Domande frequenti su MAM e protezione delle app

Panoramica di MAM

i criteri di protezione App sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app.

Vedere le impostazioni dei criteri di protezione delle app Android e le impostazioni dei criteri di protezione delle app iOS/iPadOS per informazioni dettagliate su ogni impostazione dei criteri di protezione delle app.

Se si applicano criteri MAM all'utente senza impostare lo stato di gestione dei dispositivi, l'utente ottiene i criteri MAM sia nel dispositivo BYOD che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato di gestione dei dispositivi. Quando si crea un criterio di protezione delle app, accanto a Destinazione alle app in tutti i tipi di dispositivo, selezionare No. Eseguire quindi una delle operazioni seguenti:

• Applicare un criterio MAM meno rigoroso ai dispositivi gestiti di Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati con MDM.
• Applicare un criterio MAM altrettanto rigoroso ai dispositivi gestiti di Intune come ai dispositivi gestiti di terze parti.
• Applicare un criterio MAM solo ai dispositivi non registrati.

Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.

Qualsiasi app integrata con Intune App SDK o di cui è stato eseguito il wrapping dal App Wrapping Tool di Intune può essere gestita usando i criteri di protezione delle app di Intune. Visualizzare l'elenco ufficiale di app gestite da Intune disponibile per uso pubblico.

• L'utente finale deve avere un account Microsoft Entra. Vedere Aggiungere utenti e concedere l'autorizzazione amministrativa a Intune per informazioni su come creare utenti di Intune in Microsoft Entra ID.

• L'utente finale deve avere una licenza per Microsoft Intune assegnata all'account Microsoft Entra. Vedere Gestire le licenze di Intune per informazioni su come assegnare licenze di Intune agli utenti finali.

• L'utente finale deve far parte di un gruppo di sicurezza indicato dai criteri di protezione dell'app. I criteri di protezione delle app devono essere mirati per la specifica app in uso. Protezione di app criteri possono essere creati e distribuiti nell'interfaccia di amministrazione Microsoft Intune. I gruppi di sicurezza possono attualmente essere creati nel interfaccia di amministrazione di Microsoft 365.

• L'utente finale deve accedere all'app usando il proprio account Microsoft Entra.

Il team di sviluppo di Intune SDK testa e gestisce attivamente il supporto per le app create con le piattaforme Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms native. Anche se alcuni clienti hanno avuto successo con l'integrazione di Intune SDK con altre piattaforme, ad esempio React Native e NativeScript, non forniamo indicazioni esplicite o plug-in per gli sviluppatori di app che usano altro che le piattaforme supportate.

Intune App SDK può usare Microsoft Authentication Library per gli scenari di autenticazione e avvio condizionale. Si basa anche su MSAL per registrare l'identità utente con il servizio MAM per la gestione senza scenari di registrazione dei dispositivi.

• L'utente finale deve avere l'app Outlook per dispositivi mobili installata nel dispositivo.

• L'utente finale deve avere una cassetta postale e una licenza di Microsoft 365 Exchange Online collegate all'account Microsoft Entra.

  Nota

  L'app Outlook per dispositivi mobili supporta attualmente solo Protezione app di Intune per Microsoft Exchange Online e Exchange Server con l'autenticazione moderna ibrida e non supporta Exchange in Office 365 Dedicato.

• L'utente finale deve avere una licenza per Microsoft 365 Apps for business o l'organizzazione collegata al proprio account Microsoft Entra. La sottoscrizione deve includere le app di Office nei dispositivi mobili e può includere un account di archiviazione cloud con OneDrive for Business. Le licenze di Microsoft 365 possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.

• L'utente finale deve avere una posizione gestita configurata usando la funzionalità di salvataggio granulare come nell'impostazione dei criteri di protezione dell'applicazione "Salva copie dei dati dell'organizzazione". Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente finale.

• Se il percorso gestito è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente finale.

  Nota

  Le app per dispositivi mobili di Office attualmente supportano solo SharePoint Online e non SharePoint locale.

Intune contrassegna tutti i dati nell'app come "aziendali" o "personali". I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera le posizioni aziendali seguenti: posta elettronica (Exchange) o archiviazione cloud (app OneDrive con un account OneDrive for Business).

Vedere Skype for Business requisiti di licenza. Per le configurazioni ibride e locali di Skype for Business (SfB), vedere Rispettivamente Autenticazione moderna ibrida per SfB ed Exchange e Autenticazione moderna per SfB locale con Microsoft Entra ID.

Il supporto per più identità è la possibilità per Intune App SDK di applicare solo i criteri di protezione delle app all'account aziendale o dell'istituto di istruzione connesso all'app. Se un account personale è connesso all'app, i dati non vengono toccati.

Il supporto multi-identità consente di rilasciare pubblicamente le app con destinatari "aziendali" e consumer (ad esempio le app di Office) con le funzionalità di protezione delle app di Intune per gli account "aziendali".

Poiché Outlook ha una visualizzazione combinata dei messaggi di posta elettronica personali e "aziendali", l'app Outlook richiede il PIN di Intune all'avvio.

Il PIN (Personal Identification Number) è un passcode usato per verificare che l'utente corretto stia accedendo ai dati dell'organizzazione in un'applicazione.

Intune richiede il PIN dell'app dell'utente quando l'utente sta per accedere ai dati "aziendali". Nelle app multi-identità, ad esempio Word/Excel/PowerPoint, all'utente viene richiesto il PIN quando tenta di aprire un documento o un file "aziendale". Nelle app con identità singola, ad esempio le app line-of-business gestite con l'App Wrapping Tool di Intune, viene richiesto il PIN all'avvio, perché Intune App SDK sa che l'esperienza dell'utente nell'app è sempre "aziendale".

L'amministratore IT può definire l'impostazione dei criteri di protezione delle app di Intune "Ricontrollare i requisiti di accesso dopo (minuti)" nell'interfaccia di amministrazione Microsoft Intune. Questa impostazione specifica la quantità di tempo prima che i requisiti di accesso vengano controllati nel dispositivo e la schermata del PIN dell'applicazione viene visualizzata di nuovo. Tuttavia, i dettagli importanti sul PIN che influiscono sulla frequenza con cui verrà richiesto l'utente sono:

• Il PIN viene condiviso tra le app dello stesso editore per migliorare l'usabilità: In iOS/iPadOS, un PIN dell'app viene condiviso tra tutte le app dello stesso editore di app. In Android, un PIN dell'app viene condiviso tra tutte le app.
• Comportamento "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo: Un "timer PIN" tiene traccia del numero di minuti di inattività che determinano quando visualizzare il PIN dell'app di Intune successivo. In iOS/iPadOS, il timer pin non è interessato dal riavvio del dispositivo. Di conseguenza, il riavvio del dispositivo non ha alcun effetto sul numero di minuti in cui l'utente è rimasto inattivo da un'app iOS/iPadOS con i criteri PIN di Intune. In Android, il timer pin viene reimpostato al riavvio del dispositivo. Di conseguenza, le app Android con criteri PIN di Intune richiederanno probabilmente un PIN dell'app indipendentemente dal valore di impostazione "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo.
• La natura in sequenza del timer associato al PIN: Dopo aver immesso un PIN per accedere a un'app (app A) e l'app lascia il primo piano (stato attivo di input principale) nel dispositivo, il timer del PIN viene reimpostato per tale PIN. Qualsiasi app (app B) che condivide questo PIN non richiederà all'utente la voce PIN perché il timer è stato reimpostato. La richiesta verrà visualizzata di nuovo quando viene soddisfatto di nuovo il valore "Ricontrollare i requisiti di accesso dopo (minuti)".

Per i dispositivi iOS/iPadOS, anche se il PIN viene condiviso tra app di diversi editori, la richiesta verrà visualizzata di nuovo quando viene soddisfatto nuovamente il valore Ricontrolla i requisiti di accesso dopo (minuti) per l'app che non è lo stato attivo principale dell'input. Ad esempio, un utente ha l'app A del server di pubblicazione X e l'app B del server di pubblicazione Y e queste due app condividono lo stesso PIN. L'utente è incentrato sull'app A (in primo piano) e l'app B è ridotta a icona. Dopo aver soddisfatto il valore Ricontrolla i requisiti di accesso dopo (minuti) e l'utente passa all'app B, il PIN sarà necessario.

Il PIN di Intune funziona in base a un timer basato su inattività (il valore "Controlla nuovamente i requisiti di accesso dopo (minuti)". Di conseguenza, le richieste PIN di Intune vengono visualizzate in modo indipendente dalle richieste PIN dell'app predefinite per Outlook e OneDrive, che spesso sono associate all'avvio dell'app per impostazione predefinita. Se l'utente riceve entrambe le richieste PIN contemporaneamente, il comportamento previsto dovrebbe essere che il PIN di Intune abbia la precedenza.

Il PIN consente solo all'utente corretto di accedere ai dati dell'organizzazione nell'app. Pertanto, un utente finale deve accedere con il proprio account aziendale o dell'istituto di istruzione prima di poter impostare o reimpostare il PIN dell'app in Intune. Questa autenticazione viene gestita da Microsoft Entra ID tramite lo scambio di token sicuro e non è trasparente per Intune App SDK. Dal punto di vista della sicurezza, il modo migliore per proteggere i dati aziendali o dell'istituto di istruzione consiste nel crittografarli. La crittografia non è correlata al PIN dell'app, ma è un criterio di protezione delle app specifico.

Come parte dei criteri pin dell'app, l'amministratore IT può impostare il numero massimo di volte in cui un utente può provare a autenticare il PIN prima di bloccare l'app. Dopo aver soddisfatto il numero di tentativi, Intune App SDK può cancellare i dati "aziendali" nell'app.

MAM (in iOS/iPadOS) attualmente consente al PIN a livello di applicazione con caratteri alfanumerici e speciali (chiamati "passcode") che richiede la partecipazione di applicazioni (ad esempio WXP, Outlook, Managed Browser, Yammer) per integrare Intune APP SDK per iOS/iPadOS. In caso contrario, le impostazioni del passcode non vengono applicate correttamente per le applicazioni di destinazione. Si tratta di una funzionalità rilasciata in Intune SDK per iOS/iPadOS v. 7.1.12.

Per supportare questa funzionalità e garantire la compatibilità con le versioni precedenti di Intune SDK per iOS/iPadOS, tutti i PIN (numerici o passcode) nella versione 7.1.12+ vengono gestiti separatamente dal PIN numerico nelle versioni precedenti dell'SDK. Pertanto, se un dispositivo ha applicazioni con Intune SDK per le versioni di iOS/iPadOS precedenti alla versione 7.1.12 E successive alla 7.1.12 dello stesso editore, dovranno configurare due PIN.

Detto questo, i due PIN (per ogni app) non sono in alcun modo correlati, ad esempio devono rispettare i criteri di protezione delle app applicati all'app. Di conseguenza, solo se le app A e B hanno gli stessi criteri applicati (rispetto al PIN), l'utente può configurare lo stesso PIN due volte.

Questo comportamento è specifico del PIN nelle applicazioni iOS/iPadOS abilitate con Gestione app per dispositivi mobili di Intune. Con il passare del tempo, quando le applicazioni adottano versioni successive di Intune SDK per iOS/iPadOS, la necessità di impostare un PIN due volte nelle app dello stesso editore diventa meno un problema. Per un esempio, vedere la nota seguente.

Gli amministratori IT possono distribuire criteri di protezione delle app che richiedono la crittografia dei dati dell'app. Come parte dei criteri, l'amministratore IT può anche specificare quando il contenuto viene crittografato.

Per informazioni dettagliate sull'impostazione dei criteri di protezione delle app di crittografia, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS .

Solo i dati contrassegnati come "aziendali" vengono crittografati in base ai criteri di protezione delle app dell'amministratore IT. I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera le posizioni aziendali seguenti: posta elettronica (Exchange) o archiviazione cloud (app OneDrive con un account OneDrive for Business). Per le app line-of-business gestite dal App Wrapping Tool di Intune, tutti i dati delle app sono considerati "aziendali".

Intune può cancellare i dati dell'app in tre modi diversi: cancellazione completa del dispositivo, cancellazione selettiva per MDM e cancellazione selettiva MAM. Per altre informazioni sulla cancellazione remota per MDM, vedere Rimuovere i dispositivi usando la cancellazione o il ritiro. Per altre informazioni sulla cancellazione selettiva tramite MAM, vedere l'azione Ritiro e Come cancellare solo i dati aziendali dalle app.

La cancellazione rimuove tutti i dati e le impostazioni utente dal dispositivo ripristinando le impostazioni predefinite del dispositivo. Il dispositivo viene rimosso da Intune.

Per informazioni sulla rimozione dei dati aziendali, vedere Rimuovere i dispositivi: ritirare .

La cancellazione selettiva per MAM rimuove semplicemente i dati dell'app aziendale da un'app. La richiesta viene avviata usando l'interfaccia di amministrazione Microsoft Intune. Per informazioni su come avviare una richiesta di cancellazione, vedere Come cancellare solo i dati aziendali dalle app.

Se l'utente usa l'app quando viene avviata la cancellazione selettiva, Intune App SDK verifica ogni 30 minuti una richiesta di cancellazione selettiva dal servizio MAM di Intune. Verifica anche la cancellazione selettiva quando l'utente avvia l'app per la prima volta e accede con il proprio account aziendale o dell'istituto di istruzione.

La protezione delle app di Intune dipende dall'identità dell'utente per essere coerente tra l'applicazione e Intune App SDK. L'unico modo per garantire che è attraverso l'autenticazione moderna. Esistono scenari in cui le app possono funzionare con una configurazione locale, ma non sono né coerenti né garantite.

Sì. L'amministratore IT può distribuire e impostare i criteri di protezione delle app per l'app Microsoft Edge. L'amministratore IT può richiedere l'apertura di tutti i collegamenti Web nelle app gestite da Intune tramite l'app Microsoft Edge.

protezione delle app Portale aziendale e di Intune

I criteri di protezione delle app di Intune per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, un blocco avrà la precedenza e quindi un avviso ignorabile. Ad esempio, se applicabile all'utente o all'app specifica, verrà applicata un'impostazione minima della versione della patch android che avvisa un utente di eseguire un aggiornamento della patch dopo l'impostazione minima della versione della patch Android che blocca l'accesso dell'utente. Quindi, nello scenario in cui l'amministratore IT configura la versione minima della patch Android su 2018-03-01 e la versione minima della patch Android (solo avviso) su 2018-02-01, mentre il dispositivo che tenta di accedere all'app si trovava in una versione di patch 2018-01-01, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima della patch Android che comporta l'accesso bloccato.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'app ha la precedenza, seguito dal requisito della versione del sistema operativo Android e dal requisito della versione della patch android. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine.

Il servizio Intune contatterà Google Play a un intervallo non configurabile determinato dal carico del servizio. Qualsiasi azione configurata dall'amministratore IT per l'impostazione di controllo dell'integrità del dispositivo di Google Play verrà eseguita in base all'ultimo risultato segnalato al servizio Intune al momento dell'avvio condizionale. Se il risultato dell'integrità del dispositivo di Google è conforme, non viene eseguita alcuna azione. Se il risultato dell'integrità del dispositivo di Google non è conforme, l'azione configurata dall'amministratore IT verrà eseguita immediatamente. Se la richiesta al controllo dell'integrità del dispositivo di Google Play non riesce per qualsiasi motivo, il risultato memorizzato nella cache della richiesta precedente verrà usato per un massimo di 24 ore o il successivo riavvio del dispositivo, che viene sempre prima. A quel punto, i criteri di protezione delle app di Intune bloccheranno l'accesso fino a ottenere un risultato corrente.

Le istruzioni su come eseguire questa operazione variano leggermente in base al dispositivo. Il processo generale prevede l'accesso a Google Play Store, quindi fare clic su App personali & giochi, fare clic sul risultato dell'ultima analisi dell'app che ti porterà nel menu Play Protect. Assicurarsi che l'interruttore Per analizzare il dispositivo per individuare le minacce alla sicurezza sia attivato.

Intune sfrutta le API di integrità di Google Play per aggiungere ai controlli di rilevamento radice esistenti per i dispositivi non registrazione. Google ha sviluppato e mantenuto questo set di API per l'adozione delle app Android se non vuole che le app vengano eseguite su dispositivi rooted. L'app Android Pay l'ha incorporata, ad esempio. Anche se Google non condivide pubblicamente la totalità dei controlli di rilevamento radice che si verificano, ci aspettiamo che queste API rilevino gli utenti che hanno rooted i loro dispositivi. A questi utenti può quindi essere impedito l'accesso o gli account aziendali cancellati dalle app abilitate per i criteri. "Controllare l'integrità di base" indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. "Controllare l'integrità di base & dispositivi certificati" indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. I dispositivi che avranno esito negativo includono quanto segue:

• Dispositivi che non riescono all'integrità di base
• Dispositivi con un bootloader sbloccato
• Dispositivi con un'immagine/ROM di sistema personalizzata
• Dispositivi per i quali il produttore non ha fatto domanda o non ha superato la certificazione Google
• Dispositivi con un'immagine di sistema compilata direttamente dai file di origine del programma Open Source Android
• Dispositivi con un'immagine di sistema beta/developer preview

Per informazioni tecniche, vedere la documentazione di Google sull'API Play Integrity .

I controlli dell'API integrità di Google Play richiedono che l'utente finale sia online, almeno per la durata del momento in cui viene eseguito il "roundtrip" per determinare i risultati dell'attestazione. Se l'utente finale è offline, l'amministratore IT può comunque aspettarsi che venga applicato un risultato dall'impostazione "dispositivi jailbroken/rooted". Detto questo, se l'utente finale è stato offline troppo a lungo, entra in gioco il valore "Periodo di tolleranza offline" e tutti gli accessi ai dati aziendali o dell'istituto di istruzione vengono bloccati una volta raggiunto il valore del timer, fino a quando non è disponibile l'accesso alla rete. L'attivazione di entrambe le impostazioni consente un approccio a più livelli per mantenere integri i dispositivi degli utenti finali, cosa importante quando gli utenti finali accedono ai dati aziendali o dell'istituto di istruzione nei dispositivi mobili.

Entrambe le impostazioni "Verdetto integrità riproduzione" e "Analisi delle minacce sulle app" richiedono il corretto funzionamento della versione di Google Play Services determinata da Google. Poiché si tratta di impostazioni che rientrano nell'area di sicurezza, l'utente finale verrà bloccato se è stato preso di mira con queste impostazioni e non soddisfa la versione appropriata di Google Play Services o non ha accesso a Google Play Services.

I criteri di protezione delle app di Intune consentono il controllo sull'accesso alle app solo all'utente con licenza di Intune. Uno dei modi per controllare l'accesso all'app consiste nel richiedere l'ID tocco di Apple o l'ID viso nei dispositivi supportati. Intune implementa un comportamento in cui, in caso di modifiche al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso. Se l'utente di Intune non ha un PIN impostato, viene portato a configurare un PIN di Intune.

L'obiettivo è continuare a mantenere i dati dell'organizzazione all'interno dell'app protetti e protetti a livello di app. Questa funzionalità è disponibile solo per iOS/iPadOS e richiede la partecipazione di applicazioni che integrano Intune APP SDK per iOS/iPadOS, versione 9.0.1 o successiva. L'integrazione dell'SDK è necessaria in modo che il comportamento possa essere applicato alle applicazioni di destinazione. Questa integrazione avviene in sequenza e dipende dai team di applicazioni specifici. Alcune app che partecipano includono WXP, Outlook, Managed Browser e Yammer.

I criteri di protezione delle app di Intune non possono controllare l'estensione di condivisione iOS senza gestire il dispositivo. Di conseguenza, Intune crittografa i dati "aziendali" prima di essere condivisi all'esterno dell'app. È possibile convalidarlo provando ad aprire il file "aziendale" all'esterno dell'app gestita. Il file deve essere crittografato e non può essere aperto all'esterno dell'app gestita.

I criteri di protezione delle app di Intune per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, una cancellazione avrebbe la precedenza, seguita da un blocco e quindi da un avviso ignorabile. Ad esempio, se applicabile all'utente/app specifico, verrà applicata un'impostazione minima del sistema operativo iOS/iPadOS che avvisa un utente di aggiornare la versione di iOS/iPadOS dopo l'impostazione minima del sistema operativo iOS/iPadOS che blocca l'accesso dell'utente. Pertanto, nello scenario in cui l'amministratore IT configura il sistema operativo iOS/iPadOS minimo su 11.0.0.0 e il sistema operativo iOS/iPadOS minimo (solo avviso) su 11.1.0.0, mentre il dispositivo che tenta di accedere all'app si trovava in iOS/iPadOS 10, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima del sistema operativo iOS/iPadOS che comporta il blocco dell'accesso.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione di Intune App SDK avrebbe la precedenza e quindi un requisito di versione dell'app, seguito dal requisito della versione del sistema operativo iOS/iPadOS. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine. È consigliabile configurare il requisito della versione di Intune App SDK solo in base alle indicazioni del team di prodotto di Intune per scenari di blocco essenziali.

Vedere anche

• Distribuire Intune
• Creare un piano di implementazione
• Impostazioni dei criteri di gestione delle app per dispositivi mobili Android in Microsoft Intune
• Impostazioni dei criteri di gestione delle app per dispositivi mobili iOS/iPadOS
• aggiornamento dei criteri di Protezione di app
• Convalidare i criteri di protezione delle app
• Aggiungere criteri di configurazione dell'app per le app gestite senza registrazione di dispositivi
• Come ottenere supporto in Microsoft Intune