Gestire le esperienze di collaborazione in Microsoft 365 (Office) per iOS e Android con Microsoft Intune
Microsoft 365 (Office) per iOS e Android offre diversi vantaggi chiave, tra cui:
- Combinazione di Word, Excel e PowerPoint in modo da semplificare l'esperienza con un minor numero di app da scaricare o passare da un'app all'altra. Richiede molto meno spazio di archiviazione del telefono rispetto all'installazione di singole app, mantenendo praticamente tutte le funzionalità delle app per dispositivi mobili esistenti che gli utenti già conoscono e usano.
- Integrazione della tecnologia Microsoft Lens per sbloccare la potenza della fotocamera con funzionalità come la conversione di immagini in documenti modificabili di Word ed Excel, l'analisi di PDF e l'acquisizione di lavagne con miglioramenti digitali automatici per semplificare la lettura del contenuto.
- L'aggiunta di nuove funzionalità per le attività più comuni che si svolgono spesso quando si lavora su un telefono, come la creazione di note rapide, la firma di PDF, la scansione di codici QR e il trasferimento di file tra dispositivi.
Le funzionalità di protezione più complete e ampie per i dati di Microsoft 365 sono disponibili quando si sottoscrive la famiglia di prodotti Enterprise Mobility + Security, che include le funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, come l'accesso condizionato. Come minimo, è necessario implementare un criterio di accesso condizionale che consenta la connettività a Microsoft 365 (Office) per iOS e Android dai dispositivi mobili e un criterio di protezione delle app Intune che garantisca la protezione dell'esperienza di collaborazione.
Applicare l'accesso condizionale
Le organizzazioni possono utilizzare i criteri di accesso condizionale di Microsoft Entra per garantire che gli utenti possano accedere solo ai contenuti aziendali o dell'istituto di istruzione utilizzando Microsoft 365 (Office) per iOS e Android. A tale scopo, è necessario disporre di criteri di accesso condizionale destinati a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedi app client approvate o criterio di protezione delle app con i dispositivi mobili, che consente l'utilizzo di Microsoft 365 (Office) per iOS e Android, ma blocca la connessione di client di dispositivi mobili di terze parti con funzionalità OAuth agli endpoint Microsoft 365.
Nota
Questo criterio garantisce che gli utenti di dispositivi mobili possano accedere a tutti gli endpoint Microsoft 365 usando le app applicabili.
Nota
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Creare i criteri di protezione delle app Intune
Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni Microsoft 365 per dispositivi mobili, ad esempio Edge, Outlook, OneDrive, Microsoft 365 (Office) o Teams, in quanto ciò garantisce che gli utenti possano accedere e modificare i dati aziendali o dell'istituto di istruzione all'interno di qualsiasi app Microsoft in modo sicuro.
Devono essere assegnati a tutti gli utenti. In questo modo si garantisce che tutti gli utenti siano protetti, indipendentemente dal fatto che usino Microsoft 365 (Office) per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Importante
Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune. Per i criteri di protezione delle app Android, aggiungere le app Hub Office, Hub Office [HL] e Office Hub [ROW]. Per ulteriori informazioni, vedere Suggerimento di supporto: come abilitare i criteri di protezione delle app di Intune con Office Mobile.
Usare la configurazione dell'app
Microsoft 365 (Office) per iOS e Android supporta le impostazioni dell'app che consentono la gestione unificata degli endpoint, ad esempio Microsoft Intune, gli amministratori per personalizzare il comportamento dell'app.
La configurazione delle app può essere fornita attraverso il canale del sistema operativo di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale Intune App Protection Policy (APP). Microsoft 365 (Office) per iOS e Android supporta gli scenari di configurazione seguenti:
- Consentire solo account aziendali o dell'istituto di istruzione
- Configurazione generale dell'app
- Impostazioni di protezione dei dati
Importante
Per gli scenari di configurazione che richiedono la registrazione del dispositivo in Android, i dispositivi devono essere registrati in Android Enterprise e Microsoft 365 (Office) per Android deve essere distribuito tramite l'archivio Google Play gestito. Per ulteriori informazioni, vedere Configurazione dell'iscrizione dei dispositivi Android Enterprise con profilo di lavoro personale e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti. Per le configurazioni delle app Android, aggiungere le app Hub Office, Hub Office [HL] e Office Hub [ROW]. Per ulteriori informazioni, vedere Suggerimento di supporto: come abilitare i criteri di protezione delle app di Intune con Office Mobile.
Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.
Importante
Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.
Nota
Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale App Protection Policy è denominata Managed Apps App Configuration Policy.
Consentire solo account aziendali o dell'istituto di istruzione
Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale e di garantire che i dispositivi siano utilizzati solo per le comunicazioni aziendali. Per supportare questi requisiti, è possibile configurare Microsoft 365 (Office) per Android nei dispositivi registrati per consentire il provisioning di un solo account aziendale all'interno dell'app.
Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:
Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si utilizza Microsoft Intune, è necessario consultare la documentazione dell'UEM per sapere come distribuire queste chiavi di configurazione.
Scenari generali di configurazione delle app
Microsoft 365 (Office) per iOS/iPadOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app usando iOS/iPadOS o i criteri di configurazione delle app Android. Questa funzionalità è offerta sia per i dispositivi registrati tramite qualsiasi provider UEM sia per i dispositivi non registrati quando a Microsoft 365 (Office) per iOS e Android è applicato un criterio di protezione delle app Intune.
Nota
Se un criterio di protezione delle app è destinato agli utenti, è consigliabile distribuire le impostazioni generali di configurazione dell'app in un modello di registrazione App gestite. In questo modo i criteri di configurazione dell'app vengono distribuiti sia nei dispositivi registrati che nei dispositivi non registrati.
Microsoft 365 (Office) supporta le impostazioni seguenti per la configurazione:
- Gestire la creazione di Memo
- Impostare le preferenze dei componenti aggiuntivi
- Gestire le app di Teams in esecuzione in Microsoft 365 (Office) per iOS e Android
- Abilitare o disabilitare il feed di Microsoft 365 per iOS e Android
Gestire la creazione di Memo
Per impostazione predefinita, Microsoft 365 (Office) per iOS e Android consente agli utenti di creare Memo. Per gli utenti con cassette postali di Exchange Online, le note vengono sincronizzate nella cassetta postale dell'utente. Per gli utenti con cassette postali locali, queste note vengono archiviate solo nel dispositivo locale.
| Chiave | Valore |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
true (impostazione predefinita) consente la creazione di Memo per l'account aziendale o dell'istituto di istruzione false disabilita la creazione di Memo per l'account aziendale o dell'istituto di istruzione |
Impostare la preferenza per i componenti aggiuntivi
Per i dispositivi iOS/iPadOS che eseguono Office, l'amministratore può impostare se i componenti aggiuntivi di Microsoft 365 (Office) sono abilitati. Queste impostazioni dell'app possono essere distribuite usando un criteri di configurazione dell’app in Intune.
| Chiave | Valore |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (impostazione predefinita) disabilita l'intera piattaforma dei componenti aggiuntivi false abilita la piattaforma dei componenti aggiuntivi |
Se è necessario abilitare o disabilitare la parte Microsoft 365 (Office) Store della piattaforma per i dispositivi iOS, è possibile usare la chiave seguente.
| Chiave | Valore |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (impostazione predefinita) disabilita solo la parte Microsoft 365 (Office) Store della piattaforma false abilita la parte Microsoft 365 (Office) Store della piattaforma NOTA: Sideloaded continuerà a funzionare. |
Per altre informazioni sull'aggiunta di chiavi di configurazione, vedere Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti.
Gestire le app di Teams in esecuzione in Microsoft 365 (Office) per iOS e Android
Gli amministratori IT possono gestire l'accesso alle app di Teams creando criteri di autorizzazione personalizzati e assegnando questi criteri agli utenti usando l'interfaccia di amministrazione di Teams. Ora è anche possibile eseguire le app per schede personali di Teams in Microsoft 365 (Office) per iOS e Android. Le app della scheda personale di Teams create con Microsoft Teams JavaScript client SDK v2 (versione 2.0.0) e Teams App manifest (versione 1.13) appaiono in Microsoft 365 (Office) per iOS e Android nel menu "App".
Potrebbero essere previsti requisiti di gestione aggiuntivi specifici per Microsoft 365 (Office) per iOS e Android. È possibile:
- Consentire solo a utenti specifici dell'organizzazione di provare app teams avanzate in Microsoft 365 (Office) per iOS e Android oppure
- Impedire a tutti gli utenti dell'organizzazione di usare app avanzate di Teams in Microsoft 365 (Office) per iOS e Android.
Per gestirli, è possibile usare la chiave seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (impostazione predefinita) abilita le app di Teams in Microsoft 365 (Office) per iOS e Android false disabilita le app di Teams in Microsoft 365 (Office) per iOS e Android |
Questa chiave può essere usata sia dai dispositivi gestiti che dalle app gestite.
Impostazioni di protezione dei dati in Microsoft 365 (Office)
È possibile abilitare o disabilitare la memorizzazione nella cache offline quando Salva con nome nell'archiviazione locale è bloccato dai criteri di protezione delle app.
Importante
Questa impostazione è applicabile solo all'app Microsoft 365 (Office) in Android. Per configurare questa impostazione, è possibile usare la chiave seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (impostazione predefinita) disabilita la memorizzazione nella cache offline quando Salva con nome nell’archiviazione locale è bloccato true abilita la memorizzazione offline nella cache quando Salva con nome nell’archiviazione locale è bloccato |
Abilita o disabilita feed Microsoft 365 per iOS e Android
Gli amministratori possono ora abilitare o disabilitare il feed Microsoft 365 configurando l'impostazione seguente nell'interfaccia di amministrazione di Intune. Per distribuire questa impostazione dell'app, usare un criterio di configurazione dell'app in Intune.
Per gestire il feed Microsoft 365, è possibile usare la chiave seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
true (impostazione predefinita) Il feed è abilitato per il tenant false disabilita il feed per il tenant |
Questa chiave può essere usata dai dispositivi gestiti e dalle app gestite.
Copilot con protezione dei dati aziendali
Gli amministratori possono ora abilitare o disabilitare Copilot nell'app Microsoft 365 configurando la seguente impostazione nell’interfaccia di amministrazione di Intune. Per distribuire questa impostazione dell'app, usare un criterio di configurazione dell'app in Intune.
Per gestire Copilot nell'app Microsoft 365, è possibile utilizzare la chiave seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (impostazione predefinita) Copilot è abilitato per il tenant false disabilita Copilot per il tenant |
Questa chiave può essere usata dai dispositivi gestiti e dalle app gestite.