Impostazioni dei criteri di protezione delle app Android in Microsoft Intune
Questo articolo descrive le impostazioni dei criteri di protezione delle app per i dispositivi Android. Le impostazioni dei criteri descritte possono essere configurate per un criterio di protezione delle app nel riquadro Impostazioni del portale. Esistono tre categorie di impostazioni dei criteri: impostazioni di protezione dei dati, requisiti di accesso e avvio condizionale. In questo articolo il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.
Importante
Il Portale aziendale Intune è necessario nel dispositivo per ricevere i criteri di protezione delle app per i dispositivi Android.
Il Intune Managed Browser è stato ritirato. Usare Microsoft Edge per l'esperienza del browser Intune protetta.
Protezione dei dati
Trasferimento dati
| Impostazione | Come si usa | Valore predefinito |
|---|---|---|
| Eseguire il backup dei dati dell'organizzazione nei servizi di backup Android | Selezionare Blocca per impedire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione nel servizio Backup Android. Selezionare Consenti per consentire a questa app di eseguire il backup dei dati aziendali o dell'istituto di istruzione. |
Consenti |
| Inviare dati dell'organizzazione ad altre app | Specificare quali app possono ricevere dati da questa app:
Esistono alcune app e servizi esenti a cui Intune possono consentire il trasferimento dei dati per impostazione predefinita. Inoltre, è possibile creare esenzioni personalizzate se è necessario consentire il trasferimento dei dati a un'app che non supporta Intune'APP. Per altre informazioni, vedere Esenzioni per il trasferimento dei dati. Questo criterio può essere applicato anche ai collegamenti alle app Android. I collegamenti Web generali vengono gestiti dall'impostazione dei criteri Apri collegamenti all'app in Intune Managed Browser. Nota Intune attualmente non supporta la funzionalità App istantanee Android. Intune bloccherà qualsiasi connessione dati da o verso l'app. Per altre informazioni, vedere App istantanee Android nella documentazione per sviluppatori Android. Se l'opzione Invia dati dell'organizzazione ad altre app è configurata in Tutte le app, i dati di testo potrebbero comunque essere trasferiti tramite condivisione del sistema operativo negli Appunti. |
Tutte le app |
|
Questa opzione è disponibile quando si seleziona App gestite da criteri per l'opzione precedente. | |
|
Scegliere Blocca per disabilitare l'uso dell'opzione Salva con nome in questa app. Scegliere Consenti se si vuole consentire l'uso di Salva con nome. Se impostato su Blocca, è possibile configurare l'impostazione Consenti all'utente di salvare copie nei servizi selezionati. Nota:
|
Consenti |
|
Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint, Raccolta foto, Box e Archiviazione locale). Tutti gli altri servizi verranno bloccati. | 0 selezionato |
|
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, un'app dialer si aprirà con il numero di telefono prepopolato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
|
Qualsiasi app dialer |
|
Quando è stata selezionata un'app dialer specifica, è necessario specificare l'ID pacchetto dell'app. | Blank |
|
Quando è stata selezionata un'app dialer specifica, è necessario specificare il nome dell'app dialer. | Blank |
|
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, un'app dialer si aprirà con il numero di telefono prepopolato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri. Per questa impostazione, scegliere come gestire questo tipo di trasferimento di contenuto quando viene avviato da un'app gestita da criteri:
|
Qualsiasi app di messaggistica |
|
Quando è stata selezionata un'app di messaggistica specifica, è necessario specificare l'ID pacchetto dell'app. | Blank |
|
Quando è stata selezionata un'app di messaggistica specifica, è necessario specificare il nome dell'app di messaggistica. | Blank |
| Ricevere dati da altre app | Specificare quali app possono trasferire i dati all'app:
Esistono alcune app e servizi esenti da cui Intune possono consentire il trasferimento dei dati. Per un elenco completo di app e servizi, vedere Esenzioni per il trasferimento dei dati. |
Tutte le app |
|
Selezionare Blocca per disabilitare l'uso dell'opzione Apri o di altre opzioni per condividere i dati tra account in questa app. Selezionare Consenti se si vuole consentire l'uso di Open. Se impostato su Blocca , è possibile configurare l'opzione Consenti all'utente di aprire i dati dai servizi selezionati a specifici servizi consentiti per le posizioni dei dati dell'organizzazione. Nota:
|
Consenti |
|
Selezionare i servizi di archiviazione delle applicazioni da cui gli utenti possono aprire i dati. Tutti gli altri servizi sono bloccati. La selezione di nessun servizio impedirà agli utenti di aprire i dati. Servizi supportati:
|
Tutte le opzioni selezionate |
| Limitare il taglio, copiare e incollare tra altre app | Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app. Scegliere tra:
|
Qualsiasi app |
|
Specificare il numero di caratteri che possono essere tagliati o copiati dai dati e dagli account dell'organizzazione. Ciò consentirà la condivisione del numero specificato di caratteri quando sarebbe altrimenti bloccato dall'impostazione "Limita taglia, copia e incolla con altre app". Valore predefinito = 0 Nota: richiede Portale aziendale Intune versione 5.0.4364.0 o successiva. |
0 |
| Acquisizione dello schermo e Google Assistant | Selezionare Blocca per bloccare l'acquisizione dello schermo, bloccare Circle to Search e bloccare Google Assistant che accede ai dati dell'organizzazione nel dispositivo quando si usa questa app. La scelta di Blocca sfocerà anche l'immagine di anteprima del commutatore di app quando si usa questa app con un account aziendale o dell'istituto di istruzione. Nota: Google Assistant può essere accessibile agli utenti per scenari che non accedono ai dati dell'organizzazione. |
Blocca |
| Tastiere approvate | Selezionare Richiedi e quindi specificare un elenco di tastiere approvate per questo criterio. Gli utenti che non usano una tastiera approvata ricevono una richiesta di download e installazione di una tastiera approvata prima di poter usare l'app protetta. Questa impostazione richiede che l'app disponga dell'SDK Intune per Android versione 6.2.0 o successiva. |
Non richiesto |
|
Questa opzione è disponibile quando si seleziona Richiedi per l'opzione precedente. Scegliere Seleziona per gestire l'elenco di tastiere e metodi di input che possono essere usati con le app protette da questo criterio. È possibile aggiungere tastiere aggiuntive all'elenco e rimuovere una delle opzioni predefinite. Per salvare l'impostazione, è necessario disporre di almeno una tastiera approvata. Nel corso del tempo, Microsoft può aggiungere tastiere aggiuntive all'elenco per i nuovi criteri di protezione delle app, che richiederanno agli amministratori di esaminare e aggiornare i criteri esistenti in base alle esigenze. Per aggiungere una tastiera, specificare:
Nota: Un utente a cui sono stati assegnati più criteri di protezione delle app potrà usare solo le tastiere approvate comuni a tutti i criteri. |
Crittografia
| Impostazione | Come si usa | Valore predefinito |
|---|---|---|
| Crittografare i dati dell'organizzazione | Scegliere Richiedi per abilitare la crittografia dei dati aziendali o dell'istituto di istruzione in questa app. Intune usa uno schema di crittografia AES wolfSSL a 256 bit insieme al sistema Android Keystore per crittografare in modo sicuro i dati dell'app. I dati vengono crittografati in modo sincrono durante le attività di I/O dei file. Il contenuto nell'archiviazione del dispositivo è sempre crittografato e può essere aperto solo dalle app che supportano i criteri di protezione delle app di Intune e a cui sono assegnati criteri. I nuovi file verranno crittografati con chiavi a 256 bit. I file crittografati a 128 bit esistenti verranno sottoposti a un tentativo di migrazione a chiavi a 256 bit, ma il processo non è garantito. I file crittografati con chiavi a 128 bit rimarranno leggibili. Il metodo di crittografia è convalidato da FIPS 140-2; per altre informazioni, vedere wolfCrypt FIPS 140-2 e FIPS 140-3. |
Richiedere |
|
Selezionare Richiedi per applicare la crittografia dei dati dell'organizzazione con Intune crittografia a livello di app in tutti i dispositivi. Selezionare Non obbligatorio per non applicare la crittografia dei dati dell'organizzazione con Intune crittografia a livello di app nei dispositivi registrati. | Richiedere |
Funzionalità
| Impostazione | Come si usa | Valore predefinito |
|---|---|---|
| Sincronizzare i dati delle app gestite da criteri con app o componenti aggiuntivi nativi | Scegliere Blocca per impedire alle app gestite da criteri di salvare i dati nelle app native del dispositivo (contatti, calendario e widget) e per impedire l'uso di componenti aggiuntivi all'interno delle app gestite da criteri. Se non è supportato dall'applicazione, sarà consentito il salvataggio dei dati nelle app native e l'uso di componenti aggiuntivi. Se si sceglie Consenti, l'app gestita da criteri può salvare i dati nelle app native o usare i componenti aggiuntivi, se tali funzionalità sono supportate e abilitate all'interno dell'app gestita da criteri. Le applicazioni possono fornire controlli aggiuntivi per personalizzare il comportamento di sincronizzazione dei dati in app native specifiche o non rispettare questo controllo. Nota: quando si esegue una cancellazione selettiva per rimuovere i dati aziendali o dell'istituto di istruzione dall'app, i dati sincronizzati direttamente dall'app gestita dai criteri all'app nativa vengono rimossi. Tutti i dati sincronizzati dall'app nativa a un'altra origine esterna non verranno cancellati. Nota: le app seguenti supportano questa funzionalità:
|
Consenti |
| Stampa dei dati dell'organizzazione | Scegliere Blocca per impedire all'app di stampare dati aziendali o dell'istituto di istruzione. Se si lascia questa impostazione su Consenti, il valore predefinito, gli utenti potranno esportare e stampare tutti i dati dell'organizzazione. | Consenti |
| Limitare il trasferimento di contenuto Web con altre app | Specificare la modalità di apertura del contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri. Scegliere tra:
Browser gestiti da criteri In Android gli utenti finali possono scegliere tra altre app gestite da criteri che supportano i collegamenti http/https se non è installato né Intune Managed Browser né Microsoft Edge. Se è necessario un browser gestito da criteri ma non è installato, agli utenti finali verrà richiesto di installare Microsoft Edge. Se è necessario un browser gestito da criteri, i collegamenti alle app Android vengono gestiti dall'impostazione dei criteri Consenti all'app di trasferire dati ad altre app .
Intune registrazione del dispositivo
Microsoft Edge gestito da criteri |
Non configurata |
|
Immettere l'ID applicazione per un singolo browser. Il contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri verrà aperto nel browser specificato. Il contenuto Web non verrà gestito nel browser di destinazione. | Blank |
|
Immettere il nome dell'applicazione per il browser associato all'ID del browser non gestito. Questo nome verrà visualizzato agli utenti se il browser specificato non è installato. | Blank |
| Notifiche dei dati dell'organizzazione | Specificare la quantità di dati dell'organizzazione condivisi tramite le notifiche del sistema operativo per gli account dell'organizzazione. Questa impostazione dei criteri influirà sul dispositivo locale e su tutti i dispositivi connessi, ad esempio dispositivi indossabili e altoparlanti intelligenti. Le app possono fornire controlli aggiuntivi per personalizzare il comportamento delle notifiche o scegliere di non rispettare tutti i valori. Seleziona da:
Nota: questa impostazione richiede il supporto dell'app:
|
Consenti |
Esenzioni per il trasferimento dei dati
Esistono alcune app e servizi della piattaforma esenti che Intune criteri di protezione delle app consentono il trasferimento dei dati da e verso. Ad esempio, tutte le app gestite da Intune in Android devono essere in grado di trasferire dati da e verso il riconoscimento vocale di Google, in modo che il testo dallo schermo del dispositivo mobile possa essere letto ad alta voce. Questo elenco è soggetto a modifiche e riflette i servizi e le app considerati utili per una produttività sicura.
Esenzioni complete
Queste app e questi servizi sono completamente consentiti per il trasferimento dei dati da e verso le app gestite da Intune.
| Nome app/servizio | Descrizione |
|---|---|
| com.android.phone | App per telefoni nativa |
| com.android.vending | Google Play Store |
| com.google.android.webview | WebView, che è necessario per molte app tra cui Outlook. |
| com.android.webview | Webview, che è necessario per molte app tra cui Outlook. |
| com.google.android.tts | Sintesi vocale di Google |
| com.android.providers.settings | Impostazioni di sistema Android |
| com.android.settings | Impostazioni di sistema Android |
| com.azure.authenticator | App Azure Authenticator, necessaria per l'autenticazione corretta in molti scenari. |
| com.microsoft.windowsintune.companyportal | Portale aziendale di Intune |
| com.android.providers.contacts | App contatti nativa |
Esenzioni condizionali
Queste app e servizi sono consentiti solo per il trasferimento dei dati da e verso le app gestite da Intune in determinate condizioni.
| Nome app/servizio | Descrizione | Condizione di esenzione |
|---|---|---|
| com.android.chrome | Browser Google Chrome | Chrome viene usato per alcuni componenti WebView in Android 7.0 e non è mai nascosto alla visualizzazione. Il flusso di dati da e verso l'app, tuttavia, è sempre limitato. |
| com.skype.raider | Skype | L'app Skype è consentita solo per determinate azioni che comportano una chiamata telefonica. |
| com.android.providers.media | Provider di contenuti multimediali Android | Il provider di contenuti multimediali è consentito solo per l'azione di selezione della suoneria. |
| com.google.android.gms; com.google.android.gsf | Pacchetti di Google Play Services | Questi pacchetti sono consentiti per le azioni di Google Cloud Messaging, ad esempio le notifiche push. |
| com.google.android.apps.maps | Google Maps | Gli indirizzi sono consentiti per lo spostamento. |
| com.android.documentsui | Selezione documenti Android | Consentito durante l'apertura o la creazione di un file. |
| com.google.android.documentsui | Selezione documenti Android (Android 10+) | Consentito durante l'apertura o la creazione di un file. |
Per altre informazioni, vedere Eccezioni dei criteri di trasferimento dati per le app.
Requisiti di accesso
| Impostazione | Come si usa |
|---|---|
| PIN per l'accesso | Selezionare Richiedi per richiedere un PIN per usare questa app. All'utente viene richiesto di configurare questo PIN la prima volta che esegue l'app in un contesto aziendale o dell'istituto di istruzione. Valore predefinito = Require È possibile configurare l'intensità del PIN usando le impostazioni disponibili nella sezione PIN per l'accesso. Nota: Gli utenti finali autorizzati ad accedere all'app possono reimpostare il PIN dell'app. Questa impostazione potrebbe non essere visibile in alcuni casi nei dispositivi Android. I dispositivi Android hanno una limitazione massima di quattro scorciatoie disponibili. Quando è stato raggiunto il massimo, l'utente finale deve rimuovere eventuali collegamenti personalizzati (o accedere al collegamento da un'altra visualizzazione dell'app gestita) per visualizzare il collegamento al PIN dell'app di reimpostazione. In alternativa, l'utente finale potrebbe aggiungere il collegamento alla home page. |
Tipo DI PIN |
Impostare un requisito per i PIN di tipo numerico o passcode prima di accedere a un'app a cui sono applicati criteri di protezione delle app. I requisiti numerici riguardano solo numeri, mentre un passcode può essere definito con almeno 1 lettera alfabetica o almeno 1 carattere speciale. Valore predefinito = numerico Nota: I caratteri speciali consentiti includono i caratteri speciali e i simboli sulla tastiera in lingua inglese Android. |
|
Selezionare Consenti per consentire agli utenti di usare sequenze PIN semplici come 1234, 1111, abcd o aaaa. Selezionare Blocchi per impedire l'uso di sequenze semplici. Le sequenze semplici vengono archiviate in finestre scorrevoli di 3 caratteri. Se block è configurato, 1235 o 1112 non verrebbe accettato come PIN impostato dall'utente finale, ma 1122 sarebbe consentito. Valore predefinito = Consenti Nota: Se il PIN di tipo passcode è configurato e il PIN semplice è impostato su Consenti, l'utente deve includere almeno una lettera o almeno un carattere speciale nel PIN. Se il PIN di tipo passcode è configurato e il PIN semplice è impostato su Blocca, l'utente ha bisogno di almeno un numero e una lettera e almeno un carattere speciale nel PIN. |
|
Specificare il numero minimo di cifre in una sequenza DI PIN. Valore predefinito = 4 |
|
Selezionare Consenti per consentire all'utente di usare la biometria per autenticare gli utenti nei dispositivi Android. Se consentito, la biometria viene usata per accedere all'app in dispositivi Android 10 o versioni successive. |
|
Per usare questa impostazione, selezionare Richiedi e quindi configurare un timeout di inattività. Valore predefinito = Require |
|
Specificare un tempo in minuti dopo il quale un passcode o un PIN numerico (come configurato) sostituirà l'uso di una biometria. Questo valore di timeout deve essere maggiore del valore specificato in "Ricontrollare i requisiti di accesso dopo (minuti di inattività)". Valore predefinito = 30 |
|
Selezionare Richiedi per richiedere all'utente di accedere con la biometria di classe 3. Per altre informazioni sulla biometria di classe 3, vedere Biometria nella documentazione di Google. |
|
Selezionare Richiedi per ignorare l'uso della biometria con PIN quando viene rilevata una modifica della biometria.
NOTA: |
|
Selezionare Sì per richiedere agli utenti di modificare il PIN dell'app dopo un determinato periodo di tempo, espresso in giorni. Se impostato su Sì, si configura il numero di giorni prima che sia necessaria la reimpostazione del PIN. Valore predefinito = No |
|
Configurare il numero di giorni prima che sia necessaria la reimpostazione del PIN. Valore predefinito = 90 |
|
Questa impostazione specifica il numero di PIN precedenti che Intune gestiranno. I nuovi PIN devono essere diversi da quelli che Intune mantiene. Valore predefinito = 0 |
|
Selezionare Non necessario per disabilitare il PIN dell'app quando viene rilevato un blocco del dispositivo in un dispositivo registrato con Portale aziendale configurato. Valore predefinito = Require. |
| Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso | Scegliere Richiedi per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione invece di immettere un PIN per l'accesso all'app. Quando è impostato su Richiedi e vengono attivati pin o richieste biometriche, vengono visualizzate sia le credenziali aziendali che il PIN o i prompt biometrici. Valore predefinito = Non obbligatorio |
| Ricontrollare i requisiti di accesso dopo (minuti di inattività) | Configurare l'impostazione seguente:
|
Nota
Per altre informazioni sul funzionamento di più impostazioni di protezione delle app Intune configurate nella sezione Access per lo stesso set di app e utenti in Android, vedere Intune domande frequenti di MAM e cancellare in modo selettivo i dati usando le azioni di accesso ai criteri di protezione delle app in Intune.
Avvio condizionale
Configurare le impostazioni di avvio condizionale per impostare i requisiti di sicurezza di accesso per i criteri di protezione delle app.
Per impostazione predefinita, vengono fornite diverse impostazioni con valori e azioni preconfigurati. È possibile eliminare alcune impostazioni, ad esempio la versione minima del sistema operativo. È anche possibile selezionare impostazioni aggiuntive nell'elenco a discesa Seleziona uno .
Condizioni dell'app
| Impostazione | Come si usa |
|---|---|
| Numero massimo di tentativi di PIN | Specificare il numero di tentativi che l'utente deve immettere correttamente il PIN prima che venga eseguita l'azione configurata. Se l'utente non riesce a immettere correttamente il PIN dopo il numero massimo di tentativi di PIN, l'utente deve reimpostare il pin dopo aver eseguito correttamente l'accesso al proprio account e aver completato una richiesta di autenticazione a più fattori (MFA), se necessario. Questo formato di impostazione dei criteri supporta un numero intero positivo.
Le azioni includono:
|
| Periodo di prova offline | Numero di minuti in cui le app gestite possono essere eseguite offline. Specificare il tempo (in minuti) prima che i requisiti di accesso per l'app vengano ricontrollati.
Le azioni includono:
|
| Versione minima dell'app | Specificare un valore per il valore minimo della versione dell'applicazione.
Le azioni includono:
Questa voce può essere visualizzata più volte, con ogni istanza che supporta un'azione diversa. Questo formato di impostazione dei criteri supporta major.minor, major.minor.build, major.minor.build.revision. Inoltre, è possibile configurare la posizione in cui gli utenti finali possono ottenere una versione aggiornata di un'app line-of-business (LOB). Questo aspetto verrà visualizzato dagli utenti finali nella finestra di dialogo di avvio condizionale versione minima dell'app , che richiederà agli utenti finali di eseguire l'aggiornamento a una versione minima dell'app LOB. In Android questa funzionalità usa il Portale aziendale. Per configurare la posizione in cui un utente finale deve aggiornare un'app lob, l'app deve inviare un criterio di configurazione dell'app gestita con la chiave . com.microsoft.intune.myappstore Il valore inviato definirà da quale archivio l'utente finale scaricherà l'app. Se l'app viene distribuita tramite il Portale aziendale, il valore deve essere CompanyPortal. Per qualsiasi altro archivio, è necessario immettere un URL completo. |
| Account disabilitato | Non è necessario impostare alcun valore per questa impostazione.
Le azioni includono:
|
| Orario non lavorativo | Non è necessario impostare alcun valore per questa impostazione.
Le azioni includono:
Le app seguenti supportano questa funzionalità con Portale aziendale versione 5.0.5849.0 o successiva:
|
Condizioni del dispositivo
| Impostazione | Come si usa |
|---|---|
| Dispositivi jailbroken/rooted | Specificare se bloccare l'accesso al dispositivo o cancellare i dati del dispositivo per i dispositivi jailbroken/rooted.
Le azioni includono:
|
| Versione minima del sistema operativo | Specificare un sistema operativo Android minimo necessario per usare questa app. Le versioni del sistema operativo sotto la versione minima del sistema operativo specificata attiveranno le azioni.
Le azioni includono:
|
| Versione massima del sistema operativo | Specificare un sistema operativo Android massimo necessario per usare questa app. Le versioni del sistema operativo sotto la versione max del sistema operativo specificata attiveranno le azioni.
Le azioni includono:
|
| Versione minima patch | Richiedi che i dispositivi dispongano di una patch di sicurezza Android minima rilasciata da Google.
|
| Produttori di dispositivi | Specificare un elenco di produttori separati da punto e virgola. Questi valori non fanno distinzione tra maiuscole e minuscole.
Le azioni includono:
|
| Verdetto integrità riproduzione | Protezione di app criteri supportano alcune API di integrità di Google Play. Questa impostazione, in particolare, configura il controllo dell'integrità play di Google nei dispositivi degli utenti finali per convalidare l'integrità di tali dispositivi. Specificare Integrità di base o Integrità di base e integrità del dispositivo. L'integrità di base indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. L'integrità di base & dispositivi certificati indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. Se si seleziona Verdetto integrità riproduzione come richiesto per l'avvio condizionale, è possibile specificare che come tipo di valutazione viene usato un controllo di integrità avanzata. La presenza di un controllo di integrità sicuro come tipo di valutazione indicherà una maggiore integrità di un dispositivo. I dispositivi che non supportano controlli di integrità avanzati verranno bloccati dai criteri MAM se sono destinati a questa impostazione. Il controllo dell'integrità avanzata fornisce un rilevamento radice più affidabile in risposta ai tipi più recenti di strumenti e metodi di rooting che non sempre possono essere rilevati in modo affidabile da una soluzione solo software. All'interno dell'APP, l'attestazione hardware verrà abilitata impostando il tipo di valutazione del verdetto di integrità della riproduzione su Verifica integrità avanzata dopo aver configurato il verdetto sull'integrità di riproduzione e il tipo di valutazione SafetyNet richiesto su Verifica integrità avanzata dopo la configurazione del controllo dell'integrità del dispositivo . L'attestazione basata su hardware sfrutta un componente basato su hardware fornito con dispositivi installati con Android 8.1 e versioni successive. È improbabile che i dispositivi aggiornati da una versione precedente di Android ad Android 8.1 abbiano i componenti basati su hardware necessari per l'attestazione basata su hardware. Anche se questa impostazione deve essere ampiamente supportata a partire dai dispositivi forniti con Android 8.1, Microsoft consiglia vivamente di testare i dispositivi singolarmente prima di abilitare questa impostazione di criteri su larga scala. Importante: I dispositivi che non supportano questo tipo di valutazione verranno bloccati o cancellati in base all'azione di controllo dell'integrità del dispositivo. Le organizzazioni che desiderano usare questa funzionalità dovranno assicurarsi che gli utenti dispongano di dispositivi supportati. Per altre informazioni sui dispositivi consigliati da Google, vedere Requisiti consigliati per Android Enterprise.
Le azioni includono:
|
| Richiedere l'analisi delle minacce nelle app | Protezione di app criteri supportano alcune API di Google Play Protect. Questa impostazione garantisce in particolare che l'analisi verifica app di Google sia attivata per i dispositivi degli utenti finali. Se configurato, all'utente finale verrà impedito l'accesso fino a quando non attiva l'analisi delle app di Google nel dispositivo Android.
Le azioni includono:
|
| Tipo di valutazione SafetyNet obbligatorio | L'attestazione basata su hardware migliora il controllo del servizio di attestazione SafetyNet esistente. È possibile impostare il valore su Chiave supportata dall'hardware dopo aver impostato l'attestazione del dispositivo SafteyNet. |
| Richiedi blocco del dispositivo | Questa impostazione determina se il dispositivo Android dispone di un PIN del dispositivo che soddisfa il requisito minimo di password. Il criterio Protezione di app può intervenire se il blocco del dispositivo non soddisfa il requisito minimo della password.
I valori includono:
Questo valore di complessità è destinato ad Android 12 e versioni successive. Per i dispositivi che operano in Android 11 e versioni precedenti, l'impostazione di un valore di complessità basso, medio o alto per impostazione predefinita sul comportamento previsto per bassa complessità. Per altre informazioni, vedere la documentazione per sviluppatori di Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM e PASSWORD_COMPLEXITY_HIGH.
Le azioni includono:
|
| Versione minima Portale aziendale | Usando la versione Min Portale aziendale, è possibile specificare una versione minima specifica del Portale aziendale applicata a un dispositivo dell'utente finale. Questa impostazione di avvio condizionale consente di impostare i valori su Blocca accesso, Cancella dati e Avvisa come possibili azioni quando ogni valore non viene soddisfatto. I formati possibili per questo valore seguono il modello [Major].[ Minore], [Maggiore].[ Minore]. [Build], or [Major].[ Minore]. [Build]. [Revisione]. Dato che alcuni utenti finali potrebbero non preferire un aggiornamento forzato delle app sul posto, l'opzione "avvisa" può essere ideale quando si configura questa impostazione. Google Play Store esegue un buon lavoro solo per l'invio dei byte delta per gli aggiornamenti delle app, ma può comunque trattarsi di una grande quantità di dati che l'utente potrebbe non voler usare se si trovano sui dati al momento dell'aggiornamento. Forzare un aggiornamento e quindi scaricare un'app aggiornata potrebbe comportare addebiti imprevisti per i dati al momento dell'aggiornamento. Per altre informazioni, vedere Impostazioni dei criteri Android. |
| Età massima Portale aziendale versione (giorni) | È possibile impostare un numero massimo di giorni come età della versione Portale aziendale (CP) per i dispositivi Android. Questa impostazione garantisce che gli utenti finali si trovino all'interno di un determinato intervallo di versioni CP (in giorni). Il valore deve essere compreso tra 0 e 365 giorni. Quando l'impostazione per i dispositivi non viene soddisfatta, viene attivata l'azione per questa impostazione. Le azioni includono Blocca l'accesso, Cancella dati o Avvisa. Per informazioni correlate, vedere Impostazioni dei criteri Android. Nota: L'età della build Portale aziendale è determinata da Google Play nel dispositivo dell'utente finale. |
| Attestazione del dispositivo Samsung Knox | Specificare se è necessario il controllo dell'attestazione del dispositivo Samsung Knox. Solo i dispositivi non modificati verificati da Samsung possono superare questo controllo. Per l'elenco dei dispositivi supportati, vedere samsungknox.com. Usando questa impostazione, Microsoft Intune verificherà anche che la comunicazione dal Portale aziendale al servizio Intune sia stata inviata da un dispositivo integro. Le azioni includono:
Nota: L'utente deve accettare le condizioni di Samsung Knox prima di poter eseguire il controllo dell'attestazione del dispositivo. Se l'utente non accetta le condizioni di Samsung Knox, verrà eseguita l'azione specificata. Nota: Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune. |
| Livello massimo di minaccia consentito per il dispositivo | Protezione di app criteri possono sfruttare il connettore Intune-MTD. Specificare un livello di minaccia massimo accettabile per l'uso di questa app. Le minacce sono determinate dall'app del fornitore di Mobile Threat Defense (MTD) scelta nel dispositivo dell'utente finale. Specificare Protetto, Basso, Medio o Alto.
La protezione non richiede minacce nel dispositivo ed è il valore configurabile più restrittivo, mentre High richiede essenzialmente una connessione da Intune a MTD attiva.
Le azioni includono:
|
| Servizio MTD primario | Se sono stati configurati più connettori Intune-MTD, specificare l'app fornitore MTD primaria che deve essere usata nel dispositivo dell'utente finale.
I valori includono:
Per usare questa impostazione, è necessario configurare l'impostazione "Livello massimo di minaccia consentito per il dispositivo". Non sono presenti azioni per questa impostazione. |