Implementare i controlli delle applicazioni

  • 4 minuti

Tramite il controllo delle app con l'accesso condizionale, è possibile monitorare e controllare l'accesso e le sessioni delle app dell'utente in tempo reale, in base ai criteri di accesso e di sessione. I criteri di accesso e di sessione vengono usati nel portale Microsoft Defender per app cloud al fine di definire in modo più preciso i filtri e impostare azioni da eseguire in relazione a un utente.

Controllo delle app tramite l'accesso condizionale

Screenshot della procedura guidata dei criteri di accesso condizionale di Microsoft Entra con l'opzione evidenziata Usa controllo app per l'accesso condizionale.

La funzionalità Controllo app per l'accesso condizionale prevede l'uso di un'architettura di proxy inverso ed è integrata in modo unico con l'accesso condizionale di Microsoft Entra. L'accesso condizionale Microsoft Entra consente di applicare i controlli di accesso alle applicazioni dell'organizzazione in base a determinate condizioni. Le condizioni definiscono chi (utente o gruppo di utenti), cosa (quali app cloud) e dove (a quali posizioni e reti) viene applicato un criterio di accesso condizionale. Dopo aver determinato le condizioni, è possibile indirizzare gli utenti a Microsoft Defender per app cloud, in cui è possibile proteggere i dati tramite Controllo app per l'accesso condizionale, applicando i controlli di accesso e di sessione.

Con i criteri di accesso e di sessione è possibile eseguire le operazioni seguenti:

  • Impedire l'esfiltrazione di dati: è possibile bloccare le operazioni di download, taglio, copia e stampa di documenti sensibili, ad esempio nei dispositivi non gestiti.
  • Applicare la protezione durante il download: invece di bloccare il download dei documenti sensibili, è possibile richiedere che i documenti siano etichettati e protetti con Azure Information Protection. Questa azione garantisce che il documento sia protetto e che l'accesso utente sia limitato in una sessione potenzialmente rischiosa.
  • Impedire il caricamento di file senza etichetta: prima che un file sensibile venga caricato, distribuito e usato da altri utenti, è importante assicurarsi che il file abbia l'etichetta e la protezione appropriate. È possibile fare in modo che i file con contenuto sensibile ma non provvisti di etichetta vengano bloccati fino a quando l'utente non classifica il contenuto.
  • Monitorare la conformità delle sessioni utente: gli utenti a rischio vengono monitorati quando accedono alle app e le loro azioni vengono registrate all'interno della sessione. È possibile esaminare e analizzare il comportamento degli utenti per comprendere dove e in quali condizioni applicare i criteri di sessione in futuro.
  • Bloccare l'accesso: è possibile bloccare in modo granulare l'accesso per app e utenti specifici in base a diversi fattori di rischio. È ad esempio possibile bloccarli se usano certificati client come forma di gestione dei dispositivi.
  • Bloccare le attività personalizzate: alcune app presentano scenari unici che comportano rischi, ad esempio l'invio di messaggi con contenuto sensibile in app come Microsoft Teams o Slack. In questi tipi di scenari è possibile analizzare i messaggi alla ricerca di contenuto sensibile e bloccarli in tempo reale.

Procedura: Richiedere i criteri di protezione delle app e un'app client approvata per l'accesso alle app cloud con l'accesso condizionale

Gli utenti usano spesso i dispositivi mobili sia per le attività personali che per quelle di lavoro. Le organizzazioni vogliono garantire che il personale sia produttivo, ma anche impedire la perdita di dati da applicazioni potenzialmente non sicure. Con Accesso condizionale le organizzazioni possono limitare l'accesso alle app client approvate (che supportano l'autenticazione moderna).

Questa sezione presenta due scenari di configurazione dei criteri di accesso condizionale per risorse come Microsoft 365, Exchange Online e SharePoint Online.

Nota

Per richiedere app client approvate per dispositivi iOS e Android, è necessario registrare prima i dispositivi in Microsoft Entra ID.

Scenario 1: app Microsoft 365 che richiedono un'app client approvata

In questo scenario, Contoso ha deciso che gli utenti che usano dispositivi mobili possono accedere a tutti i servizi Microsoft 365 a condizione che usino app client approvate, come Outlook Mobile, OneDrive e Microsoft Teams. Tutti gli utenti eseguono già l'accesso con le credenziali di Microsoft Entra e hanno licenze assegnate ad essi che includono Microsoft Entra ID Premium P1 o P2 e Microsoft Intune.

Per richiedere l'uso di un'app client approvata nei dispositivi mobili, le organizzazioni devono completare i tre passaggi seguenti.

Passaggio 1: criteri per i client con autenticazione moderna basati su Android e iOS che richiedono l'uso di un'applicazione client approvata per l'accesso a Exchange Online.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  3. Selezionare +Crea nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti o gli Utenti e gruppi ai quale si vuole applicare questi criteri.
    2. Selezionare Fine.

  6. In Applicazioni cloud o azioni, Includi selezionare Office 365.

  7. In Condizioni selezionare Piattaforme del dispositivo.

    1. Impostare Configura su .
    2. Includere Android e iOS.

  8. In Condizioni selezionare App client (anteprima).

    1. Impostare Configura su .
    2. Selezionare App per dispositivi mobili e client desktop e Client con autenticazione moderna.

  9. In Controlli di accesso, Concedi selezionare Concedi accesso, Richiedi app client approvata e quindi Seleziona.

  10. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  11. Selezionare Crea per creare e abilitare i criteri.

Passaggio 2: Configurare criteri di accesso condizionale diMicrosoft Entra per Exchange Online con Active Sync (EAS).

  1. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  2. Selezionare +Crea nuovo criterio.

  3. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  4. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti o gli Utenti e gruppi ai quale si vuole applicare questi criteri.
    2. Selezionare Fine.

  5. In Applicazioni cloud o azioni, Includi selezionare Office 365 Exchange Online.

  6. In Condizioni:

    1. App client (anteprima):

      1. Impostare Configura su .
      2. Selezionare App per dispositivi mobili e client desktop e Client Exchange ActiveSync.

  7. In Controlli di accesso, Concedi selezionare Concedi accesso, Richiedi app client approvata e quindi Seleziona.

  8. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  9. Selezionare Crea per creare e abilitare i criteri.

Passaggio 3: Configurare i criteri di protezione delle app di Intune per le applicazioni client iOS e Android.

Vedere l'articolo Come creare e assegnare criteri di protezione delle app per la procedura di creazione di criteri di protezione delle app per Android e iOS.

Scenario 2: Exchange Online e SharePoint Online richiedono un'app client approvata

In questo scenario, Contoso ha deciso che dai dispositivi mobili gli utenti possono accedere solo ai dati di posta elettronica e di SharePoint, a condizione che usino un'app client approvata, come Outlook Mobile. Tutti gli utenti eseguono già l'accesso con le credenziali di Microsoft Entra e hanno licenze assegnate ad essi che includono Microsoft Entra ID Premium P1 o P2 e Microsoft Intune.

Per richiedere l'uso di un'app client approvata nei dispositivi mobili e nei client Exchange ActiveSync, le organizzazioni devono completare la procedura seguente.

Passaggio 1: criteri per i client con autenticazione moderna basati su Android e iOS che richiedono l'uso di un'applicazione client approvata per l'accesso a Exchange Online e a SharePoint Online.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  3. Selezionare Nuovi criteri.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti o gli Utenti e gruppi ai quale si vuole applicare questi criteri.
    2. Selezionare Fine.

  6. In Applicazioni cloud o azioni, Includi selezionare Office 365 Exchange Online e Office 365 SharePoint Online.

  7. In Condizioni selezionare Piattaforme del dispositivo.

    1. Impostare Configura su .
    2. Includere Android e iOS.

  8. In Condizioni selezionare App client (anteprima).

    1. Impostare Configura su .
    2. Selezionare App per dispositivi mobili e client desktop e Client con autenticazione moderna.

  9. In Controlli di accesso, Concedi selezionare Concedi accesso, Richiedi app client approvata e quindi Seleziona.

  10. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  11. Selezionare Crea per creare e abilitare i criteri.

Passaggio 2: Criteri per i client Exchange ActiveSync che richiedono l'uso di un'app client approvata.

  1. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  2. Selezionare Nuovi criteri.

  3. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  4. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti o gli Utenti e gruppi ai quale si vuole applicare questi criteri.
    2. Selezionare Fine.

  5. In Applicazioni cloud o azioni, Includi selezionare Office 365 Exchange Online.

  6. In Condizioni:

    1. App client (anteprima):

      1. Impostare Configura su .
      2. Selezionare App per dispositivi mobili e client desktop e Client Exchange ActiveSync.

  7. In Controlli di accesso, Concedi selezionare Concedi accesso, Richiedi app client approvata e quindi Seleziona.

  8. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  9. Selezionare Crea per creare e abilitare i criteri.

Passaggio 3: Configurare i criteri di protezione delle app di Intune per le applicazioni client iOS e Android.

Vedere l'articolo Come creare e assegnare criteri di protezione delle app per la procedura di creazione di criteri di protezione delle app per Android e iOS.

Panoramica dei criteri di protezione delle app

I criteri di protezione delle app (APP) sono regole che garantiscono che i dati di un'organizzazione rimangano al sicuro o contenuti in un'app gestita. Un criterio può essere una regola che viene applicata quando l'utente tenta di accedere o spostare i dati "aziendali" o un insieme di azioni vietate o monitorate quando l'utente si trova all'interno dell'app. Un'app gestita ha criteri di protezione applicati e può essere gestita da Intune.

I criteri di protezione delle app MAM (Mobile Application Management) consentono di gestire e proteggere i dati dell'organizzazione all'interno di un'applicazione. Con MAM senza registrazione (MAM-WE), un'app aziendale o dell'istituto di istruzione contenente dati sensibili può essere gestita in quasi tutti i dispositivi, inclusi i dispositivi personali in scenari Bring-Your-Own-Device (BYOD). Molte app per la produttività, ad esempio le app di Microsoft Office, possono essere gestite da MAM di Intune.

Come è possibile proteggere i dati delle app

I dipendenti usano dispositivi mobili sia per le attività personali che per quelle aziendali. Pur assicurandosi della produttività dei dipendenti, è auspicabile prevenire la perdita di dati, sia intenzionale che non intenzionale. È anche necessario proteggere i dati aziendali a cui si accede da dispositivi non gestiti.

È possibile usare i criteri di protezione delle app di Intune indipendentemente da qualsiasi soluzione di gestione dei dispositivi mobili (MDM). Questa indipendenza consente di proteggere i dati aziendali con o senza registrare i dispositivi in una soluzione di gestione dei dispositivi. Con l’implementazione di criteri a livello di app è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del reparto IT.

Criteri di protezione delle app nei dispositivi

I criteri di protezione delle app possono essere configurati per le app eseguite nei dispositivi che sono:

  • Registrati in Microsoft Intune: Questi dispositivi sono in genere di proprietà dell'azienda.

  • Registrati in una soluzione MDM di terze parti: questi dispositivi sono in genere di proprietà aziendale.

    Nota

    I criteri di gestione delle app per dispositivi mobili non devono essere usati con soluzioni di gestione delle app per dispositivi mobili o di contenitore protetto di terze parti.

  • Non registrati in alcuna soluzione di gestione di dispositivi mobili: questi dispositivi sono in genere dispositivi di proprietà dei dipendenti e non sono gestiti né registrati in Intune o in altre soluzioni MDM.

    Importante

    È possibile creare criteri di gestione delle app per dispositivi mobili per le app office per dispositivi mobili che si connettono ai servizi di Microsoft 365. È anche possibile proteggere l'accesso alle cassette postali locali di Exchange creando i criteri di protezione delle app di Intune per Outlook per iOS/iPadOS e Android abilitati con l'autenticazione moderna ibrida. Prima di usare questa funzionalità, assicurarsi di soddisfare i requisiti di Outlook per iOS/iPadOS e Android. I criteri di protezione delle app non sono supportati per le altre app che si connettono ai servizi locali di Exchange o SharePoint.

Vantaggi dell'uso dei criteri di protezione delle app

I vantaggi più rilevanti dell'uso dei criteri di protezione delle app sono i seguenti:

  • Proteggere i dati aziendali a livello di app. Poiché la gestione delle app per dispositivi mobili non richiede la gestione dei dispositivi, è possibile proteggere i dati aziendali nei dispositivi gestiti e non gestiti. La gestione dei dati è incentrata sull'identità dell'utente che elimina il requisito della gestione dei dispositivi.

  • Non vi sono effetti sulla produttività degli utenti finali e i criteri non si applicano quando si usa l'app in un contesto personale. I criteri vengono applicati solo in un contesto aziendale, che offre così la possibilità di proteggere i dati aziendali senza modificare i dati personali.

  • I criteri di protezione delle app assicurano che le misure di protezione a livello di app siano presenti. Ad esempio, puoi:

    • Richiedere un PIN per aprire un'app in un contesto di lavoro.
    • Controllare la condivisione dei dati tra le app.
    • Impedire il salvataggio dei dati dell'app aziendale in una posizione di archiviazione personale.

  • MDM, in aggiunta a MAM, verifica che il dispositivo sia protetto. Ad esempio, è possibile richiedere un PIN per accedere al dispositivo oppure distribuire le app gestite al dispositivo. È anche possibile distribuire app per dispositivi con la soluzione MDM, per fornire maggiore controllo sulla gestione di app.

L'uso di soluzioni MDM con criteri di protezione delle app comporta vantaggi aggiuntivi e le aziende possono usare contemporaneamente criteri di protezione delle app con o senza soluzioni MDM. Si consideri ad esempio un dipendente che usa un telefono assegnato dall'azienda e il tablet personale. Il telefono aziendale è registrato in MDM e protetto dai criteri di protezione delle app, mentre il dispositivo personale è solo protetto dai criteri di protezione delle app.

Se si applicano criteri MAM all'utente senza impostare lo stato del dispositivo, l'utente otterrà i criteri MAM sia nel dispositivo BYOD che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato gestito. Quindi, quando si crea un criterio di protezione delle app, accanto a Destinazione a tutti i tipi di app, selezionare No. Eseguire quindi una delle operazioni seguenti:

  • Applicare un criterio MAM meno rigoroso ai dispositivi gestiti da Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati in MDM.
  • Applicare un criterio MAM solo ai dispositivi non registrati.