Che cosa sono i criteri di protezione delle app?What are app protection policies?

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

I criteri di protezione delle app di Microsoft Intune consentono di proteggere i dati aziendali ed evitare la perdita di dati.Microsoft Intune app protection policies help protect your company data and prevent data loss.

Protezione dei dati delle appHow you can protect app data

I dipendenti usano dispositivi mobili per le attività personali e aziendali.Your employees use mobile devices for both personal and work tasks. Pur assicurandosi della produttività dei dipendenti, è auspicabile prevenire anche la perdita di dati, sia intenzionale sia non intenzionale.While making sure your employees can be productive, you also want to prevent data loss, intentional and unintentional. Inoltre, può essere utile proteggere i dati aziendali accessibili con dispositivi anche nel caso in cui vengano gestiti dall'utente.In addition, you want to have the ability to protect company data accessed using devices even in the case where they are not managed by you.

Per proteggere i dati aziendali, è possibile usare i criteri di protezione delle app di Intune.You can use Intune app protection policies to help protect your company’s data. Dal momento che i criteri di protezione delle app di Intune possono essere usati in modo indipendente da qualsiasi soluzione di gestione di dispositivi mobili (MDM), è possibile usarli per proteggere i dati aziendali con o senza la registrazione di dispositivi in una soluzione di gestione dei dispositivi.Because Intune app protection policies can be used independent of any mobile-device management (MDM) solution, you can use it to protect your company’s data with or without enrolling devices in a device management solution. Implementando i criteri a livello di app è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del reparto IT.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

I criteri di protezione delle app possono essere configurati per app in esecuzione su dispositivi con le caratteristiche seguenti:App protection policies can be configured for app running on devices that are:

  • Registrati in Microsoft Intune: i dispositivi appartenenti a questa categoria sono in genere dispositivi di proprietà dell'azienda.Enrolled in Microsoft Intune: The devices in this category are typically corporate owned devices.

  • Registrati in una soluzione di gestione di dispositivi mobili di terze parti: i dispositivi appartenenti a questa categoria sono in genere dispositivi di proprietà dell'azienda.Enrolled in a third-party Mobile device management (MDM) solution: The devices in this category are typically corporate owned devices.

    Nota

    I criteri di gestione delle app per dispositivi mobili non devono essere usati con soluzioni di gestione delle app per dispositivi mobili o di contenitore protetto di terze parti.Mobile app management policies should not be used with third party mobile app management or secure container solutions.

  • Non registrati in alcuna soluzione di gestione di dispositivi mobili: i dispositivi appartenenti a questa categoria sono in genere dispositivi di proprietà dei dipendenti non gestiti o registrati in Intune o altre soluzioni MDM.Not enrolled in any mobile device management solution: The devices in this category are typically employee owned devices that are not managed or enrolled in Intune or other MDM solutions.

Importante

È possibile creare criteri di gestione delle app per dispositivi mobili per le app di Office per dispositivi mobili che si connettono ai servizi di Office 365.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. I criteri di protezione delle app non sono supportati per le app che si connettono ai servizi locali di Exchange, Skype for Business o SharePoint.App protection policies are not supported for apps that connect to on-premises Exchange, Skype for Business, or SharePoint services.

I vantaggi più rilevanti dell'uso dei criteri di protezione delle app sono i seguenti:The important benefits of using App protection policies are

  • Proteggere i dati aziendali a livello di app.Protecting your company data at the app level. Dal momento che la gestione delle app per dispositivi mobili non richiede la gestione dei dispositivi, è possibile proteggere dati aziendali su dispositivi sia gestiti che non gestiti.Since mobile app management does not require device management, you can protect company data on both managed and unmanaged devices. La gestione dei dati è incentrata sull'identità dell'utente che elimina il requisito della gestione dei dispositivi.The management is centered on the user identity, which removes the requirement for device management.

  • La produttività dell'utente finale non è compromessa e i criteri non vengono applicati quando si usa l'app in un contesto personale.End user productivity is not impacted, and the policies are not applied when using the app in a personal context. I criteri vengono applicati solo in un contesto aziendale, offrendo così la possibilità di proteggere i dati aziendali senza modificare i dati personali.The policies are applied only in a work context, thus giving you the ability to protect company data without touching personal data.

L'uso di soluzioni MDM con criteri di protezione delle app comporta vantaggi aggiuntivi e le aziende possono usare contemporaneamente criteri di protezione delle app con o senza soluzioni MDM.There are additional benefits to using MDM with App protection policies, and companies can use both App protection policies with and without MDM at the same time. Ad esempio, un dipendente può usare un telefono rilasciato dall'azienda oltre a un tablet personale.For example, an employee may use a phone issued by the company as well as a personal tablet. In questo caso, il telefono aziendale è registrato in MDM e protetto dai criteri di protezione delle app e il dispositivo personale è protetto solo dai criteri di protezione delle app.In this case, the company phone is enrolled in MDM and protected by App protection policies, and the personal device is protected by App protection policies only.

  • MDM verifica che il dispositivo sia protetto.MDM makes sure that the device is protected. Ad esempio, è possibile richiedere un PIN per accedere al dispositivo oppure distribuire le app gestite al dispositivo.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. È anche possibile distribuire app per dispositivi con la soluzione MDM, per fornire maggiore controllo sulla gestione di app.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

  • I criteri di protezione delle app garantiscono che le misure di sicurezza a livello di app siano presenti.App protection policies makes sure that the app-layer protections are in place. Ad esempio, è possibile richiedere un PIN per aprire un'app in un contesto aziendale, o per condividere i dati tra app o per impedire che i dati dell'app aziendale vengano salvati in un percorso di archiviazione personale.For example, you can require a PIN to open an app in a work context, or if data can be shared between apps, or preventing company app data from being saved to a personal storage location.

Piattaforme supportate per i criteri di protezione delle appSupported platforms for app protection polices

  • iOS 9 o versioni successiveiOS 9 or later
  • Android 4.4 o versioni successiveAndroid 4.4 or later

I dispositivi Windows non sono attualmente supportati.Windows devices are currently not supported. Tuttavia, quando si registrano i dispositivi di Windows 10 con Intune, è possibile usare Windows Information Protection, che offre funzionalità simili.However, when you enroll Windows 10 devices with Intune, you can use Windows Information Protection, which offers similar functionality. Per altre informazioni, vedere Proteggere i dati aziendali con Windows Information Protection (WIP).For details, see Protect your enterprise data using Windows Information Protection (WIP).

Come i criteri di protezione delle app proteggono i dati dell'appHow app protection policies protect app data

App senza criteri di protezione delle appApps without app protection policies

Immagine che mostra lo spostamento dei dati tra le app quando non sono presenti criteri di protezione delle app

Quando le app vengono usate senza restrizioni, può crearsi una commistione di dati aziendali e personali.When apps are used without restrictions, company and personal data can get intermingled. I dati aziendali potrebbero finire in percorsi come l'archivio personale o essere trasferiti alle app esterne al proprio ambito, causando la perdita di dati.Company data could end up in locations like personal storage or transferred to apps outside of your purview, resulting in data loss. Le frecce nel diagramma indicano lo spostamento senza restrizioni dei dati tra le app (aziendali e personali) e i percorsi di archiviazione.The arrows in the diagram show unrestricted data movement between apps (corporate and personal) and to storage locations.

Protezione dei dati con i criteri di protezione delle appData protection with app protection policies

<span data-ttu-id="0fe53-146">Immagine che mostra in che modo i dati aziendali vengono protetti tramite l'applicazione di criteri di protezione delle app</span><span class="sxs-lookup"><span data-stu-id="0fe53-146">Image that shows how company data is protect when App protection policies are applied</span></span>

È possibile usare i criteri di protezione delle app per impedire il salvataggio dei dati aziendali nell'archiviazione locale del dispositivo e limitare lo spostamento dei dati in altre app non protette dai criteri di protezione delle app.You can use App protection policies to prevent company data from saving to the local storage of the device, and restrict data movement to other apps that are not protected by App protection policies. Le impostazioni dei criteri di protezione delle app includono:App protection policy settings include:

  • Criteri di rilocazione dei dati, ad esempio Impedisci Salva con nome e Limita le operazioni taglia, copia e incolla.Data relocation policies like Prevent Save As, Restrict cut, copy, and paste.
  • Impostazioni dei criteri di accesso, ad esempio Richiedi PIN semplice per l'accesso, Blocca l'esecuzione delle app gestite nei dispositivi jailbroken o rooted.Access policy settings like Require simple PIN for access, Block managed apps from running on jailbroken or rooted devices.

Protezione dei dati con criteri di protezione delle app nei dispositivi gestiti da una soluzione MDMData protection with app protection policies on devices managed by a MDM solution

Immagine che mostra il funzionamento dei criteri di protezione delle app sui dispositivi BYOD

Per i dispositivi registrati in una soluzione MDM-For devices enrolled in an MDM solution-

L'immagine precedente mostra i livelli di protezione offerti dalla soluzione MDM e dai criteri di protezione delle app.The illustration above shows the layers of protection that MDM and App protection policies offer together.

La soluzione MDM:The MDM solution:

  • Registra il dispositivoEnrolls the device

  • Distribuisce le app al dispositivoDeploys the apps to the device

  • Permette la conformità e la gestione continua del dispositivoProvides ongoing device compliance and management

I criteri di protezione delle app aggiungono valore perché:App protection policies add value by:

  • Aiutano a proteggere i dati aziendali dalla divulgazione alle app e ai servizi consumerHelping protect company data from leaking to consumer apps and services

  • Applicano restrizioni (salvataggio con nome, Appunti, PIN e così via) alle app per dispositivi mobiliApplying restrictions (save-as, clipboard, PIN, etc.) to mobile apps

  • Cancellano i dati aziendali dalle app senza rimuoverle dal dispositivoWipe company data from apps without removing those apps from the device

Protezione dei dati con i criteri di protezione delle app per dispositivi senza registrazioneData protection with app protection policies for devices without enrollment

Immagine che mostra il funzionamento dei criteri di protezione delle app sui dispositivi gestiti

L'immagine precedente illustra il funzionamento dei criteri di protezione dei dati a livello di app senza MDM.The diagram above illustrates how the data protection policies work at the app level without MDM.

Per i dispositivi BYOD non registrati in alcuna soluzione MDM, i criteri di protezione delle app possono aiutare a proteggere i dati aziendali a livello di app.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. Esistono tuttavia alcune limitazioni da tenere in considerazione, ad esempio:However, there are some limitations to be aware of, like:

  • Non è possibile distribuire le app al dispositivo.You cannot deploy apps to the device. L'utente finale deve ottenere le app dall'archivio.The end user has to get the apps from the store.

  • Non è possibile eseguire il provisioning dei profili certificato in questi dispositivi.You cannot provision certificate profiles on these devices.

  • Non è possibile eseguire il provisioning delle impostazioni Wi-FI e VPN aziendali in questi dispositivi.You cannot provision company Wi-Fi and VPN settings on these devices.

Supporto per identità multipleMulti-identity

Le app che supportano identità multiple consentono di usare account differenti, aziendale e personale, per accedere alle stesse app, mentre i criteri di protezione delle app vengono applicati solo quando le app vengono usate nel contesto aziendale.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies are applied only when the apps are used in the work context.

Ad esempio, quando un utente avvia l'app OneDrive usando il proprio account aziendale, non può spostare i file in un percorso di archiviazione personale.For example, when a user starts the OneDrive app by using their work account, they can't move the files to a personal storage location. Tuttavia, quando tale utente usa OneDrive con il proprio account personale, può copiare e spostare i dati da OneDrive senza restrizioni.However, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Passaggi successiviNext steps

Come creare e distribuire i criteri di protezione delle app con Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune