Protezione dei dati per Windows MAM

È possibile abilitare l'accesso mam (Mobile Application Management) protetto ai dati dell'organizzazione nei dispositivi Windows personali. Questa funzionalità usa le funzionalità seguenti:

• Criteri di configurazione delle applicazioni (ACP) di Intune per personalizzare l'esperienza utente dell'organizzazione
• Criteri di protezione delle applicazioni (APP) di Intune per proteggere i dati dell'organizzazione e assicurarsi che il dispositivo client sia integro
• Sicurezza di Windows Center client threat defense integrato con l'APP di Intune per rilevare le minacce per l'integrità locale nei dispositivi Windows personali
• Accesso condizionale di Protezione applicazione per assicurarsi che il dispositivo sia protetto e integro prima di concedere l'accesso al servizio protetto tramite ID Microsoft Entra

Nota

Intune Mobile Application Management (MAM) per Windows è disponibile per Windows 10, build 19045.3636, KB5031445 o versioni successive e Windows 11, build 10.0.22621.2506, KB5031455 (22H2) o versioni successive. Sono incluse le modifiche di supporto per Microsoft Intune (versione 2309), Microsoft Edge (v117 stable branch e versioni successive per Windows 11 e v118.0.2088.71 e versioni successive per Windows 11) e Sicurezza di Windows Center (v 1.0.2310.2002 e versioni successive). L'accesso condizionale di Protezione app è disponibile a livello generale.

Windows MAM è supportato negli ambienti cloud per enti pubblici. Per informazioni correlate, vedere Distribuzione di app con Intune negli ambienti GCC High e DoD.

Per altre informazioni su MAM, vedere Nozioni di base sulla gestione di applicazioni mobili (MAM).

Sia gli utenti finali che le organizzazioni devono avere accesso aziendale protetto dai dispositivi personali. Le organizzazioni devono assicurarsi che i dati aziendali siano protetti in dispositivi personali non gestiti. Gli amministratori di Intune hanno la responsabilità di determinare in che modo i membri (utenti finali) dell'organizzazione accedono alle risorse aziendali in modo protetto da un dispositivo non gestito. Quando si accede ai dati dell'organizzazione, è necessario assicurarsi che i dispositivi non gestiti siano integri, che le applicazioni rispettino i criteri di protezione dei dati dell'organizzazione e che gli asset non gestiti dell'utente finale nel dispositivo non siano interessati dai criteri dell'organizzazione.

In qualità di amministratore di Intune, è necessario disporre delle funzionalità di gestione delle app seguenti:

• Possibilità di distribuire criteri di protezione delle app ad app/utenti protetti da Intune APP SDK, inclusi i seguenti:
  • Impostazioni di protezione dei dati
  • Impostazioni dei controlli di integrità (nota anche come avvio condizionale)
• Possibilità di richiedere criteri di protezione delle app tramite l'accesso condizionale
• Possibilità di eseguire una verifica aggiuntiva dell'integrità del client tramite Sicurezza di Windows centro eseguendo le operazioni seguenti:
  • Designazione del livello di rischio Sicurezza di Windows Center per consentire agli utenti finali di accedere alle risorse aziendali
  • Configurazione del connettore basato su tenant per Microsoft Intune per Sicurezza di Windows Center
• Possibilità di distribuire un comando di cancellazione selettiva nelle applicazioni protette

I membri dell'organizzazione (utenti finali) prevedono di avere le funzionalità seguenti per i propri account:

• Possibilità di accedere a Microsoft Entra ID per accedere ai siti protetti dall'accesso condizionale
• Possibilità di verificare lo stato di integrità del dispositivo client, nel caso in cui un dispositivo sia considerato non integro
• Possibilità di revocare l'accesso alle risorse quando un dispositivo rimane non integro
• Possibilità di essere informati, con passaggi di correzione chiari, quando l'accesso è controllato da un criterio di amministratore

Nota

Per informazioni relative all'ID Microsoft Entra, vedere Richiedere criteri di protezione delle app nei dispositivi Windows.

Conformità dell'accesso condizionale

La prevenzione della perdita di dati fa parte della protezione dei dati dell'organizzazione. La prevenzione della perdita dei dati (DLP) è efficace solo se non è possibile accedere ai dati dell'organizzazione da qualsiasi sistema o dispositivo non protetto. L'accesso condizionale di Protezione app usa l'accesso condizionale (CA) per garantire che i criteri di protezione delle app siano supportati e applicati in un'applicazione client prima di consentire l'accesso alle risorse protette, ad esempio i dati dell'organizzazione. L'autorità di certificazione app consentirà agli utenti finali con dispositivi Windows personali di usare applicazioni gestite da APP, tra cui Microsoft Edge, per accedere alle risorse Microsoft Entra senza gestire completamente il dispositivo personale.

Questo servizio MAM sincronizza lo stato di conformità per utente, app e dispositivo con il servizio CA Microsoft Entra. Sono incluse le informazioni sulle minacce ricevute dai fornitori di Mobile Threat Defense (MTD) a partire da Sicurezza di Windows Center.

Nota

Questo servizio MAM usa lo stesso flusso di lavoro di conformità dell'accesso condizionale usato per gestire Microsoft Edge nei dispositivi iOS e Android.

Quando viene rilevata una modifica, il servizio MAM aggiorna immediatamente lo stato di conformità del dispositivo. Il servizio include anche lo stato di integrità MTD come parte dello stato di conformità.

Nota

Il servizio MAM valuta lo stato MTD nel servizio. Questa operazione viene eseguita in modo indipendente dalla piattaforma client e client MAM.

Il client MAM comunica lo stato di integrità del client (o metadati di integrità) al servizio MAM al momento dell'archiviazione. Lo stato di integrità include eventuali errori dei controlli di integrità dell'APP per le condizioni di blocco o cancellazione . Inoltre, Microsoft Entra ID guida gli utenti finali attraverso i passaggi di correzione quando tentano di accedere a una risorsa CA bloccata.

Conformità dell'accesso condizionale

Le organizzazioni possono usare Microsoft Entra criteri di accesso condizionale per garantire che gli utenti possano accedere solo ai contenuti aziendali o dell'istituto di istruzione usando applicazioni gestite da criteri in Windows. A tal fine, è necessario un criterio di accesso condizionato che si rivolga a tutti i potenziali utenti. Seguire la procedura descritta in Richiedere un criterio di protezione delle app nei dispositivi Windows, che consente Microsoft Edge per Windows, ma impedisce ad altri Web browser di connettersi agli endpoint di Microsoft 365.

Con l'accesso condizionale, è possibile indirizzare anche i siti locali che sono stati esposti agli utenti esterni tramite Microsoft Entra Application Proxy.

Integrità della difesa dalle minacce

Lo stato di integrità di un dispositivo di proprietà personale viene verificato prima di consentire l'accesso ai dati dell'organizzazione. Il rilevamento delle minacce MAM può essere connesso con Sicurezza di Windows Center. Sicurezza di Windows Center fornisce una valutazione dell'integrità dei dispositivi client all'APP di Intune tramite un connettore da servizio a servizio. Questa valutazione supporta il gating del flusso e l'accesso ai dati dell'organizzazione nei dispositivi personali non gestiti.

Lo stato di integrità include i dettagli seguenti:

• Identificatori di utente, app e dispositivo
• Stato di integrità predefinito
• Ora dell'ultimo aggiornamento dello stato di integrità

Lo stato di integrità viene inviato solo per gli utenti registrati mam. Gli utenti finali possono interrompere l'invio di dati disconnettendosi dall'account dell'organizzazione nelle applicazioni protette. Gli amministratori possono interrompere l'invio di dati rimuovendo il connettore Sicurezza di Windows da Microsoft Intune.

Per informazioni correlate, vedere Creare criteri di protezione delle app MTD per Windows.

Creare i criteri di protezione delle app Intune

Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo.

Gli amministratori possono configurare la modalità di protezione dei dati tramite APP. Questa configurazione si applica all'interazione dell'applicazione Windows nativa con i dati. Le impostazioni dell'APP sono segmentate in tre categorie:

• Protezione dei dati : queste impostazioni controllano il modo in cui i dati possono spostarsi all'interno e all'esterno di un contesto dell'organizzazione (account, documento, posizione, servizi) per l'utente.

• Controlli di integrità (avvio condizionale): queste impostazioni controllano le condizioni del dispositivo necessarie per accedere ai dati dell'organizzazione e le azioni correttive se le condizioni non vengono soddisfatte.

Per aiutare le organizzazioni a definire la priorità della protezione avanzata degli endpoint client, Microsoft ha introdotto la tassonomia per il framework di protezione dei dati app per la gestione delle app per dispositivi mobili.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.

Per altre informazioni sulle impostazioni disponibili, vedi Impostazioni dei criteri di protezione delle app di Windows.

Passaggi successivi

• Che cosa sono i criteri di protezione delle app?
• Criteri di configurazione delle app per Microsoft Intune