Richiedere un criterio di protezione delle app nei dispositivi Windows

  • Articolo

Protezione di app criteri applicano la gestione di applicazioni mobili (MAM) a applicazioni specifiche in un dispositivo. Questi criteri consentono di proteggere i dati all'interno di un'applicazione in supporto a scenari come bring your own device (BYOD). Microsoft supporta l'applicazione dei criteri al browser Microsoft Edge nei dispositivi Windows 11.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Prerequisiti

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli account seguenti dai criteri:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account di servizio sono account non interattivi che non sono associati a un determinato utente. Vengono normalmente usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le identità del carico di lavoro per definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Creare criteri di accesso condizionale

Il criterio seguente viene inserito in modalità solo report per avviare in modo che gli amministratori possano determinare l'impatto sugli utenti esistenti. Quando gli amministratori hanno verificato che il criterio funziona come previsto, lo possono attivare o gestirne la distribuzione aggiungendo gruppi specifici ed escludendone altri.

Richiedi criteri di protezione delle app per i dispositivi Windows

La procedura seguente consente di creare criteri di accesso condizionale che richiedono criteri di protezione delle app quando si usa un dispositivo Windows che accede al raggruppamento delle app di Office 365 nell'accesso condizionale. I criteri di protezione delle app devono anche essere configurati e assegnati agli utenti in Microsoft Intune. Per altre informazioni su come creare i criteri di protezione delle app, vedere l'articolo Protezione di app impostazioni dei criteri per Windows. I criteri seguenti includono più controlli che consentono ai dispositivi di usare i criteri di protezione delle app per la gestione delle applicazioni mobili (MAM) o di essere gestiti e conformi ai criteri di gestione dei dispositivi mobili (MDM).

Suggerimento

i criteri di Protezione di app (MAM) supportano i dispositivi non gestiti:

  • Se un dispositivo è già gestito tramite la gestione dei dispositivi mobili (MDM), la registrazione MAM di Intune viene bloccata e le impostazioni dei criteri di protezione delle app non vengono applicate.
  • Se un dispositivo viene gestito dopo la registrazione MAM, le impostazioni dei criteri di protezione delle app non vengono più applicate.
  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere almeno l'accesso di emergenza o gli account break-glass dell'organizzazione.
  6. In Risorse di destinazione>App cloud>Includi selezionare Office 365.
  7. In Condizioni:
    1. Piattaforme del dispositivo impostate su .
      1. In Includi selezionare le piattaforme del dispositivo.
      2. Scegliere Solo Windows .
      3. Selezionare Fine.
    2. Le app client impostano Configura su .
      1. Selezionare Solo browser .
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi criteri di protezione delle app e Richiedi che il dispositivo sia contrassegnato come conforme.
    2. Per più controlli selezionare Richiedi uno dei controlli selezionati
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Suggerimento

Le organizzazioni devono anche distribuire criteri che bloccano l'accesso da piattaforme di dispositivi non supportate o sconosciute insieme a questo criterio.

Accedere ai dispositivi Windows

Quando gli utenti tentano di accedere a un sito protetto da criteri di protezione delle app per la prima volta, viene richiesto: per accedere al servizio, all'app o al sito Web, potrebbe essere necessario accedere a Microsoft Edge usando username@domain.com o registrare il dispositivo organization se si è già connessi.

Facendo clic su Switch Edge profile (Cambia profilo Edge) viene aperta una finestra in cui è elencato il proprio account aziendale o dell'istituto di istruzione e viene visualizzata l'opzione Accedi per sincronizzare i dati.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Questo processo apre un'offerta di finestra che consente a Windows di ricordare l'account e di accedere automaticamente alle app e ai siti Web.

Attenzione

È necessario DESELEZIONARE LA CASELLA DI CONTROLLOConsenti all'organizzazione di gestire il dispositivo. Lasciando questo controllo, il dispositivo viene registrato nella gestione dei dispositivi mobili (MDM) non nella gestione di applicazioni mobili (MAM).

Non selezionare No, accedere solo a questa app.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

Dopo aver selezionato OK, è possibile che venga visualizzata una finestra di stato durante l'applicazione dei criteri. Dopo alcuni istanti verrà visualizzata una finestra che indica che sono stati impostati tutti i criteri di protezione delle app.

Risoluzione dei problemi

Problemi comuni

In alcuni casi, dopo aver ottenuto la pagina "you're all set", potrebbe essere comunque richiesto di accedere con l'account aziendale. Questa richiesta può verificarsi quando:

  • Il profilo viene aggiunto a Microsoft Edge, ma la registrazione MAM è ancora in fase di elaborazione.
  • Il profilo viene aggiunto a Microsoft Edge, ma è stata selezionata l'opzione "solo questa app" nella pagina in alto.
  • È stata registrata in MAM, ma la registrazione è scaduta o non si è conformi ai requisiti dell'organizzazione.

Per risolvere questi possibili scenari:

  • Attendere alcuni minuti e riprovare in una nuova scheda.
  • Contattare l'amministratore per verificare che i criteri MAM di Microsoft Intune vengano applicati correttamente all'account.

Account esistente

Esiste un problema noto a causa del quale esiste un account preesistente non registrato, ad esempio user@contoso.com in Microsoft Edge o se un utente accede senza eseguire la registrazione usando la pagina Heads Up, l'account non è registrato correttamente in MAM. Questa configurazione impedisce all'utente di essere registrato correttamente in MAM.

Passaggi successivi