Come creare e assegnare criteri di protezione delle app
Informazioni su come creare e assegnare criteri di protezione delle app (APP) di Microsoft Intune per gli utenti dell'organizzazione. Questo articolo descrive anche come apportare modifiche ai criteri esistenti.
Prima di iniziare
I criteri di protezione delle app possono essere applicati alle app in esecuzione in dispositivi che possono o meno essere gestiti da Intune. Per una descrizione più dettagliata del funzionamento dei criteri di protezione delle app e degli scenari supportati dai criteri di protezione delle app di Intune, vedere Panoramica dei criteri di protezione delle app.
Le scelte disponibili nei criteri di protezione delle app consentono alle organizzazioni di personalizzare la protezione in base alle esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Se si sta cercando un elenco di app che hanno integrato Intune SDK, vedere App protette da Microsoft Intune.
Per informazioni sull'aggiunta delle app line-of-business (LOB) dell'organizzazione a Microsoft Intune per preparare i criteri di protezione delle app, vedere Aggiungere app a Microsoft Intune.
Criteri di protezione delle app per app iOS/iPadOS e Android
Quando si creano criteri di protezione delle app per app iOS/iPadOS e Android, si segue un flusso di processo moderno di Intune che genera un nuovo criterio di protezione delle app. Per informazioni sulla creazione di criteri di protezione delle app per le app di Windows, vedi Impostazioni dei criteri di protezione delle app per Windows.
Creare criteri di protezione delle app iOS/iPadOS o Android
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- Selezionare App>Criteri di protezione app. Questa selezione apre i dettagli dei criteri di protezione delle app , in cui si creano nuovi criteri e si modificano i criteri esistenti.
- Selezionare Crea criterio e selezionare iOS/iPadOS o Android. Viene visualizzato il riquadro Crea criteri.
- Nella pagina Nozioni di base aggiungere i valori seguenti:
Valore | Descrizione |
---|---|
Nome | Nome di questo criterio di protezione delle app. |
Descrizione | [Facoltativo] Descrizione di questo criterio di protezione delle app. |
Fare clic su Avanti per visualizzare la pagina App .
La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.Valore/opzione Descrizione Criteri di destinazione per Nella casella a discesa Criteri di destinazione scegliere di impostare come destinazione i criteri di protezione delle app tutte le app, leapp Microsoft o le app Microsoft di base. - Tutte le app includono tutte le app Microsoft e partner che hanno integrato Intune SDK.
- Microsoft Apps include tutte le app Microsoft che hanno integrato Intune SDK.
- Le app Microsoft principali includono le app seguenti: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, Attività e Word.
App pubbliche Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app pubbliche per selezionare le app pubbliche di destinazione. App personalizzate Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle. Non è possibile scegliere un'app personalizzata per tutte le app pubbliche nello stesso criterio. Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.
Nota
Le app pubbliche sono supportate da Microsoft e dai partner che vengono comunemente usate con Microsoft Intune. Queste app protette di Intune sono abilitate con un set completo di supporto per i criteri di protezione delle applicazioni mobili. Per altre informazioni, vedere App protette da Microsoft Intune. Le app personalizzate sono app line-of-business integrate con Intune SDK o incluse nello strumento di wrapping delle app di Intune. Per altre informazioni, vedere Panoramica di Microsoft Intune App SDK e Preparare le app line-of-business per i criteri di protezione delle app.
Fare clic su Avanti per visualizzare la pagina Protezione dati .
La pagina fornisce impostazioni per controllo di prevenzione della perdita dei dati (DLP) tra cui limitazioni relative alle operazioni di taglio, copia, incolla e salva con nome. Queste impostazioni stabiliscono il modo in cui gli utenti possono interagire con i dati nelle app a cui si applica questo criterio di protezione delle app.Impostazioni di protezione dei dati:
- Protezione dei dati iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Protezione dei dati.
- Protezione dei dati Android : per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Protezione dei dati.
Fare clic su Avanti per visualizzare la pagina Requisiti di accesso .
Questa pagina offre impostazioni che consentono di configurare il PIN e i requisiti delle credenziali che gli utenti devono soddisfare per poter accedere alle app in un contesto lavorativo.Impostazioni dei requisiti di accesso:
- Requisiti di accesso per iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Requisiti di accesso.
- Requisiti di accesso android : per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Requisiti di accesso.
Fare clic su Avanti per visualizzare la pagina Avvio condizionale .
La pagina offre impostazioni per impostare i requisiti di sicurezza per l'accesso per il criterio di protezione delle app. Selezionare un'impostazione e inserire il valore che gli utenti devono soddisfare per accedere all'app aziendale. Selezionare quindi l'azione da eseguire se gli utenti non soddisfano i requisiti. In alcuni casi, è possibile configurare più azioni per un'unica impostazione.Impostazioni di avvio condizionale:
- Avvio condizionale di iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Avvio condizionale.
- Avvio condizionale android: per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Avvio condizionale.
Fare clic su Avanti per visualizzare la pagina Assegnazioni.
La pagina Assegnazioni consente di assegnare i criteri di protezione delle app ai gruppi di utenti. Affinché il criterio abbia effetto, è necessario applicarlo a un gruppo di utenti.Fare clic su Avanti: Rivedi e crea per esaminare i valori e le impostazioni immessi per questo criterio di protezione delle app.
Al termine, fare clic su Crea per creare i criteri di protezione delle app in Intune.
Consiglio
Queste impostazioni dei criteri vengono applicate solo quando si usano app nel contesto di lavoro. Quando gli utenti finali usano l'app per eseguire un'attività personale, non sono interessati da questi criteri. Si noti che quando si crea un nuovo file viene considerato un file personale.
Importante
L'applicazione dei criteri di protezione delle app ai dispositivi esistenti può richiedere tempo. Gli utenti finali visualizzeranno una notifica nel dispositivo quando vengono applicati i criteri di protezione delle app. Applicare i criteri di protezione delle app ai dispositivi prima di applicare regole di accesso condidtional.
Gli utenti finali possono scaricare le app dall'App Store o da Google Play. Per altre informazioni, vedere:
- Dove trovare app aziendali o dell'istituto di istruzione per iOS/iPadOS
- Dove trovare app aziendali o dell'istituto di istruzione per Android
Modificare i criteri esistenti
È possibile modificare un criterio esistente e applicarlo agli utenti di destinazione. Per altre informazioni sui tempi di recapito dei criteri, vedere Informazioni sui tempi di recapito dei criteri di protezione delle app.
Per modificare l'elenco delle app associate ai criteri
Nel riquadro Criteri di protezione delle app selezionare i criteri da modificare.
Nel riquadro Protezione app di Intune selezionare Proprietà.
Accanto alla sezione App denominata App selezionare Modifica.
La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.
Valore/opzione Descrizione App pubbliche Nella casella a discesa Criteri di destinazione scegliere di assegnare i criteri di protezione delle app a Tutte le app pubbliche, App Microsoft o App Microsoft di base. Successivamente, è possibile selezionare Visualizza un elenco delle app destinate a visualizzare un elenco delle app interessate da questo criterio. Se necessario, è possibile scegliere di assegnare le singole app facendo clic su Seleziona app pubbliche.
App personalizzate Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle. Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.
Fare clic su Rivedi e crea per esaminare le app selezionate per questo criterio.
Al termine, fare clic su Salva per aggiornare i criteri di protezione delle app.
Per modificare l'elenco dei gruppi di utenti
Nel riquadro Criteri di protezione delle app selezionare i criteri da modificare.
Nel riquadro Protezione app di Intune selezionare Proprietà.
Accanto alla sezione Assegnazioni selezionareModifica.
Per aggiungere un nuovo gruppo di utenti ai criteri, nella scheda Includi scegliere Seleziona gruppi da includere e selezionare il gruppo di utenti. Scegliere Seleziona per aggiungere il gruppo.
Per escludere un gruppo di utenti, nella scheda Escludi scegliere Seleziona gruppi da escludere e selezionare il gruppo di utenti. Scegliere Seleziona per rimuovere il gruppo di utenti.
Per eliminare i gruppi aggiunti in precedenza, nelle schede Includi o Escludi selezionare i puntini di sospensione (...) e selezionare Elimina.
Fare clic su Rivedi e crea per esaminare i gruppi di utenti selezionati per questo criterio.
Dopo aver completato le modifiche apportate alle assegnazioni, selezionare Salva per salvare la configurazione e distribuire i criteri al nuovo set di utenti. Se si seleziona Annulla prima di salvare la configurazione, verranno eliminate tutte le modifiche apportate alle schede Includi ed Escludi .
Per modificare le impostazioni dei criteri
Nel riquadro Criteri di protezione delle app selezionare i criteri da modificare.
Nel riquadro Protezione app di Intune selezionare Proprietà.
Accanto alla sezione corrispondente alle impostazioni da modificare selezionare Modifica. Modificare quindi le impostazioni in nuovi valori.
Fare clic su Rivedi e crea per esaminare le impostazioni aggiornate per questo criterio.
Selezionare Salva per salvare le modifiche. Ripetere il processo per selezionare un'area di impostazioni e modificare e quindi salvare le modifiche fino al completamento di tutte le modifiche. È quindi possibile chiudere il riquadro Protezione app di Intune - Proprietà .
Criteri di protezione delle app di destinazione in base allo stato di gestione dei dispositivi
In molte organizzazioni è comune consentire agli utenti finali di usare dispositivi gestiti di Gestione dispositivi mobili (MDM) di Intune, ad esempio dispositivi di proprietà dell'azienda, e dispositivi non gestiti protetti solo con criteri di protezione delle app di Intune. I dispositivi non gestiti sono spesso noti come Bring Your Own Devices (BYOD).
Poiché i criteri di protezione delle app di Intune sono destinati all'identità di un utente, le impostazioni di protezione per un utente possono essere applicate sia ai dispositivi registrati (gestiti da MDM) che ai dispositivi non registrati (senza MDM). Pertanto, è possibile impostare come destinazione un criterio di protezione delle app di Intune per i dispositivi iOS/iPadOS e Android registrati o non registrati in Intune usando filtri. Per altre informazioni sulla creazione di filtri, vedere Usare i filtri durante l'assegnazione di criteri . È possibile avere un criterio di protezione per i dispositivi non gestiti in cui sono presenti controlli di prevenzione della perdita dei dati (DLP) rigorosi e un criterio di protezione separato per i dispositivi gestiti MDM, in cui i controlli DLP possono essere un po' più rilassati. Per altre informazioni sul funzionamento dei dispositivi Android Enterprise personali, vedere Criteri di protezione delle app e profili di lavoro.
Per usare questi filtri durante l'assegnazione dei criteri, passare a Criteridiprotezione delle app> nell'interfaccia di amministrazione di Intune e quindi selezionare Crea criteri. È anche possibile modificare un criterio di protezione delle app esistente. Passare alla pagina Assegnazioni e selezionare Modifica filtro per includere o escludere i filtri per il gruppo assegnato.
Tipi di gestione dei dispositivi
Importante
Microsoft Intune sta terminando il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.
-
Non gestito: per i dispositivi iOS/iPadOS, i dispositivi non gestiti sono tutti i dispositivi in cui la gestione MDM di Intune o una soluzione MDM/EMM di terze parti non passa la
IntuneMAMUPN
chiave. Per i dispositivi Android, i dispositivi non gestiti sono dispositivi in cui non è stata rilevata la gestione MDM di Intune. Sono inclusi i dispositivi gestiti da fornitori MDM di terze parti. - Dispositivi gestiti da Intune: i dispositivi gestiti sono gestiti da MDM di Intune.
- Amministratore di dispositivi Android: dispositivi gestiti da Intune usando l'API Amministrazione dispositivi Android.
- Android Enterprise: dispositivi gestiti da Intune con i profili di lavoro Android Enterprise o Android Enterprise Full Device Management.
- Dispositivi dedicati di proprietà dell'azienda Android Enterprise con modalità dispositivo condiviso Microsoft Entra: dispositivi gestiti da Intune che usano dispositivi dedicati Android Enterprise con modalità dispositivo condiviso.
- Dispositivi Android (AOSP) associati all'utente: dispositivi gestiti da Intune che usano la gestione associata all'utente AOSP.
- Dispositivi android (AOSP) senza utente: dispositivi gestiti da Intune che usano dispositivi senza utente AOSP. Questi dispositivi sfruttano anche la modalità dispositivo condiviso di Microsoft Entra.
In Android i dispositivi Android richiederanno di installare l'app Portale aziendale di Intune indipendentemente dal tipo di gestione dei dispositivi scelto. Ad esempio, se si seleziona "Android Enterprise", agli utenti con dispositivi Android non gestiti verrà comunque richiesto.
Per iOS/iPadOS, per applicare il tipo di gestione dei dispositivi ai dispositivi gestiti di Intune, sono necessarie altre impostazioni di configurazione dell'app. Queste impostazioni comunicano con il servizio APP (Criteri di protezione delle app) per indicare che l'app è gestita. Pertanto, le impostazioni dell'APP non verranno applicate fino a quando non si distribuiscono i criteri di configurazione dell'app. Di seguito sono riportate le impostazioni di configurazione dell'app:
- IntuneMAMUPN e IntuneMAMOID devono essere configurati per tutte le applicazioni gestite MDM. Per altre informazioni, vedere Come gestire il trasferimento dei dati tra app iOS/iPadOS in Microsoft Intune.
-
IntuneMAMDeviceID deve essere configurato per tutte le applicazioni gestite MDM line-of-business e di terze parti.
IntuneMAMDeviceID deve essere configurato per il token id dispositivo. Ad esempio,
key=IntuneMAMDeviceID, value={{deviceID}}
. Per altre informazioni, vedere Aggiungere criteri di configurazione delle app per dispositivi iOS/iPadOS gestiti. - Se è configurato solo IntuneMAMDeviceID , l'APP di Intune considererà il dispositivo come non gestito.
Impostazioni dei criteri
Per visualizzare un elenco completo delle impostazioni dei criteri per iOS/iPadOS e Android, selezionare uno dei collegamenti seguenti:
Passaggi successivi
Monitorare la conformità e lo stato dell'utente