Domande frequenti su MAM e protezione delle app

Questo articolo fornisce risposte ad alcune domande frequenti sulla gestione delle applicazioni mobili (MAM) Intune e Intune la protezione delle app.

Nozioni di base su MAM

Che cos'è MAM?

Panoramica di MAM

Criteri di protezione delle app

Che cosa sono i criteri di protezione delle app?

i criteri di protezione App sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio è una regola che Intune applica quando l'utente tenta di accedere o spostare dati "aziendali". Può anche definire azioni che Intune blocchi o monitoraggi mentre l'utente è nell'app.

Quali sono esempi di criteri di protezione delle app?

Per informazioni dettagliate su ogni impostazione dei criteri di protezione delle app, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS.

È possibile applicare contemporaneamente criteri MDM e MAM allo stesso utente per dispositivi diversi?

Se si applicano criteri MAM all'utente senza impostare lo stato di gestione dei dispositivi, l'utente ottiene i criteri MAM sia nel dispositivo personale, noto anche come bring-your-own-device (BYOD) che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato di gestione dei dispositivi. Quando si crea un criterio di protezione delle app, accanto a Destinazione alle app in tutti i tipi di dispositivo, selezionare No. Scegliere quindi una delle opzioni seguenti:

• Applicare un criterio MAM meno rigoroso ai dispositivi gestiti di Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati con MDM.
• Applicare un criterio MAM altrettanto rigoroso ai dispositivi gestiti da Intune e ai dispositivi non gestiti da Microsoft.
• Applicare un criterio MAM solo ai dispositivi non registrati.

Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.

App che è possibile gestire con i criteri di protezione delle app

Quali app possono essere gestite dai criteri di protezione delle app?

Qualsiasi app integrata con Intune App SDK o incapsulata dal Intune App Wrapping Tool può essere gestita usando Intune criteri di protezione delle app. Visualizzare l'elenco ufficiale di app gestite da Intune disponibile per uso pubblico.

Quali sono i requisiti di base per usare i criteri di protezione delle app in un'app gestita da Intune?

• L'utente finale deve avere un account Microsoft Entra. Per altre informazioni su come creare utenti Intune in Microsoft Entra ID, vedere Aggiungere utenti e concedere l'autorizzazione amministrativa per Intune.

• L'utente finale deve avere una licenza per Microsoft Intune assegnata all'account Microsoft Entra. Per altre informazioni su come assegnare licenze Intune agli utenti finali, vedere Gestire le licenze Intune.

• L'utente finale deve appartenere a un gruppo di sicurezza di destinazione da un criterio di protezione delle app. I criteri di protezione delle app devono essere mirati per la specifica app in uso. Protezione di app criteri possono essere creati e distribuiti nell'interfaccia di amministrazione Microsoft Intune. I gruppi di sicurezza possono attualmente essere creati nel interfaccia di amministrazione di Microsoft 365.

• L'utente finale deve accedere all'app usando il proprio account Microsoft Entra.

Cosa succede se si vuole abilitare un'app con Intune Protezione app, ma non si usa una piattaforma di sviluppo di app supportata?

Il team di sviluppo di Intune SDK testa e gestisce attivamente il supporto per le app create con le piattaforme Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms native. Alcuni clienti integrano correttamente Intune SDK con altre piattaforme, ad esempio React Native e NativeScript. Tuttavia, Microsoft non fornisce indicazioni o plug-in per piattaforme diverse da quelle supportate.

Intune APP SDK supporta Microsoft Authentication Library (MSAL)?

Il Intune App SDK può usare Microsoft Authentication Library per gli scenari di autenticazione e avvio condizionale. Si basa anche su MSAL per registrare l'identità utente con il servizio MAM per la gestione senza scenari di registrazione dei dispositivi.

Quali sono gli altri requisiti per usare l'app Outlook per dispositivi mobili?

• L'utente finale deve avere l'app Outlook per dispositivi mobili installata nel dispositivo.

• L'utente finale deve avere una cassetta postale e una licenza di Microsoft 365 Exchange Online collegate all'account Microsoft Entra.

  Nota

  L'app Outlook per dispositivi mobili attualmente supporta solo Intune Protezione app per Microsoft Exchange Online e Exchange Server con l'autenticazione moderna ibrida e non supporta Exchange in Office 365 Dedicato.

Quali sono gli altri requisiti per usare le app Word, Excel e PowerPoint?

• L'utente finale deve avere una licenza per Microsoft 365 Apps for business o l'organizzazione collegata al proprio account Microsoft Entra. La sottoscrizione deve includere le app di Office nei dispositivi mobili e può includere un account di archiviazione cloud con archiviazione cloud e condivisione file di OneDrive per le aziende. Le licenze di Microsoft 365 possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.

• L'utente finale deve avere una posizione gestita configurata usando la funzionalità di salvataggio granulare come nell'impostazione dei criteri di protezione dell'applicazione "Salva copie dei dati dell'organizzazione". Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente finale.

• Se il percorso gestito è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente finale.

  Nota

  Le app per dispositivi mobili di Office attualmente supportano solo SharePoint Online e non SharePoint locale.

Perché è necessario un percorso gestito (ovvero OneDrive) per Office?

Intune contrassegna tutti i dati nell'app come "aziendali" o "personali". I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera la posta elettronica (Exchange) e l'archiviazione cloud (OneDrive) come sedi aziendali.

Quali sono gli altri requisiti da usare Skype for Business?

Vedere Skype for Business requisiti di licenza. Per le configurazioni ibride e locali di Skype for Business (SfB), vedere Rispettivamente Autenticazione moderna ibrida per SfB ed Exchange e Autenticazione moderna per SfB locale con Microsoft Entra ID.

Funzionalità Protezione di app

Che cos'è il supporto multi-identità?

Il supporto multi-identità è la possibilità per Intune App SDK di applicare solo i criteri di protezione delle app all'account aziendale o dell'istituto di istruzione connesso all'app. Se un account personale è connesso all'app, i dati non vengono toccati.

Qual è lo scopo del supporto multi-identità?

Il supporto multi-identità consente di rilasciare pubblicamente le app con destinatari "aziendali" e consumer (ovvero le app di Office) con funzionalità di protezione delle app Intune per gli account "aziendali".

Che dire di Outlook e multi-identità?

Poiché Outlook ha una visualizzazione combinata dei messaggi di posta elettronica personali e "aziendali", l'app Outlook richiede il PIN Intune all'avvio.

Qual è il PIN dell'app Intune?

Il PIN (Personal Identification Number) è un passcode usato per verificare che l'utente corretto stia accedendo ai dati dell'organizzazione in un'applicazione.

Quando viene richiesto all'utente di immettere il PIN?

Intune richiede il PIN dell'app dell'utente quando l'utente sta per accedere ai dati "aziendali". Nelle app multi-identità, ad esempio Word/Excel/PowerPoint, all'utente viene richiesto il PIN quando tenta di aprire un documento o un file "aziendale". Nelle app con identità singola, ad esempio le app line-of-business gestite con il Intune App Wrapping Tool, il PIN viene richiesto all'avvio, perché Intune App SDK sa che l'esperienza dell'utente nell'app è sempre "aziendale".

Con quale frequenza agli utenti viene richiesto il PIN Intune?

L'amministratore IT può definire l'impostazione dei criteri di protezione delle app Intune 'Ricontrollare i requisiti di accesso dopo (minuti)' nell'interfaccia di amministrazione Microsoft Intune. Questa impostazione specifica la quantità di tempo prima che i requisiti di accesso vengano controllati nel dispositivo e la schermata del PIN dell'applicazione viene visualizzata di nuovo. Tuttavia, dettagli importanti sul PIN che influiscono sulla frequenza con cui vengono richiesti gli utenti sono:

• Il PIN viene condiviso tra le app dello stesso editore per migliorare l'usabilità: In iOS/iPadOS, un PIN dell'app viene condiviso tra tutte le app dello stesso editore di app. In Android, un PIN dell'app viene condiviso tra tutte le app.
• Comportamento "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo: Un "timer PIN" tiene traccia del numero di minuti di inattività che determinano quando visualizzare il PIN dell'app Intune successivo. In iOS/iPadOS, il timer pin non è interessato dal riavvio del dispositivo. Di conseguenza, il riavvio del dispositivo non ha alcun effetto sul numero di minuti in cui l'utente è inattivo da un'app iOS/iPadOS con Intune criteri PIN. In Android, il timer pin viene reimpostato al riavvio del dispositivo. Di conseguenza, le app Android con Intune criterio PIN richiederanno probabilmente un PIN dell'app indipendentemente dal valore di impostazione "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo.
• La natura in sequenza del timer associato al PIN: Dopo aver immesso un PIN per accedere a un'app (app A) e l'app lascia il primo piano (stato attivo di input principale) nel dispositivo, il timer del PIN viene reimpostato per tale PIN. Qualsiasi app (app B) che condivide questo PIN non richiede all'utente la voce PIN perché il timer è stato reimpostato. La richiesta verrà visualizzata di nuovo quando viene soddisfatto di nuovo il valore "Ricontrollare i requisiti di accesso dopo (minuti)".

Nei dispositivi iOS/iPadOS, le app di editori diversi possono condividere lo stesso PIN. Tuttavia, quando viene raggiunto il valore Ricontrolla i requisiti di accesso dopo (minuti), Intune richiede all'utente un PIN se l'app non era lo stato attivo principale per l'input. Ad esempio, un utente ha l'app A del server di pubblicazione X e l'app B del server di pubblicazione Y e queste due app condividono lo stesso PIN. L'utente è incentrato sull'app A (in primo piano) e l'app B è ridotta a icona. Dopo aver soddisfatto il valore Ricontrolla i requisiti di accesso dopo (minuti) e l'utente passa all'app B, il PIN sarà necessario.

Nota

Per verificare più spesso i requisiti di accesso dell'utente,ovvero la richiesta di PIN, in particolare per un'app usata di frequente, ridurre il valore dell'impostazione "Ricontrolla i requisiti di accesso dopo (minuti)".

Come funziona il PIN Intune con i PIN delle app predefiniti per Outlook e OneDrive?

Il PIN Intune funziona in base a un timer basato sull'inattività (il valore "Controlla nuovamente i requisiti di accesso dopo (minuti)". Di conseguenza, Intune richieste DI PIN vengono visualizzate in modo indipendente dalle richieste PIN dell'app predefinite per Outlook e OneDrive, che spesso sono associate all'avvio dell'app per impostazione predefinita. Se l'utente riceve entrambe le richieste PIN contemporaneamente, il comportamento previsto dovrebbe essere che il PIN Intune abbia la precedenza.

Il PIN è sicuro?

Il PIN consente solo all'utente corretto di accedere ai dati dell'organizzazione nell'app. Pertanto, un utente finale deve accedere con il proprio account aziendale o dell'istituto di istruzione prima di poter impostare o reimpostare il PIN dell'app Intune. Microsoft Entra ID gestisce questa autenticazione tramite lo scambio di token sicuro e non è trasparente per Intune App SDK. Dal punto di vista della sicurezza, il modo migliore per proteggere i dati aziendali o dell'istituto di istruzione consiste nel crittografarli. La crittografia non è correlata al PIN dell'app, ma è un criterio di protezione delle app specifico.

In che modo Intune proteggere il PIN dagli attacchi di forza bruta?

Come parte dei criteri pin dell'app, l'amministratore IT può impostare il numero massimo di volte in cui un utente può provare a autenticare il PIN prima di bloccare l'app. Dopo aver soddisfatto il numero di tentativi, il Intune App SDK può cancellare i dati "aziendali" nell'app.

Perché è necessario impostare un PIN due volte nelle app dello stesso editore?

MAM in iOS/iPadOS supporta pin a livello di applicazione con caratteri alfanumerici e speciali (detto passcode). Per applicare le impostazioni del passcode, le app come Word, Excel, PowerPoint, Outlook, Managed Browser e Yammer devono integrare Intune App SDK per iOS/iPadOS. Senza questa integrazione, Intune non può applicare le impostazioni del passcode per tali app. Intune introdotto questa funzionalità in SDK versione 7.1.12 per iOS/iPadOS.

Per supportare questa funzionalità e mantenere la compatibilità con le versioni precedenti di Intune SDK per iOS/iPadOS, la versione 7.1.12 e successive gestisce tutti i PIN (numerici o passcode) separatamente dal PIN numerico usato nelle versioni precedenti. Pertanto, se un dispositivo ha applicazioni con Intune SDK per le versioni di iOS/iPadOS precedenti alla versione 7.1.12 E successive alla 7.1.12 dello stesso editore, dovranno configurare due PIN.

Detto questo, i due PIN (per ogni app) non sono in alcun modo correlati. Devono rispettare i criteri di protezione delle app applicati all'app. Di conseguenza, solo se le app A e B hanno gli stessi criteri applicati (rispetto al PIN), l'utente potrebbe configurare lo stesso PIN due volte.

Questo comportamento è specifico del PIN nelle applicazioni iOS/iPadOS abilitate con Intune Gestione app per dispositivi mobili. Con il passare del tempo, quando le applicazioni adottano versioni successive di Intune SDK per iOS/iPadOS, la necessità di impostare un PIN due volte nelle app dello stesso editore diventa meno un problema.

Nota

Le versioni dell'app determinano se un PIN condiviso è possibile. Ad esempio, se l'app A usa una versione SDK precedente alla 7.1.12 e l'app B usa la versione 7.1.12 o successiva, l'utente deve configurare un PIN separato per ogni app, anche se proviene dallo stesso autore. Tuttavia, se le app A e C usano entrambe versioni precedenti alla 7.1.12, condividono un PIN. Analogamente, le app B e D condividono un PIN se entrambi usano SDK 7.1.12 o versione successiva.

E la crittografia?

Gli amministratori IT possono distribuire criteri di protezione delle app che richiedono la crittografia dei dati dell'app. Come parte dei criteri, l'amministratore IT può anche specificare quando il contenuto viene crittografato.

In che modo Intune crittografare i dati?

Intune crittografa i dati in base all'impostazione dei criteri di protezione delle app per la crittografia. Per informazioni dettagliate, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS.

Cosa viene crittografato?

Solo i dati contrassegnati come "aziendali" vengono crittografati in base ai criteri di protezione delle app dell'amministratore IT. I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera la posta elettronica (Exchange) e l'archiviazione cloud (OneDrive) come sedi aziendali. Per le app line-of-business gestite dal Intune App Wrapping Tool, tutti i dati dell'app vengono considerati "aziendali".

In che modo Intune cancellare i dati in remoto?

Intune può cancellare i dati dell'app in tre modi diversi: cancellazione completa del dispositivo, cancellazione selettiva per MDM e cancellazione selettiva MAM. Per altre informazioni sulla cancellazione remota per MDM, vedere Rimuovere i dispositivi usando la cancellazione o il ritiro. Per altre informazioni sulla cancellazione selettiva tramite MAM, vedere l'azione Ritiro e Come cancellare solo i dati aziendali dalle app.

Che cos'è la cancellazione?

La cancellazione rimuove tutti i dati e le impostazioni utente dal dispositivo ripristinando le impostazioni predefinite del dispositivo. Il dispositivo viene rimosso da Intune.

Nota

La cancellazione può essere eseguita solo nei dispositivi registrati con Intune gestione dei dispositivi mobili (MDM).

Che cos'è la cancellazione selettiva per MDM?

La cancellazione selettiva per MDM rimuove solo i dati aziendali dal dispositivo senza influire sui dati personali. Per altre informazioni, vedere Rimuovere i dispositivi - ritirare.

Che cos'è la cancellazione selettiva per MAM?

La cancellazione selettiva per MAM rimuove semplicemente i dati dell'app aziendale da un'app. La richiesta viene avviata usando l'interfaccia di amministrazione Microsoft Intune. Per informazioni su come avviare una richiesta di cancellazione, vedere Come cancellare solo i dati aziendali dalle app.

Con quale rapidità viene eseguita la cancellazione selettiva per MAM?

Se l'utente usa l'app quando viene avviata la cancellazione selettiva, Intune App SDK verifica ogni 30 minuti una richiesta di cancellazione selettiva dal servizio MAM Intune. Verifica anche la cancellazione selettiva quando l'utente avvia l'app per la prima volta e accede con il proprio account aziendale o dell'istituto di istruzione.

Perché i servizi locali non funzionano con le app protette Intune?

Intune protezione delle app dipende dall'identità dell'utente per essere coerente tra l'applicazione e Intune App SDK. L'unico modo per garantire che è attraverso l'autenticazione moderna. Esistono scenari in cui le app possono funzionare con una configurazione locale, ma non sono coerenti o garantite.

Esiste un modo sicuro per aprire collegamenti Web da app gestite?

Sì. L'amministratore IT può distribuire e impostare i criteri di protezione delle app per l'app Microsoft Edge. L'amministratore IT può richiedere l'apertura di tutti i collegamenti Web nelle app gestite da Intune tramite l'app Microsoft Edge.

Esperienza dell'app in Android

Perché l'app Portale aziendale è necessaria per il funzionamento della protezione delle app Intune nei dispositivi Android?

Portale aziendale protezione delle app e delle app Intune

Come funzionano più Intune impostazioni di accesso alla protezione delle app configurate per lo stesso set di app e utenti in Android?

Intune criteri di protezione delle app per l'accesso vengono applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, un blocco avrà la precedenza e quindi un avviso ignorabile. Ad esempio, se applicabile all'utente o all'app specifica, verrà applicata un'impostazione minima della versione della patch android che avvisa un utente di eseguire un aggiornamento della patch dopo l'impostazione minima della versione della patch Android che blocca l'accesso dell'utente. Quindi, nello scenario in cui l'amministratore IT configura la versione minima della patch Android su 2018-03-01 e la versione minima della patch Android (solo avviso) su 2018-02-01, mentre il dispositivo che tenta di accedere all'app si trovava in una versione di patch 2018-01-01, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima della patch Android che comporta l'accesso bloccato.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'app ha la precedenza, seguito dal requisito della versione del sistema operativo Android e dal requisito della versione della patch android. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine.

Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di passare il controllo dell'integrità dei dispositivi Di Google Play per i dispositivi Android. Con quale frequenza viene inviato al servizio il nuovo risultato del controllo dell'integrità del dispositivo di Google Play?

Il servizio Intune contatta Google Play a un intervallo non configurata determinato dal carico del servizio. Qualsiasi azione configurata dall'amministratore IT per l'impostazione di controllo dell'integrità del dispositivo di Google Play verrà eseguita in base all'ultimo risultato segnalato al servizio Intune al momento dell'avvio condizionale. Se il risultato dell'integrità del dispositivo di Google è conforme, non viene eseguita alcuna azione. Se il risultato dell'integrità del dispositivo di Google non è conforme, l'azione configurata dall'amministratore IT viene eseguita immediatamente. Se la richiesta al controllo dell'integrità del dispositivo di Google Play non riesce per qualsiasi motivo, il risultato memorizzato nella cache della richiesta precedente verrà usato per un massimo di 24 ore o il successivo riavvio del dispositivo, che viene sempre prima. In quel momento Intune i criteri di protezione delle app bloccano l'accesso fino a quando non è possibile ottenere un risultato corrente.

Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di inviare segnali tramite l'API Verifica app di Google per i dispositivi Android. Come può un utente finale attivare l'analisi dell'app in modo che non venga bloccato l'accesso a causa di questo?

Le istruzioni su come eseguire questa operazione variano leggermente in base al dispositivo. Il processo generale prevede l'accesso a Google Play Store, quindi fare clic su App personali & giochi, fare clic sul risultato dell'ultima analisi dell'app che ti porterà nel menu Play Protect. Assicurarsi che l'interruttore Per analizzare il dispositivo per individuare le minacce alla sicurezza sia attivato.

Cosa controlla effettivamente l'API Play Integrity di Google nei dispositivi Android? Qual è la differenza tra i valori configurabili di "Controllare l'integrità di base" e "Controllare l'integrità di base & dispositivi certificati"?

Intune applica le API di integrità di Google Play per aggiungere ai controlli di rilevamento radice esistenti per i dispositivi non registrazione. Google ha sviluppato e mantenuto questo set di API per l'adozione delle app Android se non vuole che le app vengano eseguite nei dispositivi rooted. L'app Android Pay l'ha incorporata, ad esempio. Anche se Google non condivide pubblicamente la totalità dei controlli di rilevamento radice che si verificano, ci aspettiamo che queste API rilevino gli utenti che hanno rooted i loro dispositivi. A questi utenti può quindi essere impedito l'accesso o gli account aziendali cancellati dalle app abilitate per i criteri. "Controllare l'integrità di base" indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. "Controllare l'integrità di base & dispositivi certificati" indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. I dispositivi che hanno esito negativo includono:

• Dispositivi che non riescono all'integrità di base
• Dispositivi con un bootloader sbloccato
• Dispositivi con un'immagine/ROM di sistema personalizzata
• Dispositivi che il produttore non ha richiesto o superato la certificazione Google
• Dispositivi con un'immagine di sistema compilata direttamente dai file di origine del programma Open Source Android
• Dispositivi con un'immagine di sistema beta/developer preview

Per informazioni tecniche, vedere la documentazione di Google sull'API Play Integrity .

Esistono due controlli simili nella sezione Avvio condizionale durante la creazione di un criterio di protezione delle app Intune per i dispositivi Android. È necessario richiedere l'impostazione "Verdetto integrità del gioco" o l'impostazione "dispositivi jailbroken/rooted"?

I controlli dell'API integrità di Google Play richiedono che l'utente finale sia online, almeno durante il momento in cui viene eseguito il "roundtrip" per determinare i risultati dell'attestazione. Se l'utente finale è offline, l'amministratore IT può comunque aspettarsi che venga applicato un risultato dall'impostazione "dispositivi jailbroken/rooted". Detto questo, se l'utente finale è stato offline troppo a lungo, entra in gioco il valore "Periodo di tolleranza offline" e tutti gli accessi ai dati aziendali o dell'istituto di istruzione vengono bloccati una volta raggiunto il valore del timer, fino a quando non è disponibile l'accesso alla rete. L'attivazione di entrambe le impostazioni consente un approccio a più livelli per mantenere integri i dispositivi degli utenti finali, cosa importante quando gli utenti finali accedono ai dati aziendali o dell'istituto di istruzione nei dispositivi mobili.

Le impostazioni dei criteri di protezione delle app che applicano le API Google Play Protect richiedono il funzionamento di Google Play Services. Cosa succede se Google Play Services non è consentito nella posizione in cui potrebbe essere l'utente finale?

Entrambe le impostazioni "Play integrity verdict" e "Threat scan on apps" richiedono il corretto funzionamento della versione di Google Play Services determinata da Google. Poiché si tratta di impostazioni che rientrano nell'area di sicurezza, l'utente finale viene bloccato se è interessato a queste impostazioni e non soddisfa la versione appropriata di Google Play Services o non ha accesso a Google Play Services.

Esperienza dell'app in iOS

Cosa accade se si aggiunge o si rimuove un'impronta digitale o un viso al dispositivo?

Intune criteri di protezione delle app consentono il controllo sull'accesso alle app solo all'utente con licenza Intune. Uno dei modi per controllare l'accesso all'app consiste nel richiedere l'ID tocco di Apple o l'ID viso nei dispositivi supportati. Intune implementa un comportamento in cui, in caso di modifiche al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso. Se l'utente Intune non ha un PIN impostato, viene configurato un PIN Intune.

L'obiettivo è continuare a mantenere i dati dell'organizzazione all'interno dell'app protetti e protetti a livello di app. Questa funzionalità è disponibile solo per iOS/iPadOS e richiede la partecipazione di applicazioni che integrano Intune APP SDK per iOS/iPadOS, versione 9.0.1 o successiva. L'integrazione dell'SDK è necessaria in modo che il comportamento possa essere applicato alle applicazioni di destinazione. Questa integrazione avviene in sequenza e dipende dai team di applicazioni specifici. Alcune app che partecipano includono WXP, Outlook, Managed Browser e Yammer.

Sono in grado di usare l'estensione di condivisione iOS per aprire i dati aziendali o dell'istituto di istruzione nelle app non gestite, anche con i criteri di trasferimento dati impostati su "solo app gestite" o "nessuna app". Questi dati non vengono persi?

Intune criteri di protezione delle app non può controllare l'estensione della condivisione iOS senza gestire il dispositivo. Pertanto, Intune crittografa i dati "aziendali" prima di essere condivisi all'esterno dell'app. È possibile convalidarlo provando ad aprire il file "aziendale" all'esterno dell'app gestita. Il file deve essere crittografato e non può essere aperto all'esterno dell'app gestita.

Come funzionano più Intune impostazioni di accesso alla protezione delle app configurate per lo stesso set di app e utenti in iOS?

Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali quando tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, una cancellazione avrebbe la precedenza, seguita da un blocco e quindi da un avviso ignorabile. Ad esempio, se applicabile all'utente/app specifico, verrà applicata un'impostazione minima del sistema operativo iOS/iPadOS che avvisa un utente di aggiornare la versione di iOS/iPadOS dopo l'impostazione minima del sistema operativo iOS/iPadOS che blocca l'accesso dell'utente. Pertanto, nello scenario in cui l'amministratore IT configura il sistema operativo iOS/iPadOS minimo su 11.0.0.0 e il sistema operativo iOS/iPadOS minimo (solo avviso) su 11.1.0.0, mentre il dispositivo che tenta di accedere all'app si trovava in iOS/iPadOS 10, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima del sistema operativo iOS/iPadOS che comporta il blocco dell'accesso.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione di App SDK Intune avrà la precedenza e quindi un requisito di versione dell'app, seguito dal requisito della versione del sistema operativo iOS/iPadOS. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine. È consigliabile configurare il requisito della versione di Intune App SDK solo in base alle indicazioni del team del prodotto Intune per scenari di blocco essenziali.

Vedere anche

• Distribuire Intune
• Creare un piano di implementazione
• Impostazioni dei criteri di gestione delle app per dispositivi mobili Android in Microsoft Intune
• Impostazioni dei criteri di gestione delle app per dispositivi mobili iOS/iPadOS
• aggiornamento dei criteri di Protezione di app
• Convalidare i criteri di protezione delle app
• Aggiungere criteri di configurazione dell'app per le app gestite senza registrazione di dispositivi
• Come ottenere supporto in Microsoft Intune

Questo articolo fornisce risposte ad alcune domande frequenti sulla gestione delle applicazioni mobili (MAM) Intune e Intune la protezione delle app.

Panoramica di MAM

i criteri di protezione App sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio è una regola che Intune applica quando l'utente tenta di accedere o spostare dati "aziendali". Può anche definire azioni che Intune blocchi o monitoraggi mentre l'utente è nell'app.

Per informazioni dettagliate su ogni impostazione dei criteri di protezione delle app, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS.

Se si applicano criteri MAM all'utente senza impostare lo stato di gestione dei dispositivi, l'utente ottiene i criteri MAM sia nel dispositivo personale, noto anche come bring-your-own-device (BYOD) che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato di gestione dei dispositivi. Quando si crea un criterio di protezione delle app, accanto a Destinazione alle app in tutti i tipi di dispositivo, selezionare No. Scegliere quindi una delle opzioni seguenti:

• Applicare un criterio MAM meno rigoroso ai dispositivi gestiti di Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati con MDM.
• Applicare un criterio MAM altrettanto rigoroso ai dispositivi gestiti da Intune e ai dispositivi non gestiti da Microsoft.
• Applicare un criterio MAM solo ai dispositivi non registrati.

Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.

Qualsiasi app integrata con Intune App SDK o incapsulata dal Intune App Wrapping Tool può essere gestita usando Intune criteri di protezione delle app. Visualizzare l'elenco ufficiale di app gestite da Intune disponibile per uso pubblico.

• L'utente finale deve avere un account Microsoft Entra. Per altre informazioni su come creare utenti Intune in Microsoft Entra ID, vedere Aggiungere utenti e concedere l'autorizzazione amministrativa per Intune.

• L'utente finale deve avere una licenza per Microsoft Intune assegnata all'account Microsoft Entra. Per altre informazioni su come assegnare licenze Intune agli utenti finali, vedere Gestire le licenze Intune.

• L'utente finale deve appartenere a un gruppo di sicurezza di destinazione da un criterio di protezione delle app. I criteri di protezione delle app devono essere mirati per la specifica app in uso. Protezione di app criteri possono essere creati e distribuiti nell'interfaccia di amministrazione Microsoft Intune. I gruppi di sicurezza possono attualmente essere creati nel interfaccia di amministrazione di Microsoft 365.

• L'utente finale deve accedere all'app usando il proprio account Microsoft Entra.

Il team di sviluppo di Intune SDK testa e gestisce attivamente il supporto per le app create con le piattaforme Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms native. Alcuni clienti integrano correttamente Intune SDK con altre piattaforme, ad esempio React Native e NativeScript. Tuttavia, Microsoft non fornisce indicazioni o plug-in per piattaforme diverse da quelle supportate.

Il Intune App SDK può usare Microsoft Authentication Library per gli scenari di autenticazione e avvio condizionale. Si basa anche su MSAL per registrare l'identità utente con il servizio MAM per la gestione senza scenari di registrazione dei dispositivi.

• L'utente finale deve avere l'app Outlook per dispositivi mobili installata nel dispositivo.

• L'utente finale deve avere una cassetta postale e una licenza di Microsoft 365 Exchange Online collegate all'account Microsoft Entra.

  Nota

  L'app Outlook per dispositivi mobili attualmente supporta solo Intune Protezione app per Microsoft Exchange Online e Exchange Server con l'autenticazione moderna ibrida e non supporta Exchange in Office 365 Dedicato.

• L'utente finale deve avere una licenza per Microsoft 365 Apps for business o l'organizzazione collegata al proprio account Microsoft Entra. La sottoscrizione deve includere le app di Office nei dispositivi mobili e può includere un account di archiviazione cloud con archiviazione cloud e condivisione file di OneDrive per le aziende. Le licenze di Microsoft 365 possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.

• L'utente finale deve avere una posizione gestita configurata usando la funzionalità di salvataggio granulare come nell'impostazione dei criteri di protezione dell'applicazione "Salva copie dei dati dell'organizzazione". Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente finale.

• Se il percorso gestito è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente finale.

  Nota

  Le app per dispositivi mobili di Office attualmente supportano solo SharePoint Online e non SharePoint locale.

Intune contrassegna tutti i dati nell'app come "aziendali" o "personali". I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera la posta elettronica (Exchange) e l'archiviazione cloud (OneDrive) come sedi aziendali.

Vedere Skype for Business requisiti di licenza. Per le configurazioni ibride e locali di Skype for Business (SfB), vedere Rispettivamente Autenticazione moderna ibrida per SfB ed Exchange e Autenticazione moderna per SfB locale con Microsoft Entra ID.

Il supporto multi-identità è la possibilità per Intune App SDK di applicare solo i criteri di protezione delle app all'account aziendale o dell'istituto di istruzione connesso all'app. Se un account personale è connesso all'app, i dati non vengono toccati.

Il supporto multi-identità consente di rilasciare pubblicamente le app con destinatari "aziendali" e consumer (ovvero le app di Office) con funzionalità di protezione delle app Intune per gli account "aziendali".

Poiché Outlook ha una visualizzazione combinata dei messaggi di posta elettronica personali e "aziendali", l'app Outlook richiede il PIN Intune all'avvio.

Il PIN (Personal Identification Number) è un passcode usato per verificare che l'utente corretto stia accedendo ai dati dell'organizzazione in un'applicazione.

Intune richiede il PIN dell'app dell'utente quando l'utente sta per accedere ai dati "aziendali". Nelle app multi-identità, ad esempio Word/Excel/PowerPoint, all'utente viene richiesto il PIN quando tenta di aprire un documento o un file "aziendale". Nelle app con identità singola, ad esempio le app line-of-business gestite con il Intune App Wrapping Tool, il PIN viene richiesto all'avvio, perché Intune App SDK sa che l'esperienza dell'utente nell'app è sempre "aziendale".

L'amministratore IT può definire l'impostazione dei criteri di protezione delle app Intune 'Ricontrollare i requisiti di accesso dopo (minuti)' nell'interfaccia di amministrazione Microsoft Intune. Questa impostazione specifica la quantità di tempo prima che i requisiti di accesso vengano controllati nel dispositivo e la schermata del PIN dell'applicazione viene visualizzata di nuovo. Tuttavia, dettagli importanti sul PIN che influiscono sulla frequenza con cui vengono richiesti gli utenti sono:

• Il PIN viene condiviso tra le app dello stesso editore per migliorare l'usabilità: In iOS/iPadOS, un PIN dell'app viene condiviso tra tutte le app dello stesso editore di app. In Android, un PIN dell'app viene condiviso tra tutte le app.
• Comportamento "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo: Un "timer PIN" tiene traccia del numero di minuti di inattività che determinano quando visualizzare il PIN dell'app Intune successivo. In iOS/iPadOS, il timer pin non è interessato dal riavvio del dispositivo. Di conseguenza, il riavvio del dispositivo non ha alcun effetto sul numero di minuti in cui l'utente è inattivo da un'app iOS/iPadOS con Intune criteri PIN. In Android, il timer pin viene reimpostato al riavvio del dispositivo. Di conseguenza, le app Android con Intune criterio PIN richiederanno probabilmente un PIN dell'app indipendentemente dal valore di impostazione "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo.
• La natura in sequenza del timer associato al PIN: Dopo aver immesso un PIN per accedere a un'app (app A) e l'app lascia il primo piano (stato attivo di input principale) nel dispositivo, il timer del PIN viene reimpostato per tale PIN. Qualsiasi app (app B) che condivide questo PIN non richiede all'utente la voce PIN perché il timer è stato reimpostato. La richiesta verrà visualizzata di nuovo quando viene soddisfatto di nuovo il valore "Ricontrollare i requisiti di accesso dopo (minuti)".

Nei dispositivi iOS/iPadOS, le app di editori diversi possono condividere lo stesso PIN. Tuttavia, quando viene raggiunto il valore Ricontrolla i requisiti di accesso dopo (minuti), Intune richiede all'utente un PIN se l'app non era lo stato attivo principale per l'input. Ad esempio, un utente ha l'app A del server di pubblicazione X e l'app B del server di pubblicazione Y e queste due app condividono lo stesso PIN. L'utente è incentrato sull'app A (in primo piano) e l'app B è ridotta a icona. Dopo aver soddisfatto il valore Ricontrolla i requisiti di accesso dopo (minuti) e l'utente passa all'app B, il PIN sarà necessario.

Nota

Per verificare più spesso i requisiti di accesso dell'utente,ovvero la richiesta di PIN, in particolare per un'app usata di frequente, ridurre il valore dell'impostazione "Ricontrolla i requisiti di accesso dopo (minuti)".

Il PIN Intune funziona in base a un timer basato sull'inattività (il valore "Controlla nuovamente i requisiti di accesso dopo (minuti)". Di conseguenza, Intune richieste DI PIN vengono visualizzate in modo indipendente dalle richieste PIN dell'app predefinite per Outlook e OneDrive, che spesso sono associate all'avvio dell'app per impostazione predefinita. Se l'utente riceve entrambe le richieste PIN contemporaneamente, il comportamento previsto dovrebbe essere che il PIN Intune abbia la precedenza.

Il PIN consente solo all'utente corretto di accedere ai dati dell'organizzazione nell'app. Pertanto, un utente finale deve accedere con il proprio account aziendale o dell'istituto di istruzione prima di poter impostare o reimpostare il PIN dell'app Intune. Microsoft Entra ID gestisce questa autenticazione tramite lo scambio di token sicuro e non è trasparente per Intune App SDK. Dal punto di vista della sicurezza, il modo migliore per proteggere i dati aziendali o dell'istituto di istruzione consiste nel crittografarli. La crittografia non è correlata al PIN dell'app, ma è un criterio di protezione delle app specifico.

Come parte dei criteri pin dell'app, l'amministratore IT può impostare il numero massimo di volte in cui un utente può provare a autenticare il PIN prima di bloccare l'app. Dopo aver soddisfatto il numero di tentativi, il Intune App SDK può cancellare i dati "aziendali" nell'app.

MAM in iOS/iPadOS supporta pin a livello di applicazione con caratteri alfanumerici e speciali (detto passcode). Per applicare le impostazioni del passcode, le app come Word, Excel, PowerPoint, Outlook, Managed Browser e Yammer devono integrare Intune App SDK per iOS/iPadOS. Senza questa integrazione, Intune non può applicare le impostazioni del passcode per tali app. Intune introdotto questa funzionalità in SDK versione 7.1.12 per iOS/iPadOS.

Per supportare questa funzionalità e mantenere la compatibilità con le versioni precedenti di Intune SDK per iOS/iPadOS, la versione 7.1.12 e successive gestisce tutti i PIN (numerici o passcode) separatamente dal PIN numerico usato nelle versioni precedenti. Pertanto, se un dispositivo ha applicazioni con Intune SDK per le versioni di iOS/iPadOS precedenti alla versione 7.1.12 E successive alla 7.1.12 dello stesso editore, dovranno configurare due PIN.

Detto questo, i due PIN (per ogni app) non sono in alcun modo correlati. Devono rispettare i criteri di protezione delle app applicati all'app. Di conseguenza, solo se le app A e B hanno gli stessi criteri applicati (rispetto al PIN), l'utente potrebbe configurare lo stesso PIN due volte.

Questo comportamento è specifico del PIN nelle applicazioni iOS/iPadOS abilitate con Intune Gestione app per dispositivi mobili. Con il passare del tempo, quando le applicazioni adottano versioni successive di Intune SDK per iOS/iPadOS, la necessità di impostare un PIN due volte nelle app dello stesso editore diventa meno un problema.

Nota

Le versioni dell'app determinano se un PIN condiviso è possibile. Ad esempio, se l'app A usa una versione SDK precedente alla 7.1.12 e l'app B usa la versione 7.1.12 o successiva, l'utente deve configurare un PIN separato per ogni app, anche se proviene dallo stesso autore. Tuttavia, se le app A e C usano entrambe versioni precedenti alla 7.1.12, condividono un PIN. Analogamente, le app B e D condividono un PIN se entrambi usano SDK 7.1.12 o versione successiva.

Gli amministratori IT possono distribuire criteri di protezione delle app che richiedono la crittografia dei dati dell'app. Come parte dei criteri, l'amministratore IT può anche specificare quando il contenuto viene crittografato.

Intune crittografa i dati in base all'impostazione dei criteri di protezione delle app per la crittografia. Per informazioni dettagliate, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS.

Solo i dati contrassegnati come "aziendali" vengono crittografati in base ai criteri di protezione delle app dell'amministratore IT. I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera la posta elettronica (Exchange) e l'archiviazione cloud (OneDrive) come sedi aziendali. Per le app line-of-business gestite dal Intune App Wrapping Tool, tutti i dati dell'app vengono considerati "aziendali".

Intune può cancellare i dati dell'app in tre modi diversi: cancellazione completa del dispositivo, cancellazione selettiva per MDM e cancellazione selettiva MAM. Per altre informazioni sulla cancellazione remota per MDM, vedere Rimuovere i dispositivi usando la cancellazione o il ritiro. Per altre informazioni sulla cancellazione selettiva tramite MAM, vedere l'azione Ritiro e Come cancellare solo i dati aziendali dalle app.

La cancellazione rimuove tutti i dati e le impostazioni utente dal dispositivo ripristinando le impostazioni predefinite del dispositivo. Il dispositivo viene rimosso da Intune.

Nota

La cancellazione può essere eseguita solo nei dispositivi registrati con Intune gestione dei dispositivi mobili (MDM).

La cancellazione selettiva per MDM rimuove solo i dati aziendali dal dispositivo senza influire sui dati personali. Per altre informazioni, vedere Rimuovere i dispositivi - ritirare.

La cancellazione selettiva per MAM rimuove semplicemente i dati dell'app aziendale da un'app. La richiesta viene avviata usando l'interfaccia di amministrazione Microsoft Intune. Per informazioni su come avviare una richiesta di cancellazione, vedere Come cancellare solo i dati aziendali dalle app.

Se l'utente usa l'app quando viene avviata la cancellazione selettiva, Intune App SDK verifica ogni 30 minuti una richiesta di cancellazione selettiva dal servizio MAM Intune. Verifica anche la cancellazione selettiva quando l'utente avvia l'app per la prima volta e accede con il proprio account aziendale o dell'istituto di istruzione.

Intune protezione delle app dipende dall'identità dell'utente per essere coerente tra l'applicazione e Intune App SDK. L'unico modo per garantire che è attraverso l'autenticazione moderna. Esistono scenari in cui le app possono funzionare con una configurazione locale, ma non sono coerenti o garantite.

Sì. L'amministratore IT può distribuire e impostare i criteri di protezione delle app per l'app Microsoft Edge. L'amministratore IT può richiedere l'apertura di tutti i collegamenti Web nelle app gestite da Intune tramite l'app Microsoft Edge.

Portale aziendale protezione delle app e delle app Intune

Intune criteri di protezione delle app per l'accesso vengono applicati in un ordine specifico nei dispositivi degli utenti finali mentre tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, un blocco avrà la precedenza e quindi un avviso ignorabile. Ad esempio, se applicabile all'utente o all'app specifica, verrà applicata un'impostazione minima della versione della patch android che avvisa un utente di eseguire un aggiornamento della patch dopo l'impostazione minima della versione della patch Android che blocca l'accesso dell'utente. Quindi, nello scenario in cui l'amministratore IT configura la versione minima della patch Android su 2018-03-01 e la versione minima della patch Android (solo avviso) su 2018-02-01, mentre il dispositivo che tenta di accedere all'app si trovava in una versione di patch 2018-01-01, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima della patch Android che comporta l'accesso bloccato.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'app ha la precedenza, seguito dal requisito della versione del sistema operativo Android e dal requisito della versione della patch android. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine.

Il servizio Intune contatta Google Play a un intervallo non configurata determinato dal carico del servizio. Qualsiasi azione configurata dall'amministratore IT per l'impostazione di controllo dell'integrità del dispositivo di Google Play verrà eseguita in base all'ultimo risultato segnalato al servizio Intune al momento dell'avvio condizionale. Se il risultato dell'integrità del dispositivo di Google è conforme, non viene eseguita alcuna azione. Se il risultato dell'integrità del dispositivo di Google non è conforme, l'azione configurata dall'amministratore IT viene eseguita immediatamente. Se la richiesta al controllo dell'integrità del dispositivo di Google Play non riesce per qualsiasi motivo, il risultato memorizzato nella cache della richiesta precedente verrà usato per un massimo di 24 ore o il successivo riavvio del dispositivo, che viene sempre prima. In quel momento Intune i criteri di protezione delle app bloccano l'accesso fino a quando non è possibile ottenere un risultato corrente.

Le istruzioni su come eseguire questa operazione variano leggermente in base al dispositivo. Il processo generale prevede l'accesso a Google Play Store, quindi fare clic su App personali & giochi, fare clic sul risultato dell'ultima analisi dell'app che ti porterà nel menu Play Protect. Assicurarsi che l'interruttore Per analizzare il dispositivo per individuare le minacce alla sicurezza sia attivato.

Intune applica le API di integrità di Google Play per aggiungere ai controlli di rilevamento radice esistenti per i dispositivi non registrazione. Google ha sviluppato e mantenuto questo set di API per l'adozione delle app Android se non vuole che le app vengano eseguite nei dispositivi rooted. L'app Android Pay l'ha incorporata, ad esempio. Anche se Google non condivide pubblicamente la totalità dei controlli di rilevamento radice che si verificano, ci aspettiamo che queste API rilevino gli utenti che hanno rooted i loro dispositivi. A questi utenti può quindi essere impedito l'accesso o gli account aziendali cancellati dalle app abilitate per i criteri. "Controllare l'integrità di base" indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. "Controllare l'integrità di base & dispositivi certificati" indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. I dispositivi che hanno esito negativo includono:

• Dispositivi che non riescono all'integrità di base
• Dispositivi con un bootloader sbloccato
• Dispositivi con un'immagine/ROM di sistema personalizzata
• Dispositivi che il produttore non ha richiesto o superato la certificazione Google
• Dispositivi con un'immagine di sistema compilata direttamente dai file di origine del programma Open Source Android
• Dispositivi con un'immagine di sistema beta/developer preview

Per informazioni tecniche, vedere la documentazione di Google sull'API Play Integrity .

I controlli dell'API integrità di Google Play richiedono che l'utente finale sia online, almeno durante il momento in cui viene eseguito il "roundtrip" per determinare i risultati dell'attestazione. Se l'utente finale è offline, l'amministratore IT può comunque aspettarsi che venga applicato un risultato dall'impostazione "dispositivi jailbroken/rooted". Detto questo, se l'utente finale è stato offline troppo a lungo, entra in gioco il valore "Periodo di tolleranza offline" e tutti gli accessi ai dati aziendali o dell'istituto di istruzione vengono bloccati una volta raggiunto il valore del timer, fino a quando non è disponibile l'accesso alla rete. L'attivazione di entrambe le impostazioni consente un approccio a più livelli per mantenere integri i dispositivi degli utenti finali, cosa importante quando gli utenti finali accedono ai dati aziendali o dell'istituto di istruzione nei dispositivi mobili.

Entrambe le impostazioni "Play integrity verdict" e "Threat scan on apps" richiedono il corretto funzionamento della versione di Google Play Services determinata da Google. Poiché si tratta di impostazioni che rientrano nell'area di sicurezza, l'utente finale viene bloccato se è interessato a queste impostazioni e non soddisfa la versione appropriata di Google Play Services o non ha accesso a Google Play Services.

Intune criteri di protezione delle app consentono il controllo sull'accesso alle app solo all'utente con licenza Intune. Uno dei modi per controllare l'accesso all'app consiste nel richiedere l'ID tocco di Apple o l'ID viso nei dispositivi supportati. Intune implementa un comportamento in cui, in caso di modifiche al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso. Se l'utente Intune non ha un PIN impostato, viene configurato un PIN Intune.

L'obiettivo è continuare a mantenere i dati dell'organizzazione all'interno dell'app protetti e protetti a livello di app. Questa funzionalità è disponibile solo per iOS/iPadOS e richiede la partecipazione di applicazioni che integrano Intune APP SDK per iOS/iPadOS, versione 9.0.1 o successiva. L'integrazione dell'SDK è necessaria in modo che il comportamento possa essere applicato alle applicazioni di destinazione. Questa integrazione avviene in sequenza e dipende dai team di applicazioni specifici. Alcune app che partecipano includono WXP, Outlook, Managed Browser e Yammer.

Intune criteri di protezione delle app non può controllare l'estensione della condivisione iOS senza gestire il dispositivo. Pertanto, Intune crittografa i dati "aziendali" prima di essere condivisi all'esterno dell'app. È possibile convalidarlo provando ad aprire il file "aziendale" all'esterno dell'app gestita. Il file deve essere crittografato e non può essere aperto all'esterno dell'app gestita.

Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali quando tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, una cancellazione avrebbe la precedenza, seguita da un blocco e quindi da un avviso ignorabile. Ad esempio, se applicabile all'utente/app specifico, verrà applicata un'impostazione minima del sistema operativo iOS/iPadOS che avvisa un utente di aggiornare la versione di iOS/iPadOS dopo l'impostazione minima del sistema operativo iOS/iPadOS che blocca l'accesso dell'utente. Pertanto, nello scenario in cui l'amministratore IT configura il sistema operativo iOS/iPadOS minimo su 11.0.0.0 e il sistema operativo iOS/iPadOS minimo (solo avviso) su 11.1.0.0, mentre il dispositivo che tenta di accedere all'app si trovava in iOS/iPadOS 10, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima del sistema operativo iOS/iPadOS che comporta il blocco dell'accesso.

Quando si gestiscono diversi tipi di impostazioni, un requisito di versione di App SDK Intune avrà la precedenza e quindi un requisito di versione dell'app, seguito dal requisito della versione del sistema operativo iOS/iPadOS. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine. È consigliabile configurare il requisito della versione di Intune App SDK solo in base alle indicazioni del team del prodotto Intune per scenari di blocco essenziali.

Vedere anche

• Distribuire Intune
• Creare un piano di implementazione
• Impostazioni dei criteri di gestione delle app per dispositivi mobili Android in Microsoft Intune
• Impostazioni dei criteri di gestione delle app per dispositivi mobili iOS/iPadOS
• aggiornamento dei criteri di Protezione di app
• Convalidare i criteri di protezione delle app
• Aggiungere criteri di configurazione dell'app per le app gestite senza registrazione di dispositivi
• Come ottenere supporto in Microsoft Intune