Condividi tramite

Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti

  • Articolo

Usare i criteri di configurazione delle app in Microsoft Intune per fornire impostazioni di configurazione personalizzate per un'app iOS/iPadOS. Queste impostazioni di configurazione consentono di personalizzare un'app in base alla direzione dei fornitori di app. È necessario ottenere queste impostazioni di configurazione (chiavi e valori) dal fornitore dell'app. Per configurare l'app, specificare le impostazioni come chiavi e valori o come XML contenente le chiavi e i valori.

In qualità di amministratore di Microsoft Intune, è possibile controllare quali account utente vengono aggiunti alle applicazioni di Microsoft 365 (Office) nei dispositivi gestiti. È possibile limitare l'accesso ai soli account utente autorizzati dell'organizzazione e bloccare gli account personali sui dispositivi registrati. Le applicazioni di supporto elaborano la configurazione delle app e rimuovono e bloccano gli account non approvati. Le impostazioni dei criteri di configurazione vengono usate quando l'app verifica la presenza di queste impostazioni, in genere la prima volta che l'app viene eseguita.

Come parte del processo di aggiunta o aggiornamento di un criterio di configurazione dell'app, l'organizzazione può impostare le assegnazioni per tale criterio. Quando si impostano le assegnazioni per i criteri, è possibile scegliere di usare un filtro e di includere ed escludere i gruppi di utenti per cui si applicano i criteri. Quando si sceglie di includere uno o più gruppi, è possibile scegliere di selezionare gruppi specifici da includere o gruppi predefiniti. I gruppi predefiniti includono Tutti gli utenti, Tutti i dispositivi e Tutti gli utenti + Tutti i dispositivi.

Nota

Intune offre gruppi Tutti gli utenti e Tutti i dispositivi creati in precedenza nella console con ottimizzazioni predefinite per praticità. Si consiglia vivamente di utilizzare questi gruppi per indirizzare tutti gli utenti e tutti i dispositivi, anziché i gruppi "Tutti gli utenti" o "Tutti i dispositivi" eventualmente creati dall'utente.

Dopo aver selezionato i gruppi inclusi per i criteri di configurazione dell'applicazione, è anche possibile scegliere i gruppi specifici da escludere. Per altre informazioni, vedere Includere ed escludere assegnazioni di app in Microsoft Intune.

Consiglio

Questo tipo di criteri è attualmente disponibile solo per i dispositivi che eseguono iOS/iPadOS 8.0 e versioni successive. Supporta i tipi di installazione delle app seguenti:

  • App iOS/iPadOS gestita dall'App Store
  • pacchetto app per iOS

Per altre informazioni sui tipi di installazione dell'app, vedere Come aggiungere un'app a Microsoft Intune. Per ulteriori informazioni su come incorporare la configurazione dell'app nel pacchetto di app .ipa per i dispositivi gestiti, vedere Configurazione dell'app gestita nella documentazione per sviluppatori iOS.

Creare criteri di configurazione delle app

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Scegliere App>Criteri di configurazione delle app>Aggiungi>Dispositivi gestiti. Si noti che è possibile scegliere tra Dispositivi gestiti e App gestite. Per altre informazioni, vedere App che supportano la configurazione delle app.

  3. Nella pagina Informazioni di base impostare i dettagli seguenti:

    • Nome: nome del profilo visualizzato nell'interfaccia di amministrazione di Microsoft Intune.
    • Descrizione: descrizione del profilo visualizzato nell'interfaccia di amministrazione di Microsoft Intune.
    • Tipo di registrazione del dispositivo: questa impostazione è impostata su Dispositivi gestiti.

  4. Selezionare iOS/iPadOS come Piattaforma.

  5. Fare clic su Seleziona app accanto a App di destinazione. Viene visualizzato il riquadro App associata.

  6. Nel riquadro App di destinazione scegliere l'app gestita da associare ai criteri di configurazione e fare clic su OK.

  7. Fare clic su Avanti per visualizzare la pagina Impostazioni.

  8. Nella casella a discesa selezionare il Formato delle impostazioni di configurazione. Selezionare uno dei metodi seguenti per aggiungere informazioni di configurazione:

  9. Fare clic su Avanti per visualizzare la pagina Tag di ambito.

  10. [Facoltativo] È possibile configurare i tag di ambito per i criteri di configurazione dell'app. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  11. Fare clic su Avanti per visualizzare la pagina Assegnazioni.

  12. Nella pagina Assegnazioni selezionare Aggiungi gruppi, Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi per assegnare i criteri di configurazione dell'app. Dopo aver selezionato un gruppo di assegnazioni, è possibile selezionare un filtro per perfezionare l'ambito di assegnazione durante la distribuzione dei criteri di configurazione delle app per i dispositivi gestiti.

    Screenshot della pagina delle assegnazioni dei criteri di configurazione

  13. Selezionare Tutti gli utenti nella casella a discesa.

    Screenshot delle assegnazioni dei criteri - opzione a discesa Tutti gli utenti

  14. [Facoltativo] Fare clic su Modifica filtro per aggiungere un filtro e perfezionare l'ambito di assegnazione.

    Screenshot delle assegnazioni dei criteri - Modifica filtro

  15. Fare clic su Seleziona gruppi da escludere per visualizzare il riquadro correlato.

  16. Scegliere i gruppi da escludere e quindi fare clic su Seleziona.

    Nota

    Quando si aggiunge un gruppo, se per un determinato tipo di assegnazione è già stato incluso un altro gruppo, questo viene preselezionato e non può essere modificato per altri tipi di assegnazione. Pertanto, il gruppo utilizzato non può essere utilizzato come gruppo escluso.

  17. Fare clic su Avanti per visualizzare la pagina Rivedi e crea.

  18. Fai clic su Crea per aggiungere i criteri di configurazione dell'app a Intune.

Usare Progettazione configurazione

Microsoft Intune fornisce impostazioni di configurazione univoche per un'app. È possibile usare progettazione configurazione per le app nei dispositivi registrati o non registrati in Microsoft Intune. La finestra di progettazione consente di configurare chiavi di configurazione e valori specifici che consentono di creare il codice XML sottostante. È inoltre necessario specificare il tipo di dati per ogni valore. Queste impostazioni vengono fornite automaticamente alle app quando vengono installate.

Aggiungere un'impostazione

  1. Per ogni chiave e valore della configurazione, impostare:
    • Chiave di configurazione: chiave con distinzione tra maiuscole e minuscole che identifica in modo univoco la configurazione dell'impostazione specifica.
    • Tipo di valore: tipo di dati del valore di configurazione. I tipi includono Integer, Real, String o Boolean.
    • Valore di configurazione: valore per la configurazione.
  2. Scegliere OK per impostare le impostazioni di configurazione.

Eliminare un'impostazione

  1. Scegliere i puntini di sospensione (...) accanto all'impostazione.
  2. Selezionare Elimina.

I caratteri {{ and }} vengono usati solo dai tipi di token e non devono essere usati per altri scopi.

Consenti solo gli account dell'organizzazione configurati nelle app

In qualità di amministratore di Microsoft Intune, è possibile controllare quali account aziendali o dell'istituto di istruzione vengono aggiunti alle app Microsoft sui dispositivi gestiti. È possibile limitare l'accesso solo agli account utente dell'organizzazione consentiti e bloccare gli account personali all'interno delle app (se supportati) nei dispositivi registrati. Per i dispositivi iOS/iPadOS, usare le coppie chiave/valore seguenti in un criterio di configurazione dell'app Dispositivi gestiti:

Chiave Valori
IntuneMAMAllowedAccountsOnly
  • Abilitato: l'unico account consentito è l'account utente gestito definito dalla chiave IntuneMAMUPN.
  • Disabilitato (o qualsiasi valore senza distinzione tra maiuscole e minuscole che corrisponde a Abilitato): qualsiasi account è abilitato.
IntuneMAMUPN
  • UPN dell'account a cui è consentito l'accesso all'app.
  • Per i dispositivi iscritti a Intune, il token {{userprincipalname}} può essere utilizzato per rappresentare l'account utente iscritto.

Nota

Le seguenti app elaborano la configurazione dell'app di cui sopra e consentono solo gli account dell'organizzazione:

  • Copilot per iOS (28.1.420324001 e versioni successive)
  • Edge per iOS (44.8.7 e versioni successive)
  • Office, Word, Excel, PowerPoint per iOS (2.41 e versioni successive)
  • OneDrive per iOS (10.34 e versioni successive)
  • OneNote per iOS (2.41 e versioni successive)
  • Outlook per iOS (2.99.0 e versioni successive)
  • Teams per iOS (2.0.15 e versioni successive)

Richiedere account dell'organizzazione configurati nelle app

Nei dispositivi registrati, le organizzazioni possono richiedere che l'account aziendale o dell'istituto di istruzione sia connesso alle app Microsoft gestite per ricevere i dati dell'organizzazione da altre app gestite. Si consideri, ad esempio, lo scenario in cui l'utente include allegati nei messaggi di posta elettronica contenuti nel profilo di posta elettronica gestito nel client di posta iOS nativo. Se l'utente tenta di trasferire gli allegati a un'app Microsoft, come Office, gestita nel dispositivo e con queste chiavi applicate, questa configurazione considererà l'allegato trasferito come dati dell'organizzazione, richiedendo l'accesso dell'account aziendale o dell'istituto di istruzione e applicando le impostazioni dei criteri di protezione delle app.

Per i dispositivi iOS/iPadOS, usare le coppie chiave/valore seguenti in un criterio di configurazione dell'app Dispositivi gestiti per ogni app Microsoft:

Chiave Valori
IntuneMAMRequireAccounts
  • Abilitato: l'app richiede all'utente di accedere all'account utente gestito definito dalla chiave IntuneMAMUPN per ricevere i dati dell'organizzazione.
  • Disabilitato (o qualsiasi valore che non corrisponda senza distinzione tra maiuscole e minuscole a Abilitato): non è necessario alcun accesso all'account
IntuneMAMUPN
  • UPN dell'account a cui è consentito l'accesso all'app.
  • Per i dispositivi iscritti a Intune, il token {{userprincipalname}} può essere utilizzato per rappresentare l'account utente iscritto.

Nota

Le app devono essere dotate di Intune APP SDK per iOS versione 12.3.3 o successiva e devono essere indirizzate con un criterio di protezione delle app Intune quando richiedono l'accesso all'account di lavoro o scolastico. All'interno dei criteri di protezione delle app, "Ricevi dati da altre app" deve essere impostato su "Tutte le app con dati dell'organizzazione in ingresso".

Al momento, l'accesso all'app è necessario solo quando sono presenti dati dell'organizzazione in ingresso in un'app di destinazione.

Immettere i dati XML

È possibile digitare o incollare un elenco di proprietà XML contenente le impostazioni di configurazione dell'app per i dispositivi registrati in Intune. Il formato dell'elenco di proprietà XML varia a seconda dell'app che si sta configurando. Per informazioni dettagliate sul formato esatto da usare, contattare il fornitore dell'app.

Intune convalida il formato XML. Tuttavia, Intune non verifica che l'elenco di proprietà XML (PList) funzioni con l'app di destinazione.

Per altre informazioni sugli elenchi di proprietà XML:

Formato di esempio per un file XML di configurazione dell'app

Quando si crea un file di configurazione dell'app, è possibile specificare uno o più dei valori seguenti usando questo formato:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Tipi di dati PList XML supportati

Intune supporta i tipi di dati seguenti in un elenco di proprietà:

  • <integer>
  • <real>
  • <string>
  • <array>
  • <dict>
  • <true/> o <false />

Token usati nell'elenco delle proprietà

Inoltre, Intune supporta i tipi di token seguenti nell'elenco delle proprietà:

  • {{userprincipalname}}—ad esempio, John@contoso.com
  • {{mail}}—ad esempio, John@contoso.com
  • {{partialupn}}—ad esempio, John
  • {{accountid}}—ad esempio, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}—ad esempio, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}—ad esempio, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}—ad esempio, John Doe
  • {{serialnumber}}—ad esempio, F4KN99ZUG5V2 (oer dispositivi iOS/iPadOS)
  • {{serialnumberlast4digits}}—ad esempio, G5V2 (per dispositivi iOS/iPadOS)
  • {{aaddeviceid}}—ad esempio, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}—ad esempio, True (per dispositivi iOS/iPadOS)
  • {{OnPremisesSamAccountName}}—ad esempio, contoso\John

Configurare l'app Portale aziendale per supportare i dispositivi iOS e iPadOS registrati con registrazione automatica del dispositivo

Le iscrizioni automatiche dei dispositivi di Apple non sono compatibili con la versione dell'app store dell'app Portale aziende per impostazione predefinita. Tuttavia, è possibile configurare l'app Portale aziendale per supportare i dispositivi iOS/iPadOS ADE anche quando gli utenti hanno scaricato il portale aziendale dall'App Store seguendo questa procedura.

  1. Nell'interfaccia di amministrazione di Microsoft Intune aggiungere l'app Portale aziendale di Intune, se non è ancora stata aggiunta, passando ad App>Tutte le app>Aggiungi>App iOS Store.

  2. Passare a App>Criteri di configurazione delle app, per creare criteri di configurazione dell'app per l'app Portale aziendale.

  3. Creare un criterio di configurazione dell'app con il codice XML seguente. Per altre informazioni su come creare un criterio di configurazione dell'app e immettere dati XML, vedere Aggiungere criteri di configurazione dell'app per dispositivi iOS/iPadOS gestiti.

    • Usare il Portale aziendale su un dispositivo ADE (Automated Device Enrollment) registrato con affinità utente:

      Nota

      Quando il profilo di registrazione ha "Installa portale aziendale" impostato su sì, Intune esegue automaticamente il push dei criteri di configurazione dell'applicazione seguenti come parte del processo di registrazione iniziale. Questa configurazione non deve essere distribuita manualmente agli utenti o ai dispositivi, in quanto causerebbe un conflitto con il payload già inviato durante l'iscrizione, con il risultato che agli utenti finali verrebbe chiesto di scaricare un nuovo profilo di gestione dopo l'accesso al Portale aziendale (quando non dovrebbero, perché su questi dispositivi è già installato un profilo di gestione).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Usare il portale aziendale in un dispositivo ADE registrato senza affinità utente (noto anche come gestione temporanea del dispositivo):

      Nota

      L'utente che accede al portale aziendale è impostato come utente primario del dispositivo.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Distribuire il portale aziendale nei dispositivi con i criteri di configurazione dell'app destinati ai gruppi desiderati. Assicurarsi di distribuire il criterio solo a gruppi di dispositivi già registrati in ADE.

  5. Indicare agli utenti finali di accedere all'app Portale aziendale quando viene installata automaticamente.

Nota

Quando si aggiunge una configurazione dell'app per consentire l'app Portale aziendale nei dispositivi ADE senza affinità utente, è possibile che si verifichi un STATE Policy Error. A differenza di altre configurazioni dell'app, questa situazione non si applica ogni volta che il dispositivo esegue il check-in. Invece, questa configurazione dell'app è pensata per essere un'operazione una tantum per consentire ai dispositivi esistenti registrati senza affinità utente di ottenere l'affinità utente quando un utente accede al portale aziendale. Questa configurazione dell'app viene rimossa dai criteri in background dopo che è stata applicata correttamente. L'assegnazione dei criteri esisterà, ma non segnalerà l'esito positivo dopo la rimozione della configurazione dell'app in background. Dopo che i criteri di configurazione dell'app sono stati applicati al dispositivo, è possibile annullare l'assegnazione dei criteri.

Monitorare lo stato di configurazione dell'app iOS/iPadOS per dispositivo

Dopo aver assegnato un criterio di configurazione, è possibile monitorare lo stato di configurazione dell'app iOS/iPadOS per ogni dispositivo gestito. Da Microsoft Intunenell’Interfaccia di amministrazione di Microsoft Intune selezionare Dispositivi>Tutti i dispositivi. Nell'elenco dei dispositivi gestiti selezionare un dispositivo specifico per visualizzare un riquadro per il dispositivo. Nel riquadro del dispositivo selezionare Configurazione app.

Informazioni aggiuntive

Passaggi successivi

Continuare ad assegnare e monitorare l'app.