Richiedere un criterio di protezione delle app nei dispositivi Windows

I criteri di protezione delle app applicano la gestione di applicazioni mobili (MAM) a applicazioni specifiche in un dispositivo. Questi criteri consentono di proteggere i dati all'interno di un'applicazione in supporto a scenari come bring your own device (BYOD).

Prerequisiti

• Microsoft supporta l'applicazione di criteri al browser Microsoft Edge nei dispositivi che eseguono Windows 11 e Windows 10 versione 20H2 e successive con KB5031445.
• Criteri di protezione delle app configurati destinati ai dispositivi Windows.
• Attualmente non supportato nei cloud sovrani.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass (utile in casi critici) per evitare il blocco causato da errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del Servizio e Principali del Servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dai principali del servizio non verranno bloccate dai criteri di accesso condizionale applicati agli utenti. Utilizzare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire criteri destinati ai principali di servizio.
  • Se l'organizzazione ha questi account in uso negli script o nel codice, è consigliabile sostituirli con le identità gestite.

Creare criteri di accesso condizionale

Il criterio seguente viene impostato su modalità solo report all'inizio in modo che gli amministratori possano determinare quale impatto queste politiche abbiano sugli utenti esistenti. Quando gli amministratori sono a proprio agio che i criteri si applicano come previsto, possono passare a Sì o preparare la distribuzione aggiungendo gruppi specifici ed escludendo altri.

Richiedere un criterio di protezione delle app per i dispositivi Windows

La procedura seguente consente di creare criteri di accesso condizionale che richiedono un criterio di protezione delle app quando si usa un dispositivo Windows che accede al raggruppamento delle app di Office 365 nell'accesso condizionale. Il criterio di protezione delle app deve essere configurato e assegnato anche agli utenti in Microsoft Intune. Per altre informazioni su come creare i criteri di protezione delle app, vedere l'articolo Impostazioni dei criteri di protezione delle app per Windows. I criteri seguenti includono più controlli che consentono ai dispositivi di usare i criteri di protezione delle app per la gestione delle applicazioni mobili (MAM) o di essere gestiti e conformi ai criteri di gestione dei dispositivi mobili (MDM).

Suggerimento

I criteri di protezione delle app (MAM) supportano i dispositivi non gestiti:

• Se un dispositivo è già gestito tramite la gestione dei dispositivi mobili (MDM), la registrazione MAM di Intune viene bloccata e le impostazioni del criterio di protezione delle app non vengono applicate.
• Se un dispositivo viene gestito dopo la registrazione MAM, le impostazioni del criterio di protezione delle app non vengono più applicate.

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Passare a Entra IDCriteri di Accesso Condizionale.
3. Selezionare Nuovo criterio.
4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. Sotto Escludi, seleziona Utenti e gruppi e scegli almeno gli account di accesso di emergenza o break-glass della tua organizzazione.
6. In Risorse di destinazione>(in precedenza app cloud)>Includi selezionare Office 365.
7. In Condizioni:
   1. Piattaforme del dispositivoimpostate su Sì.
      1. In Include, seleziona piattaforme del dispositivo.
      2. Scegliere Solo Windows .
      3. Selezionare Fine.
   2. Le app client impostano la configurazione su Sì.
      1. Selezionare solo browser.
8. In Controlli di accesso>, sotto Concedi, selezionare Concedi accesso.
   1. Selezionare Richiedi criteri di protezione delle app e Richiedi che il dispositivo sia contrassegnato come conforme.
   2. Per più controlli selezionare Richiedi uno dei controlli selezionati
9. Conferma le impostazioni e imposta Abilita criterio su Solo Report.
10. Selezionare Crea per abilitare i criteri.

Nota

Se si imposta su Richiedi tutti i controlli selezionati o si usa solo il controllo dei criteri Richiedi protezione delle app , è necessario assicurarsi di avere come destinazione solo i dispositivi non gestiti o che i dispositivi non siano gestiti da MDM. In caso contrario, il criterio bloccherà l'accesso a tutte le applicazioni perché non è in grado di valutare se l'applicazione è conforme in base ai criteri.

Dopo che gli amministratori valutano le impostazioni dei criteri usando l'impatto dei criteri o la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Suggerimento

Le organizzazioni devono anche distribuire criteri che bloccano l'accesso da piattaforme di dispositivi non supportate o sconosciute insieme a questo criterio.

Accedere ai dispositivi Windows

Quando gli utenti tentano di accedere a un sito protetto da criteri di protezione delle app per la prima volta, viene richiesto di accedere al servizio, all'app o al sito Web, potrebbe essere necessario accedere a Microsoft Edge usando username@domain.com o registrare il dispositivo organization con se è già stato eseguito l'accesso.

Facendo clic su Switch Edge profile (Cambia profilo Edge ) viene aperta una finestra in cui è elencato il proprio account aziendale o dell'istituto di istruzione e viene visualizzata l'opzione Accedi per sincronizzare i dati.

Questo processo apre una finestra che consente a Windows di ricordare l'account e di accedere automaticamente alle app e ai siti Web.

Attenzione

È necessario DESELEZIONARE LA CASELLA DI CONTROLLOConsenti all'organizzazione di gestire il dispositivo. Se questa casella rimane selezionata, il dispositivo viene registrato nella gestione dei dispositivi mobili (MDM), non nella gestione di applicazioni mobili (MAM).

Non selezionare No, accedere solo a questa app.

Dopo aver selezionato OK, è possibile che venga visualizzata una finestra di avanzamento durante l'applicazione dei criteri. Dopo alcuni istanti, dovrebbe comparire una finestra con scritto è tutto pronto, i criteri di protezione delle app sono stati applicati.

Risoluzione dei problemi

Problemi comuni

In alcuni casi, dopo aver visualizzato la pagina "È tutto pronto", potrebbe essere comunque richiesto di accedere all'account aziendale. Questa richiesta può verificarsi quando:

• Il profilo viene aggiunto a Microsoft Edge, ma la registrazione MAM è ancora in fase di elaborazione.
• Il profilo viene aggiunto a Microsoft Edge, ma l'utente ha selezionato l'opzione "Solo questa app" nella pagina dell'annuncio.
• Ti sei iscritto a MAM, ma la tua iscrizione è scaduta o non sei conforme ai requisiti della tua organizzazione.

Per risolvere questi possibili scenari:

• Attendere alcuni minuti e riprovare in una nuova scheda.
• Contattare l'amministratore per verificare che i criteri MAM di Microsoft Intune vengano applicati correttamente all'account.

Account esistente

È noto che se esiste un account preesistente non registrato, ad esempio user@contoso.com in Microsoft Edge, o se un utente accede senza eseguire la registrazione usando la pagina dell'annuncio, l'account non viene registrato correttamente in MAM. Questa configurazione impedisce all'utente di essere registrato correttamente in MAM.

Passaggi successivi

• Che cos'è la gestione delle app di Microsoft Intune?
• Panoramica dei criteri di protezione delle app