Come creare e assegnare criteri di protezione delle appHow to create and assign app protection policies

Informazioni su come creare e assegnare criteri di protezione delle app di Microsoft Intune agli utenti.Learn how to create and assign Microsoft Intune app protection policies to your users. In questo argomento viene anche descritto come apportare modifiche a criteri esistenti.This topic also describes how to make changes to existing policies.

Prima di iniziareBefore you begin

Per istruzioni relative al portale di Intune classico, vedere Come creare i criteri di protezione delle app.If you're looking for instructions in the Intune classic portal, see how to create app protection policies.

I criteri di protezione delle app possono essere applicati in app eseguite su dispositivi gestiti o non gestiti da Intune.App protection policies can be applied to apps running on devices that may or may not be managed by Intune. Per una descrizione più dettagliata del funzionamento dei criteri di protezione delle app e degli scenari supportati dai criteri di protezione delle app di Intune, vedere What is Microsoft Intune app protection policies(Cosa sono i criteri di protezione delle app di Microsoft Intune).For a more detailed description of how app protection policies work and the scenarios supported by Intune app protection policies, see What is Microsoft Intune app protection policies.

Per un elenco delle app supportate da MAM, vedere Elenco di app MAM.If you're looking for a list of MAM supported apps, see MAM apps list.

Creare un criterio di protezione delle appCreate an app protection policy

  1. Nel carico di lavoro App per dispositivi mobili selezionare Criteri di protezione delle app dalla sezione Gestisci.In the Mobile apps workload, select App protection policies from the Manage section. Questa selezione determina la visualizzazione dei dettagli dei Criteri di protezione delle app, in cui è possibile creare nuovi criteri e modificare i criteri esistenti.This selection opens the App protection policies details, where you create new policies and edit existing policies.

  2. Scegliere Aggiungi criteri.Choose Add a policy.

    Schermata del pannello "Aggiungi criteri"

  3. Digitare un nome per il criterio, aggiungere una breve descrizione e selezionare il tipo di piattaforma per i criteri.Type a name for the policy, add a brief description, and select the platform type for your policy. È possibile creare più criteri per ogni piattaforma, se necessario.If needed, you can create more than one policy for each platform.

  4. Scegliere App per aprire il pannello App, che contiene l'elenco delle app disponibili.Choose Apps to open the Apps blade, where a list of available apps is displayed. Selezionare una o più app dall'elenco che si vuole associare al criterio che si sta creando.Select one or more apps from the list that you want to associate with the policy that you're creating.

  5. Dopo aver selezionato le app, scegliere Seleziona per salvare la selezione.Once you've selected the apps, choose Select to save your selection.

    Importante

    È necessario selezionare almeno un'app per creare un criterio.You must select at least one app to create a policy.

  6. Scegliere Configura le impostazioni obbligatorie nel pannello Aggiungi criteri per aprire le Impostazioni.Choose Configure required settings on the Add a policy blade to open Settings.

    Esistono due categorie di impostazioni dei criteri: Rilocazione dati e Accesso.There are two categories of policy settings, Data relocation and Access. I criteri di rilocazione dei dati sono applicabili allo spostamento dei dati da e verso le app.Data relocation policies are applicable to data movement in and out of the apps. I criteri di accesso determinano come l'utente finale accede alle applicazioni in un contesto aziendale.The access polices determine how the end user accesses the apps in a work context. In questa introduzione le impostazioni dei criteri hanno valori predefiniti.To get you started, the policy settings have default values. Non è necessario apportare modifiche se i valori predefiniti soddisfano i requisiti.If the default values meet your requirements, you don't have to make any changes.

    Suggerimento

    Queste impostazioni dei criteri vengono applicate solo quando si usano le app nel contesto aziendale.These policy settings are enforced only when using apps in the work context. Quando gli utenti finali usano l'app per eseguire un'attività personale, questi criteri non hanno effetto.When end users use the app to do a personal task, they aren't affected by these policies.

  7. Scegliere OK per salvare la configurazione.Choose OK to save this configuration. Viene di nuovo visualizzato il riquadro Aggiungi criteri.You are now back in the Add a policy pane. Scegliere Crea per creare i criteri e salvare le impostazioni.Choose Create to create the policy and save your settings.

  8. Scegliere OK per salvare la configurazione.Choose OK to save this configuration. A questo punto ci si trova di nuovo nel riquadro Aggiungi criteri.You're now back in the Add a policy blade.

  9. Scegliere Crea per creare i criteri e salvare le impostazioni.Choose Create to create the policy and save your settings.

Dopo aver creato un criterio come descritto nella procedura precedente, non verrà distribuito a tutti gli utenti.When you finish creating a policy as described in the previous procedure, it is not deployed to any users. Per distribuire un criterio, vedere Distribuire un criterio agli utenti.To deploy a policy, see Deploy a policy to users.

Distribuire un criterio agli utentiDeploy a policy to users

  1. Selezionare un criterio nel riquadro Criteri di protezione delle app.In the App protection policies pane, select a policy.

  2. Nel riquadro Criteri scegliere Assegnazioni, che consente di visualizzare il riquadro Protezione app di Intune - Assegnazioni.In the Policy pane, choose Assignments, which opens the Intune App Protection - Assignments pane. Scegliere Selezionare i gruppi da includere nel riquadro Assegnazioni per aprire il riquadro Selezionare i gruppi da includere.Choose Select groups to include in the Assignments pane to open the Select groups to include pane.

    Schermata del riquadro Assegnazioni con l'opzione di menu Selezionare i gruppi da includere evidenziata

  3. Viene visualizzato un elenco dei gruppi di utenti nel riquadro Aggiungi un gruppo di utenti.A list of user groups is displayed on the Add user group pane. Si tratta di un elenco di tutti i gruppi di sicurezza in Azure Active Directory.This list shows all the security groups in your Azure Active Directory. Selezionare i gruppi di utenti a cui si vuole applicare questo criterio e quindi scegliere Seleziona.Select the user groups you want this policy to apply to, and then choose Select. Se si sceglie Seleziona il criterio verrà distribuito agli utenti.Choosing Select, deploys the policy to users.

    Schermata del riquadro Aggiungi un gruppo di utenti che visualizza l'elenco di utenti di Azure Active Directory

A questo punto, l'utente ha creato un criterio e lo ha distribuito agli utenti.You've now created a policy and deployed it to users.

Solo gli utenti a cui sono state assegnate licenze di Microsoft Intune sono interessati dai criteri.Only users with assigned Microsoft Intune licenses are affected by the policy. Gli utenti del gruppo di sicurezza selezionato a cui non è stata assegnata una licenza di Intune non sono interessati.Users in the selected security group that don’t have an assigned Intune license aren't affected.

Importante

Se si usa Intune con Configuration Manager per gestire i propri dispositivi, il criterio viene applicato solo agli utenti inclusi direttamente nel gruppo selezionato.If you're using Intune with Configuration Manager to manage your devices, the policy is only applied to the users directly in the group that you selected. I membri dei gruppi figlio annidati all'interno del gruppo selezionato non sono interessati.Members of child groups nested within the group you selected aren't affected.

Gli utenti finali possono scaricare le app dall'Apple Store o da Google Play.End users can download the apps from the App store or Google Play. Per altre informazioni, vedere:For more information, see:

Modificare i criteri esistentiChange existing policies

È possibile modificare criteri esistenti e applicarli agli utenti di destinazione.You can edit an existing policy and apply it to the targeted users. Quando tuttavia si modificano criteri esistenti, gli utenti che hanno già effettuato l'accesso alle app non vedranno le modifiche per un intervallo di tempo di 8 ore.However, when you change existing policies, users who are already signed in to the apps won’t see the changes for an 8-hour period.

Per visualizzare immediatamente l'effetto delle modifiche, l'utente finale deve disconnettersi dall'app ed eseguire nuovamente l'accesso.To see the effect of the changes immediately, the end user must log out of the app, and sign back in.

Per modificare l'elenco delle app associate al criterioTo change the list of apps associated with the policy

  1. Nel riquadro Criteri di protezione delle app scegliere i criteri da modificare per aprire un riquadro specifico per i criteri appena selezionati.In the App protection policies pane, choose the policy you want to change to open a pane specific to the policy you just selected.

  2. Nel riquadro dei criteri scegliere App di destinazione per aprire l'elenco delle app.In the policy pane, choose Targeted apps to open the list of apps.

  3. Rimuovere o aggiungere app dall'elenco e scegliere l'icona Salva per salvare le modifiche.Remove or add apps from the list and choose the Save icon to save your changes.

Per modificare l'elenco dei gruppi di utentiTo change the list of user groups

  1. Nel riquadro Criteri di protezione delle app scegliere i criteri da modificare per aprire il riquadro specifico per i criteri selezionati.In the App protection policies pane, choose the policy you want to change to open the pane specific to the policy you selected.

  2. Nel riquadro Criteri scegliere Assegnazioni per aprire il riquadro Protezione app di Intune - Assegnazioni che visualizza l'elenco corrente dei gruppi di utenti che hanno questi criteri.In the policy pane, choose Assignments to open the Intune App Protection - Assignments pane that shows the list of current user groups who have this policy.

  3. Per aggiungere un nuovo gruppo di utenti ai criteri, nella scheda Includi scegliere Selezionare i gruppi da includere e selezionare il gruppo di utenti.To add a new user group to the policy, on the Include tab choose Select groups to include, and select the user group. Scegliere Seleziona per distribuire il criterio al gruppo selezionato.Choose Select to deploy the policy to the group you selected.

  4. Per eliminare un gruppo di utenti, nella scheda Escludi scegliere Selezionare i gruppi da escludere e selezionare il gruppo di utenti.To delete a user group, on the Exclude tab choose Select groups to exclude, and select the user group. Scegliere Seleziona per rimuovere il gruppo di utenti.Choose Select to remove the user group.

Per modificare le impostazioni dei criteriTo change policy settings

  1. Nel riquadro Criteri di protezione delle app scegliere i criteri da modificare per aprire un riquadro specifico per i criteri appena selezionati.In the App protection policies pane, choose the policy you want to change to open a pane specific to the policy you just selected.

  2. Scegliere Impostazioni criteri per aprire il riquadro Impostazioni criteri.Choose Policy settings to open the Policy settings pane.

  3. Modificare le impostazioni e quindi scegliere l'icona Salva per salvare le modifiche.Change the settings, and choose the Save icon to save your changes.

Assegnare i criteri di protezione delle app in base allo stato di gestione del dispositivoTarget app protection policies based on device management state

In molte organizzazioni è consuetudine consentire agli utenti finali di usare sia i dispositivi gestiti Intune Mobile Device Management (MDM), ad esempio i dispositivi di proprietà aziendale, sia i dispositivi non gestiti protetti solo con criteri di protezione delle app di Intune, ad esempio i dispositivi BYO.In many organizations it’s common to allow end users to use both Intune Mobile Device Management (MDM) managed devices, such as corporate owned devices, and un-managed devices protected with only Intune app protection policies, such as BYO devices.

Poiché i criteri di protezione delle app di Intune sono mirati all'identità di un utente, in genere le impostazioni di protezione per un utente vengono applicate sia ai dispositivi registrati (dispositivi MDM gestiti) sia ai dispositivi non registrati (non MDM).Because Intune app protection policies are targeted to a user’s identity, the protection settings for a user traditionally apply to both enrolled (MDM managed) and non-enrolled devices (no MDM). Pertanto, è possibile assegnare un criterio di protezione delle app di Intune sia a dispositivi Intune registrati sia a dispositivi non registrati iOS e Android.Therefore, you can target an Intune app protection policy to either Intune enrolled or un-enrolled iOS and Android devices. È possibile avere criteri di protezione per i dispositivi non gestiti, in cui vengono applicati severi controlli di prevenzione dalla perdita dei dati, e criteri di protezione dati separati per la gestione dei dispositivi MDM gestiti, in cui i controlli DLP possono essere leggermente più morbidi.You can have one protection policy for un-managed devices in which strict data loss prevention (DLP) controls are in place, and a separate protection policy for MDM managed devices, where the DLP controls may be a little more relaxed.

Per creare questi criteri, passare a App per dispositivi mobili > Criteri di protezione delle app nella console di Intune e fare clic su Aggiungi criteri.To create these policies, browse to Mobile apps > App protection policies in the Intune console, and click Add a policy. È anche possibile modificare un criterio di protezione delle app esistente.You can also edit an existing app protection policy. Se si desidera che il criterio di protezione delle app venga applicato sia ai dispositivi gestiti che non gestiti, verificare che l'opzione Includi tutti i tipi di app sia impostata su , il valore predefinito.If you want the app protection policy to apply to both managed and un-managed devices, confirm that the Target to all app types is set to Yes, the default value. Se si desidera assegnare i criteri in modo granulare sulla base dello stato di gestione, impostare l'opzione Includi tutti i tipi di app su No.If you want to granularly assign base on management state, set the Target to all app types option to No.

Affinché le app iOS possano essere considerate "gestite", l'impostazione dei criteri di configurazione IntuneMAMUPN deve essere distribuita per ogni app.For iOS apps to be considered "Managed," the IntuneMAMUPN configuration policy setting needs to be deployed for each app. Per altre informazioni, vedere Come gestire il trasferimento di dati tra app iOS in Microsoft Intune.For more information, see How to manage data transfer between iOS apps in Microsoft Intune.

Nota

Per informazioni sul supporto iOS in merito ai criteri di protezione delle app sulla base dello stato di gestione del dispositivo, vedere Criteri di protezione MAM mirati sulla base dello stato di gestione.For specific iOS support information about app protection policies based on device management state, see MAM protection policies targeted based on management state.

Impostazioni criteriPolicy settings

Per visualizzare l'elenco completo delle impostazioni dei criteri per iOS e Android, selezionare uno dei collegamenti seguenti:To see a full list of the policy settings for iOS and Android, select one of the following links:

Passaggi successiviNext steps

Monitorare la conformità e lo stato utenteMonitor compliance and user status

Vedere ancheSee also