le risorse seguenti: