Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti

  • Articolo

Usare i criteri di configurazione delle app in Microsoft Intune per fornire impostazioni di configurazione personalizzate per un'app iOS/iPadOS. Queste impostazioni di configurazione consentono di personalizzare un'app in base alla direzione dei fornitori di app. È necessario ottenere queste impostazioni di configurazione (chiavi e valori) dal fornitore dell'app. Per configurare l'app, specificare le impostazioni come chiavi e valori o come XML contenente le chiavi e i valori.

Come amministratore Microsoft Intune, è possibile controllare quali account utente vengono aggiunti alle applicazioni di Microsoft 365 (Office) nei dispositivi gestiti. È possibile limitare l'accesso solo agli account utente dell'organizzazione consentiti e bloccare gli account personali nei dispositivi registrati. Le applicazioni di supporto elaborano la configurazione dell'app e rimuovano e bloccano gli account non approvati. Le impostazioni dei criteri di configurazione vengono usate quando l'app ne verifica la presenza, in genere la prima volta che viene eseguita.

Dopo aver aggiunto un criterio di configurazione dell'app, è possibile impostare le assegnazioni per i criteri di configurazione dell'app. Quando si impostano le assegnazioni per i criteri, è possibile scegliere di usare un filtro e di includere ed escludere i gruppi di utenti per cui si applicano i criteri. Quando si sceglie di includere uno o più gruppi, è possibile scegliere di selezionare gruppi specifici da includere o selezionare gruppi predefiniti. I gruppi predefiniti includono Tutti gli utenti, Tutti i dispositivi e Tutti gli utenti + Tutti i dispositivi.

Nota

Intune fornisce i gruppi Tutti gli utenti e Tutti i dispositivi creati in precedenza nella console con ottimizzazioni predefinite per comodità. È consigliabile usare questi gruppi per tutti gli utenti e tutti i dispositivi anziché i gruppi "Tutti gli utenti" o "Tutti i dispositivi" creati manualmente.

Dopo aver selezionato i gruppi inclusi per i criteri di configurazione dell'applicazione, è anche possibile scegliere i gruppi specifici da escludere. Per altre informazioni, vedere Includere ed escludere assegnazioni di app in Microsoft Intune.

Consiglio

Questo tipo di criteri è attualmente disponibile solo per i dispositivi che eseguono iOS/iPadOS 8.0 e versioni successive. Supporta i tipi di installazione delle app seguenti:

  • App iOS/iPadOS gestita dall'App Store
  • Pacchetto dell'app per iOS

Per altre informazioni sui tipi di installazione dell'app, vedere Come aggiungere un'app a Microsoft Intune. Per altre informazioni sull'incorporazione della configurazione dell'app nel pacchetto dell'app con estensione ipa per i dispositivi gestiti, vedere Managed Configurazione app nella documentazione per sviluppatori iOS.

Creare criteri di configurazione delle app

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Scegliere icriteri>di configurazione delle app>Aggiungere>dispositivi gestiti. Si noti che è possibile scegliere tra Dispositivi gestiti e App gestite. Per altre informazioni, vedere App che supportano la configurazione delle app.

  3. Nella pagina Informazioni di base impostare i dettagli seguenti:

    • Nome: nome del profilo visualizzato nell'interfaccia di amministrazione Microsoft Intune.
    • Descrizione: descrizione del profilo visualizzato nell'interfaccia di amministrazione Microsoft Intune.
    • Tipo di registrazione del dispositivo : questa impostazione è impostata su Dispositivi gestiti.

  4. Selezionare iOS/iPadOS come piattaforma.

  5. Fare clic su Seleziona app accanto a App di destinazione. Viene visualizzato il riquadro App associata .

  6. Nel riquadro App di destinazione scegliere l'app gestita da associare ai criteri di configurazione e fare clic su OK.

  7. Fare clic su Avanti per visualizzare la pagina Impostazioni.

  8. Nella casella a discesa selezionare il formato delle impostazioni di configurazione. Selezionare uno dei metodi seguenti per aggiungere informazioni di configurazione:

  9. Fare clic su Avanti per visualizzare la pagina Tag di ambito.

  10. [Facoltativo] È possibile configurare i tag di ambito per i criteri di configurazione dell'app. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  11. Fare clic su Avanti per visualizzare la pagina Assegnazioni .

  12. Nella pagina Assegnazioni selezionare Aggiungi gruppi, Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi per assegnare i criteri di configurazione dell'app. Dopo aver selezionato un gruppo di assegnazioni, è possibile selezionare un filtro per perfezionare l'ambito di assegnazione durante la distribuzione dei criteri di configurazione delle app per i dispositivi gestiti.

    Screenshot della pagina delle assegnazioni dei criteri di configurazione

  13. Selezionare Tutti gli utenti nella casella a discesa.

    Screenshot dell'opzione a discesa Assegnazioni di criteri - Tutti gli utenti

  14. [Facoltativo] Fare clic su Modifica filtro per aggiungere un filtro e perfezionare l'ambito di assegnazione.

    Screenshot delle assegnazioni dei criteri - Modifica filtro

  15. Fare clic su Seleziona gruppi da escludere per visualizzare il riquadro correlato.

  16. Scegliere i gruppi da escludere e quindi fare clic su Seleziona.

    Nota

    Quando si aggiunge un gruppo, se un altro gruppo è già stato incluso per un determinato tipo di assegnazione, è pre-selezionato e non modificabile per altri tipi di assegnazione di inclusione. Pertanto, il gruppo utilizzato non può essere utilizzato come gruppo escluso.

  17. Fare clic su Avanti per visualizzare la pagina Rivedi e crea.

  18. Fare clic su Crea per aggiungere i criteri di configurazione dell'app a Intune.

Usare Progettazione configurazione

Microsoft Intune fornisce impostazioni di configurazione univoche per un'app. È possibile usare progettazione configurazione per le app nei dispositivi registrati o non registrati in Microsoft Intune. La finestra di progettazione consente di configurare chiavi di configurazione e valori specifici che consentono di creare il codice XML sottostante. È inoltre necessario specificare il tipo di dati per ogni valore. Queste impostazioni vengono fornite automaticamente alle app quando vengono installate.

Aggiungere un'impostazione

  1. Per ogni chiave e valore nella configurazione, impostare:
    • Chiave di configurazione : chiave con distinzione tra maiuscole e minuscole che identifica in modo univoco la configurazione dell'impostazione specifica.
    • Tipo di valore : tipo di dati del valore di configurazione. I tipi includono Integer, Real, String o Boolean.
    • Valore di configurazione : valore per la configurazione.
  2. Scegliere OK per impostare le impostazioni di configurazione.

Eliminare un'impostazione

  1. Scegliere i puntini di sospensione (...) accanto all'impostazione.
  2. Selezionare Elimina.

I caratteri {{ e }} vengono usati solo dai tipi di token e non devono essere usati per altri scopi.

Consenti solo gli account dell'organizzazione configurati nelle app

In qualità di amministratore Microsoft Intune, è possibile controllare quali account aziendali o dell'istituto di istruzione vengono aggiunti alle app Microsoft nei dispositivi gestiti. È possibile limitare l'accesso solo agli account utente dell'organizzazione consentiti e bloccare gli account personali all'interno delle app (se supportati) nei dispositivi registrati. Per i dispositivi iOS/iPadOS, usare le coppie chiave/valore seguenti in un criterio di configurazione dell'app Dispositivi gestiti:

Chiave Valori
IntuneMAMAllowedAccountsOnly
  • Abilitato: l'unico account consentito è l'account utente gestito definito dalla chiave IntuneMAMUPN .
  • Disabilitato (o qualsiasi valore che non corrisponda senza distinzione tra maiuscole e minuscole a Abilitato): qualsiasi account è consentito.
IntuneMAMUPN
  • UPN dell'account a cui è consentito l'accesso all'app.
  • Per Intune dispositivi registrati, il {{userprincipalname}} token può essere usato per rappresentare l'account utente registrato.

Nota

Le app seguenti elaborano la configurazione dell'app precedente e consentono solo gli account dell'organizzazione:

  • Copilot per iOS (28.1.420324001 e versioni successive)
  • Edge per iOS (44.8.7 e versioni successive)
  • Office, Word, Excel, PowerPoint per iOS (2.41 e versioni successive)
  • OneDrive per iOS (10.34 e versioni successive)
  • OneNote per iOS (2.41 e versioni successive)
  • Outlook per iOS (2.99.0 e versioni successive)
  • Teams per iOS (2.0.15 e versioni successive)

Richiedere account dell'organizzazione configurati nelle app

Nei dispositivi registrati, le organizzazioni possono richiedere che l'account aziendale o dell'istituto di istruzione sia connesso alle app Microsoft gestite per ricevere i dati dell'organizzazione da altre app gestite. Si consideri, ad esempio, lo scenario in cui l'utente include allegati nei messaggi di posta elettronica contenuti nel profilo di posta elettronica gestito nel client di posta iOS nativo. Se l'utente tenta di trasferire gli allegati a un'app Microsoft, come Office, gestita nel dispositivo e con queste chiavi applicate, questa configurazione considererà l'allegato trasferito come dati dell'organizzazione, richiedendo l'accesso dell'account aziendale o dell'istituto di istruzione e applicando le impostazioni dei criteri di protezione delle app.

Per i dispositivi iOS/iPadOS, usare le coppie chiave/valore seguenti in un criterio di configurazione dell'app Dispositivi gestiti per ogni app Microsoft:

Chiave Valori
IntuneMAMRequireAccounts
  • Abilitato: l'app richiede all'utente di accedere all'account utente gestito definito dalla chiave IntuneMAMUPN per ricevere i dati dell'organizzazione.
  • Disabilitato (o qualsiasi valore che non corrisponda senza distinzione tra maiuscole e minuscole a Abilitato): non è necessario alcun accesso all'account
IntuneMAMUPN
  • UPN dell'account a cui è consentito l'accesso all'app.
  • Per Intune dispositivi registrati, il {{userprincipalname}} token può essere usato per rappresentare l'account utente registrato.

Nota

Le app devono avere Intune APP SDK per iOS versione 12.3.3 o successiva e devono essere destinate a criteri di protezione delle app Intune quando è necessario accedere all'account aziendale o dell'istituto di istruzione. All'interno dei criteri di protezione delle app, "Ricevi dati da altre app" deve essere impostato su "Tutte le app con dati dell'organizzazione in ingresso".

Al momento, l'accesso all'app è necessario solo quando sono presenti dati dell'organizzazione in ingresso in un'app di destinazione.

Immettere i dati XML

È possibile digitare o incollare un elenco di proprietà XML contenente le impostazioni di configurazione dell'app per i dispositivi registrati in Intune. Il formato dell'elenco di proprietà XML varia a seconda dell'app che si sta configurando. Per informazioni dettagliate sul formato esatto da usare, contattare il fornitore dell'app.

Intune convalida il formato XML. Tuttavia, Intune non verifica che l'elenco di proprietà XML (PList) funzioni con l'app di destinazione.

Per altre informazioni sugli elenchi di proprietà XML:

Formato di esempio per un file XML di configurazione dell'app

Quando si crea un file di configurazione dell'app, è possibile specificare uno o più dei valori seguenti usando questo formato:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Tipi di dati PList XML supportati

Intune supporta i tipi di dati seguenti in un elenco di proprietà:

  • <Intero>
  • <Reale>
  • <Stringa>
  • <Matrice>
  • <dict>
  • <true/> o <false />

Token usati nell'elenco delle proprietà

Inoltre, Intune supporta i tipi di token seguenti nell'elenco delle proprietà:

  • {{userprincipalname}}, ad esempio John@contoso.com
  • {{mail}}, ad esempio John@contoso.com
  • {{partialupn}}, ad esempio John
  • {{accountid}}, ad esempio fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}, ad esempio b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}, ad esempio 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}, ad esempio John Doe
  • {{serialnumber}}, ad esempio F4KN99ZUG5V2 (per i dispositivi iOS/iPadOS)
  • {{serialnumberlast4digits}}, ad esempio G5V2 (per dispositivi iOS/iPadOS)
  • {{aaddeviceid}}, ad esempio ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}, ad esempio True (per i dispositivi iOS/iPadOS)

Configurare l'app Portale aziendale per supportare i dispositivi iOS e iPadOS registrati con registrazione automatica dei dispositivi

Per impostazione predefinita, le registrazioni automatiche dei dispositivi di Apple non sono compatibili con la versione dell'App Store dell'app Portale aziendale. È tuttavia possibile configurare l'app Portale aziendale per supportare i dispositivi iOS/iPadOS ADE anche quando gli utenti hanno scaricato il Portale aziendale dal App Store seguendo questa procedura.

  1. Nell'interfaccia di amministrazione di Microsoft Intune aggiungere l'app Portale aziendale Intune, se non è ancora stata aggiunta, passando ad App>Tutte le app>Aggiungi> appdi iOS Store.

  2. Passare a Criteri diconfigurazione delle app per le app> per creare un criterio di configurazione dell'app per l'app Portale aziendale.

  3. Creare un criterio di configurazione dell'app con il codice XML seguente. Per altre informazioni su come creare un criterio di configurazione dell'app e immettere dati XML, vedere Aggiungere criteri di configurazione dell'app per dispositivi iOS/iPadOS gestiti.

    • Usare il Portale aziendale in un dispositivo registrazione automatica del dispositivo registrato con affinità utente:

      Nota

      Quando il profilo di registrazione ha "Installa Portale aziendale" impostato su sì, Intune esegue automaticamente il push dei criteri di configurazione dell'applicazione seguenti come parte del processo di registrazione iniziale. Questa configurazione non deve essere distribuita manualmente agli utenti o ai dispositivi in quanto ciò causerà un conflitto con il payload già inviato durante la registrazione, causando la richiesta agli utenti finali di scaricare un nuovo profilo di gestione dopo l'accesso a Portale aziendale (quando non dovrebbero, perché in questi dispositivi è già installato un profilo di gestione).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Usare il Portale aziendale in un dispositivo ADE registrato senza affinità utente (noto anche come Gestione temporanea dispositivi):Use the Portale aziendale on a ADE device enrolled without user affinity (noto anche come Device Staging):

      Nota

      L'utente che accede a Portale aziendale è impostato come utente primario del dispositivo.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Distribuire il Portale aziendale nei dispositivi con i criteri di configurazione dell'app destinati ai gruppi desiderati. Assicurarsi di distribuire i criteri solo ai gruppi di dispositivi già registrati.

  5. Indicare agli utenti finali di accedere all'app Portale aziendale quando viene installata automaticamente.

Nota

Quando si aggiunge una configurazione dell'app per consentire l'app Portale aziendale nei dispositivi ADE senza affinità utente, è possibile che si verifichi un STATE Policy Errorerrore . A differenza di altre configurazioni dell'app, questa situazione non si applica ogni volta che il dispositivo esegue il check-in. Invece, questa configurazione dell'app è pensata per essere un'operazione una tantum per abilitare i dispositivi esistenti registrati senza affinità utente per ottenere l'affinità utente quando un utente accede al Portale aziendale. Questa configurazione dell'app viene rimossa dai criteri in background dopo che è stata applicata correttamente. L'assegnazione dei criteri esisterà, ma non segnalerà l'esito positivo dopo la rimozione della configurazione dell'app in background. Dopo che i criteri di configurazione dell'app sono stati applicati al dispositivo, è possibile annullare l'assegnazione dei criteri.

Monitorare lo stato di configurazione dell'app iOS/iPadOS per dispositivo

Dopo aver assegnato un criterio di configurazione, è possibile monitorare lo stato di configurazione dell'app iOS/iPadOS per ogni dispositivo gestito. Da Microsoft Intune nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>tutti i dispositivi. Nell'elenco dei dispositivi gestiti selezionare un dispositivo specifico per visualizzare un riquadro per il dispositivo. Nel riquadro del dispositivo selezionare Configurazione app.

Informazioni aggiuntive

Passaggi successivi

Continuare ad assegnare e monitorare l'app.