Passaggio 2: Aggiungere, configurare e proteggere le app con Intune
Il passaggio successivo quando si distribuisce Intune consiste nell'aggiungere e proteggere le app che accedono ai dati dell'organizzazione.
La gestione delle applicazioni nei dispositivi dell'organizzazione è una parte centrale di un ecosistema aziendale sicuro e produttivo. È possibile usare Microsoft Intune per gestire le app usate dalla forza lavoro dell'azienda. La gestione delle app consente di controllare le app usate dall'azienda, nonché la configurazione e la protezione delle app. Questa funzionalità è denominata gestione di applicazioni mobili (MAM). MAM in Intune è progettato per proteggere i dati dell'organizzazione a livello di applicazione, incluse le app personalizzate e le app dello Store. La gestione delle app può essere usata nei dispositivi di proprietà dell'organizzazione e nei dispositivi personali. Quando viene usato con i dispositivi personali, vengono gestiti solo l'accesso e i dati correlati all'organizzazione. Questo tipo di gestione delle app viene chiamato MAM senza registrazione o, dal punto di vista dell'utente finale, bring your own device (BYOD).
Configurazioni MAM
Quando le app vengono usate senza restrizioni, i dati aziendali e personali possono coesistere. I dati aziendali possono finire in posizioni come l'archiviazione personale o trasferiti ad app aldilà della propria portata, e ciò potrebbe comportare la perdita di tali dati. Uno dei motivi principali per usare MAM senza registrazione del dispositivo o Intune MDM + MAM consiste nel proteggere i dati dell'organizzazione.
Microsoft Intune supporta due configurazioni MAM:
MAM senza gestione dei dispositivi
Questa configurazione consente di gestire le app dell'organizzazione tramite Intune, ma non di registrare i dispositivi da gestire tramite Intune. Questa configurazione viene comunemente definita MAM senza registrazione del dispositivo. Gli amministratori IT possono gestire le app usando MAM usando Intune criteri di configurazione e protezione nei dispositivi non registrati con Intune gestione dei dispositivi mobili (MDM).
Nota
Questa configurazione include la gestione delle app con Intune nei dispositivi registrati con provider EMM (Enterprise Mobility Management) di terze parti. È possibile usare Intune criteri di protezione delle app indipendentemente da qualsiasi soluzione MDM. Ciò consente di proteggere i dati aziendali con o senza la registrazione dei dispositivi in una soluzione di gestione dei dispositivi. Implementando i criteri a livello di app è possibile limitare l'accesso alle risorse aziendali e mantenere i dati nell'ambito del reparto IT.
Mobile Application Management (MAM) è ideale per proteggere i dati dell'organizzazione nei dispositivi mobili usati dai membri dell'organizzazione per le attività personali e lavorative. Pur assicurandosi che i membri dell'organizzazione possano essere produttivi, si vuole evitare la perdita di dati, intenzionale e non intenzionale. Si vuole anche proteggere i dati aziendali a cui si accede da dispositivi non gestiti dall'utente. MAM consente di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione.
Consiglio
Molte app di produttività, come le app di Microsoft Office, possono essere gestite da MAM di Intune. Consultare l'elenco ufficiale di app gestite da Microsoft Intune disponibile per uso pubblico.
Per i dispositivi BYOD non registrati in alcuna soluzione MDM, i criteri di protezione delle app possono contribuire a proteggere i dati aziendali a livello di app. Esistono tuttavia alcune limitazioni da tenere presenti:
- Non è possibile distribuire app nel dispositivo. L'utente finale deve ottenere le app dallo Store.
- Non è possibile effettuare il provisioning dei profili certificato in questi dispositivi.
- Non è possibile effettuare il provisioning di Wi-Fi aziendali e impostazioni VPN in questi dispositivi.
Per altre informazioni sulla protezione delle app in Intune, vedere Panoramica dei criteri di Protezione di app.
MAM con gestione dei dispositivi
Questa configurazione consente di gestire le app e i dispositivi dell'organizzazione. Questa configurazione viene comunemente definita MAM + MDM. Gli amministratori IT possono gestire le app usando MAM nei dispositivi registrati con Intune MDM.
MDM, oltre a MAM, garantisce che il dispositivo sia protetto. È possibile richiedere un PIN per accedere al dispositivo oppure distribuire app gestite nel dispositivo. È anche possibile distribuire app nei dispositivi tramite la soluzione MDM, per avere un maggiore controllo sulla gestione delle app.
L'uso di MDM con i criteri di protezione delle app offre vantaggi aggiuntivi e le aziende possono usare contemporaneamente i criteri di protezione delle app con e senza MDM. Ad esempio, un membro dell'organizzazione potrebbe avere sia un telefono emesso dall'azienda che il proprio tablet personale. Il telefono aziendale può essere registrato in MDM e protetto dai criteri di protezione delle app, mentre il dispositivo personale è protetto solo dai criteri di protezione delle app.
Nei dispositivi registrati che usano un servizio MDM, i criteri di protezione delle app possono aggiungere un ulteriore livello di protezione. Ad esempio, un utente accede a un dispositivo con le credenziali dell'organizzazione. Man mano che vengono usati i dati dell'organizzazione, i criteri di protezione delle app controllano il modo in cui i dati vengono salvati e condivisi. Quando gli utenti accedono con la propria identità personale, le stesse protezioni (accesso e restrizioni) non vengono applicate. In questo modo, l'IT ha il controllo dei dati dell'organizzazione, mentre gli utenti finali mantengono il controllo e la privacy sui loro dati personali.
La soluzione MDM aggiunge valore fornendo quanto segue:
- Registra il dispositivo
- Distribuisce le app nel dispositivo
- Fornisce la conformità e la gestione dei dispositivi continua
I criteri Protezione di app aggiungono valore fornendo quanto segue:
- Proteggere i dati aziendali dalla perdita di app e servizi consumer
- Applicare restrizioni come salvataggio con nome, Appunti o PIN alle app client
- Cancellare i dati aziendali quando necessario dalle app senza rimuovere tali app dal dispositivo
Vantaggi di MAM con Intune
Quando le app vengono gestite in Intune, gli amministratori possono eseguire le operazioni seguenti:
- Proteggere i dati aziendali a livello di app. È possibile aggiungere e assegnare app per dispositivi mobili a gruppi di utenti e dispositivi. In questo modo i dati aziendali possono essere protetti a livello di app. È possibile proteggere i dati aziendali su dispositivi gestiti e non gestiti perché la gestione delle app per dispositivi mobili non richiede la gestione dei dispositivi. La gestione è incentrata sull'identità utente, che elimina il requisito per la gestione dei dispositivi.
- Configurare le app per l'avvio o l'esecuzione con impostazioni specifiche abilitate. Inoltre, è possibile aggiornare le app esistenti già nel dispositivo.
- Assegnare criteri per limitare l'accesso e impedire l'uso dei dati all'esterno dell'organizzazione. È possibile scegliere l'impostazione per questi criteri in base ai requisiti dell'organizzazione. Ad esempio, è possibile:
- Richiedere un PIN per aprire un'app in un contesto aziendale.
- Blocca l'esecuzione delle app gestite nei dispositivi jailbroken o rooted
- Controllare la condivisione dei dati tra le app.
- Impedisci il salvataggio dei dati dell'app aziendale in una posizione di archiviazione personale usando criteri di rilocazione dei dati, ad esempio Salva copie dei dati dell'organizzazione e Limita taglia, copia e incolla.
- Supportare le app in un'ampia gamma di piattaforme e sistemi operativi. Ogni piattaforma è diversa. Intune fornisce le impostazioni disponibili in modo specifico per ogni piattaforma supportata.
- Vedere i report sulle app usate e tenere traccia del relativo utilizzo. Inoltre, Intune fornisce analisi degli endpoint che consentono di valutare e risolvere i problemi.
- Eseguire una cancellazione selettiva rimuovendo solo i dati dell'organizzazione dalle app.
- Assicurarsi che i dati personali vengano mantenuti separati dai dati gestiti. La produttività dell'utente finale non è influenzata e i criteri non si applicano quando si usa l'app in un contesto personale. I criteri vengono applicati solo in un contesto aziendale, che consente di proteggere i dati aziendali senza toccare i dati personali.
Aggiungere le app a Intune
Il primo passaggio quando si forniscono app all'organizzazione consiste nell'aggiungere le app a Intune prima di assegnarle ai dispositivi o agli utenti da Intune. Anche se è possibile usare molti tipi di app diversi, le procedure di base sono le stesse. Con Intune, è possibile aggiungere diversi tipi di app, tra cui app scritte internamente (line-of-business), app dallo store, app incorporate e app sul Web.
Gli utenti di app e dispositivi dell'azienda (la forza lavoro dell'azienda) potrebbero avere diversi requisiti per le app. Prima di aggiungere app a Intune e renderle disponibili per la forza lavoro, potrebbe essere utile valutare e comprendere alcuni concetti fondamentali dell'app. Esistono diversi tipi di app disponibili per Intune. È necessario determinare i requisiti dell'app necessari agli utenti dell'azienda, ad esempio le piattaforme e le funzionalità necessarie per la forza lavoro. È necessario determinare se usare Intune per gestire i dispositivi (incluse le app) o Intune gestire le app senza gestire i dispositivi. Inoltre, è necessario determinare le app e le funzionalità di cui la forza lavoro ha bisogno e chi ne ha bisogno. Le informazioni in questo articolo consentono di iniziare.
Prima di aggiungere app a Intune, valutare i tipi di app di supporto e valutare i requisiti dell'app. Per altre informazioni, vedere Aggiungere app a Microsoft Intune.
Consiglio
Per comprendere meglio i tipi di app, gli acquisti di app e le licenze delle app per Intune, vedere la soluzione Acquistare e aggiungere app per Microsoft Intune. Questo contenuto della soluzione offre anche i passaggi consigliati per valutare i requisiti delle app, creare categorie di app, acquistare app e aggiungere app. Inoltre, questo contenuto della soluzione illustra come gestire le app e le licenze delle app.
Aggiungere app Microsoft
Intune include diverse app Microsoft basate sulla licenza Microsoft usata per Intune. Per altre informazioni sulle diverse licenze Microsoft Enterprise disponibili che includono Intune, vedere licenze Microsoft Intune. Per confrontare le diverse app Microsoft disponibili con Microsoft 365, vedere le opzioni di licenza disponibili con Microsoft 365. Per visualizzare tutte le opzioni per ogni piano (incluse le app Microsoft disponibili), scaricare la tabella di confronto completa delle sottoscrizioni Microsoft e individuare i piani che includono Microsoft Intune.
Tra i tipi di app disponibili ci sono le app di Microsoft 365 per dispositivi Windows 10. Selezionando questo tipo di app in Intune, è possibile assegnare e installare app di Microsoft 365 ai dispositivi gestiti che eseguono Windows 10. È anche possibile assegnare e installare app per il client desktop Microsoft Project Online e il piano 2 di Microsoft Visio Online, se si possiedono licenze. Le app di Microsoft 365 disponibili vengono visualizzate come una singola voce nell'elenco delle app nella console di Intune in Azure.
Aggiungere le app Microsoft di base seguenti a Intune:
- Microsoft Edge
- Microsoft Excel
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Teams
- Microsoft To Do
- Microsoft Word
Per altre informazioni sull'aggiunta di app Microsoft a Intune, vedere gli argomenti seguenti:
- Aggiungere app a Microsoft Intune
- Aggiungere le app di Microsoft 365 ai dispositivi Windows 10/11 con Microsoft Intune
Aggiungere app dello Store (facoltativo)
Molte delle app dello Store standard visualizzate nella console di Intune sono disponibili gratuitamente per l'aggiunta e la distribuzione ai membri dell'organizzazione. Inoltre, è possibile acquistare app dello Store per ogni piattaforma di dispositivi.
La tabella seguente fornisce le diverse categorie disponibili per le app dello Store:
Categoria di app dello Store | Descrizione |
---|---|
App dello Store gratuite | È possibile aggiungere liberamente queste app a Intune e distribuirle ai membri dell'organizzazione. Queste app non richiedono costi aggiuntivi da usare. |
App acquistate | È necessario acquistare licenze per queste app prima di aggiungere a Intune. Ogni piattaforma per dispositivi (Windows, iOS, Android) offre un metodo standard per acquistare licenze per queste app. Intune fornisce metodi per gestire la licenza dell'app per ogni utente finale. |
App che richiedono un account, una sottoscrizione o una licenza dallo sviluppatore dell'app | È possibile aggiungere e distribuire liberamente queste app da Intune, tuttavia l'app potrebbe richiedere un account, una sottoscrizione o una licenza dal fornitore dell'app. Per un elenco delle app che supportano la funzionalità di gestione Intune, vedere App per la produttività dei partner e App PARTNER UEM. NOTA: Per le app che potrebbero richiedere un account, una sottoscrizione o una licenza, è necessario contattare il fornitore dell'app per informazioni specifiche sull'app. |
App incluse nella licenza di Intune | La licenza usata con Microsoft Intune può includere le licenze dell'app necessarie. |
Nota
Oltre ad acquistare licenze per le app, è possibile creare criteri di Intune che consentono agli utenti finali di aggiungere account personali ai propri dispositivi per acquistare app non gestite.
Per altre informazioni sull'aggiunta di app Microsoft a Intune, vedere gli argomenti seguenti:
- Aggiungere app di Microsoft Store a Microsoft Intune
- Aggiungere app dello Store iOS a Microsoft Intune
- Aggiungere app di Android Store a Microsoft Intune
Configurare le app usando Intune
I criteri di configurazione delle app consentono di eliminare i problemi di configurazione delle app consentendo di selezionare le impostazioni di configurazione per un criterio. Tale criterio viene quindi assegnato agli utenti finali prima di eseguire un'app specifica. Le impostazioni vengono quindi specificate automaticamente quando l'app viene configurata nel dispositivo dell'utente finale. Gli utenti finali non devono intervenire. Le impostazioni di configurazione sono uniche per ogni app.
È possibile creare e usare i criteri di configurazione delle app per fornire le impostazioni di configurazione per le app iOS/iPadOS o Android. Queste impostazioni di configurazione consentono di personalizzare un'app tramite la configurazione e la gestione delle app. Le impostazioni dei criteri di configurazione vengono usate quando l'app verifica la presenza di queste impostazioni, in genere la prima volta che l'app viene eseguita.
Un'impostazione di configurazione dell'app, ad esempio, potrebbe richiedere di specificare uno dei dettagli seguenti:
- Numero di porta personalizzato
- Impostazioni lingua
- Impostazioni di protezione
- Impostazioni di personalizzazione, ad esempio un logo aziendale
Se invece gli utenti finali dovessero immettere queste impostazioni, potrebbero eseguire questa operazione in modo non corretto. I criteri di configurazione delle app consentono di garantire coerenza in un'organizzazione e ridurre le chiamate al supporto tecnico da parte degli utenti finali che provano a configurare le impostazioni autonomamente. Usando i criteri di configurazione delle app, l'adozione di nuove app può essere più semplice e rapida.
I parametri di configurazione disponibili vengono infine definiti dagli sviluppatori dell'app. La documentazione del fornitore dell'applicazione deve essere esaminata per verificare se un'app supporta la configurazione e quali configurazioni sono disponibili. Per alcune applicazioni, Intune compilerà le impostazioni di configurazione disponibili.
Per altre informazioni sulla configurazione dell'app, vedere gli argomenti seguenti:
- Criteri di configurazione delle app per Microsoft Intune
- Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti
- Aggiungere criteri di configurazione delle app per i dispositivi Android gestiti.
Configurare Microsoft Outlook
L'app Outlook per iOS e Android è progettata per consentire agli utenti dell'organizzazione di eseguire ulteriori operazioni dai dispositivi mobili, unendo posta elettronica, calendario, contatti e altri file.
Le funzionalità di protezione più complete e ampie per i dati di Microsoft 365 sono disponibili quando si sottoscrive la famiglia di prodotti Enterprise Mobility + Security, che include le funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, come l'accesso condizionato. È necessario distribuire almeno un criterio di accesso condizionale che consenta la connettività a Outlook per iOS e Android da dispositivi mobili e un criterio di protezione delle app Intune che garantisce la protezione dell'esperienza di collaborazione.
Per altre informazioni sulla configurazione di Microsoft Outlook, vedere l'argomento seguente:
Configurare Microsoft Edge
Edge per iOS e Android è progettato per consentire agli utenti di navigare sul web e supporta la multi-identità. Gli utenti possono aggiungere un account aziendale e uno personale per la navigazione. Esiste una separazione completa tra le due identità, che è simile a quella offerta in altre app per dispositivi mobili Microsoft.
Per altre informazioni sulla configurazione di Microsoft Edge, vedere l'argomento seguente:
Configurare il VPN
Le reti private virtuali (VPN) consentono agli utenti di accedere alle risorse dell'organizzazione in remoto, tra cui da casa, hotel, caffè e altro ancora. In Microsoft Intune è possibile configurare app client VPN nei dispositivi Android Enterprise usando un criterio di configurazione dell'app. Distribuire quindi questo criterio con la relativa configurazione VPN ai dispositivi dell'organizzazione.
È anche possibile creare criteri VPN usati da app specifiche. Questa funzionalità è chiamata VPN per app. Quando l'app è attiva, può connettersi alla VPN e accedere alle risorse tramite la VPN. Quando l'app non è attiva, la VPN non viene usata.
Per altre informazioni sulla configurazione della posta elettronica, vedere l'argomento seguente:
Proteggere le app usando Intune
Protezione di app criteri (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app. Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e può essere gestita da Intune.
I criteri di protezione delle app di Gestione applicazioni mobili (MAM) consentono di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione. Molte app di produttività, come le app di Microsoft Office, possono essere gestite da MAM di Intune. Consultare l'elenco ufficiale di app gestite da Microsoft Intune disponibile per uso pubblico.
Uno dei modi principali che Intune offre la sicurezza delle app per dispositivi mobili è tramite i criteri. Protezione di app criteri consentono di eseguire le azioni seguenti:
- Usare Microsoft Entra'identità per isolare i dati dell'organizzazione dai dati personali. In questo modo, le informazioni personali vengono isolate dalla consapevolezza IT dell'organizzazione. Concedono ai dati a cui si accede usando le credenziali dell'organizzazione una protezione di sicurezza aggiuntiva.
- Proteggere l'accesso ai dispositivi personali limitando le azioni che gli utenti possono eseguire con i dati dell'organizzazione, ad esempio copia e incolla, salvataggio e visualizzazione.
- Creare e distribuire nei dispositivi registrati in Intune, registrati in un altro servizio di gestione dei dispositivi mobili (MDM) o non registrati in alcun servizio MDM.
Nota
Protezione di app criteri sono progettati per essere applicati in modo uniforme in un gruppo di app, ad esempio l'applicazione di criteri a tutte le app per dispositivi mobili di Office.
Le organizzazioni possono usare contemporaneamente i criteri di protezione delle app con e senza MDM. Si consideri, ad esempio, un dipendente che usa sia un tablet emesso dall'azienda che il proprio telefono personale. Il tablet aziendale è registrato in MDM e protetto dai criteri di protezione delle app mentre il telefono personale è protetto solo dai criteri di protezione delle app.
Per altre informazioni sulla protezione delle app in Intune, vedere gli argomenti seguenti:
- Panoramica dei criteri di protezione delle app
- Come creare e assegnare criteri di protezione delle app.
Livelli di protezione delle app
Man mano che più organizzazioni implementano strategie di dispositivi mobili per l'accesso ai dati aziendali o dell'istituto di istruzione, la protezione dalla perdita di dati diventa fondamentale. la soluzione di gestione delle applicazioni mobili di Intune per la protezione dalla perdita di dati è l'APP (App Protection Policies). APP sono regole che garantiscono che i dati di un'organizzazione rimangano al sicuro o contenuti in un'app gestita, indipendentemente dal fatto che il dispositivo sia registrato.
Quando si configurano i criteri di protezione delle app, le diverse impostazioni e opzioni disponibili consentono alle organizzazioni di personalizzare la protezione in base alle proprie esigenze specifiche. A causa di questa flessibilità, potrebbe non essere ovvio quale permutazione delle impostazioni dei criteri è necessaria per implementare uno scenario completo. Per aiutare le organizzazioni a dare priorità agli sforzi di protezione avanzata degli endpoint client, Microsoft ha introdotto una nuova tassonomia per le configurazioni di sicurezza in Windows 10 e Intune usa una tassonomia simile per il framework di protezione dei dati app per la gestione delle app per dispositivi mobili.
Il framework di configurazione della protezione dei dati app è organizzato in tre scenari di configurazione distinti:
Protezione dei dati di base aziendale di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.
Protezione dei dati avanzata aziendale di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni sensibili o riservate. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.
Protezione dei dati elevata aziendale di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Un'organizzazione che probabilmente sarà presa di mira da avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.
Protezione delle app di base (livello 1)
La protezione delle app di base in Intune (livello 1) è la configurazione minima di protezione dei dati per un dispositivo mobile aziendale. Questa configurazione sostituisce la necessità di criteri di base per l'accesso ai dispositivi Exchange Online richiedendo un PIN per accedere ai dati aziendali o dell'istituto di istruzione, crittografando i dati dell'account aziendale o dell'istituto di istruzione e fornendo la possibilità di cancellare selettivamente i dati dell'istituto di istruzione o dell'istituto di istruzione. Tuttavia, a differenza di Exchange Online criteri di accesso ai dispositivi, le impostazioni dei criteri di protezione delle app seguenti si applicano a tutte le app selezionate nei criteri, assicurando in tal modo che l'accesso ai dati sia protetto oltre gli scenari di messaggistica mobile.
I criteri di livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti e rispecchiano le impostazioni predefinite per la protezione dei dati e i requisiti di accesso durante la creazione di criteri di protezione delle app all'interno di Microsoft Intune.
Per impostazioni specifiche di protezione dei dati, requisiti di accesso e avvio condizionale per la protezione delle app di base, vedere l'argomento seguente:
Protezione avanzata delle app (livello 2)
La protezione avanzata delle app in Intune (livello 2) è la configurazione di protezione dei dati consigliata come standard per i dispositivi in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste raccomandazioni non presuppongono un elevato personale di professionisti della sicurezza altamente qualificati e pertanto dovrebbero essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione si espande in base alla configurazione nel livello 1 limitando gli scenari di trasferimento dei dati e richiedendo una versione minima del sistema operativo.
Le impostazioni dei criteri applicate nel livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1, ma elenca solo le impostazioni seguenti che sono state aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 1. Anche se queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni, applicano un livello di protezione dei dati più adeguato ai rischi per gli utenti con accesso a informazioni sensibili sui dispositivi mobili.
Per impostazioni specifiche di protezione dei dati e avvio condizionale per la protezione avanzata delle app, vedere l'argomento seguente:
Protezione elevata delle app (livello 3)
La protezione elevata delle app per Intune (livello 3) è la configurazione di protezione dei dati consigliata come standard per le organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate o per utenti e gruppi specifici che verranno assegnati in modo univoco dagli avversari. Tali organizzazioni sono in genere mirate da antagonisti ben finanziati e sofisticati e, di conseguenza, meritano i vincoli e i controlli aggiuntivi descritti. Questa configurazione si espande in base alla configurazione nel livello 2 limitando altri scenari di trasferimento dei dati, aumentando la complessità della configurazione del PIN e aggiungendo il rilevamento delle minacce per dispositivi mobili.
Le impostazioni dei criteri applicate al livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2, ma elenca solo le impostazioni seguenti che sono state aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 2. Queste impostazioni dei criteri possono avere un impatto potenzialmente significativo per gli utenti o per le applicazioni, applicando un livello di sicurezza commisurato ai rischi per le organizzazioni di destinazione.
Per impostazioni specifiche di protezione dei dati, requisiti di accesso e avvio condizionale per la protezione delle app di base, vedere l'argomento seguente:
Proteggere la posta elettronica di Exchange Online nei dispositivi gestiti
È possibile usare i criteri di conformità dei dispositivi con l'accesso condizionale per assicurarsi che i dispositivi dell'organizzazione possano accedere Exchange Online posta elettronica solo se sono gestiti da Intune e usando un'app di posta elettronica approvata. È possibile creare un criterio di conformità del dispositivo Intune per impostare le condizioni che un dispositivo deve soddisfare per essere considerato conforme. È anche possibile creare un criterio di accesso condizionale Microsoft Entra che richiede la registrazione dei dispositivi in Intune, la conformità ai criteri di Intune e l'uso dell'app Outlook per dispositivi mobili approvata per accedere Exchange Online posta elettronica.
Per altre informazioni sulla protezione dei Exchange Online, vedere l'argomento seguente:
Requisiti dell'utente finale per l'uso dei criteri di protezione delle app
L'elenco seguente fornisce i requisiti dell'utente finale per l'uso dei criteri di protezione delle app nelle app gestite da Intune includono quanto segue:
- L'utente finale deve avere un account Microsoft Entra. Vedere Aggiungere utenti e concedere l'autorizzazione amministrativa a Intune per informazioni su come creare utenti Intune in Microsoft Entra ID.
- L'utente finale deve avere una licenza per Microsoft Intune assegnata all'account Microsoft Entra. Per informazioni su come assegnare licenze Intune agli utenti finali, vedere Gestire le licenze di Intune.
- L'utente finale deve far parte di un gruppo di sicurezza indicato dai criteri di protezione dell'app. I criteri di protezione delle app devono essere mirati per la specifica app in uso. Protezione di app criteri possono essere creati e distribuiti nell'interfaccia di amministrazione Microsoft Intune. I gruppi di sicurezza possono attualmente essere creati nel interfaccia di amministrazione di Microsoft 365.
- L'utente finale deve accedere all'app usando il proprio account Microsoft Entra.
Seguire i criteri di base minimi consigliati
- Configurare Microsoft Intune
- 🡺 Aggiungere, configurare e proteggere le app (si è qui)
- Pianificare i criteri di conformità
- Configurare le funzionalità del dispositivo
- Registrare i dispositivi