Impostazioni dei criteri di protezione delle app per AndroidAndroid app protection policy settings

Le impostazioni dei criteri descritte in questo argomento possono essere configurate per il criterio di protezione delle app nel pannello Impostazioni del portale di Azure.The policy settings that are described in this topic can be configured for an app protection policy on the Settings blade in the Azure portal. Ci sono due categorie di impostazioni dei criteri: impostazioni di rilocazione dei dati e impostazioni di accesso.There are two categories of policy settings: data relocation settings and access settings. In questo argomento il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.In this topic, the term policy-managed apps refers to apps that are configured with app protection policies.

Impostazioni di rilocazione dei datiData relocation settings

ImpostazioniSetting UsoHow to use Valori predefinitiDefault value(s)
Impedisci backup in AndroidPrevent Android backups Scegliere per impedire all'app di eseguire il backup di dati aziendali o dell'istituto di istruzione nel servizio di backup Android. Scegliere No per consentire all'app di eseguire il backup di dati aziendali o dell'istituto di istruzione.Choose Yes to prevent this app from backing up work or school data to the Android Backup Service Choose No to allow this app to back up work or school data. Yes
Consenti all'app di trasferire i dati ad altre appAllow app to transfer data to other apps Specificare le app da cui questa app può ricevere dati:Specify what apps can receive data from this app:
  • App gestite da criteri: consente il trasferimento solo ad altre app gestite da criteri.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Tutte le app: consente il trasferimento a qualsiasi app.All apps: Allow transfer to any app.
  • Nessuna: non consente il trasferimento a nessuna app, incluse le altre app gestite da criteri.None: Do not allow data transfer to any app, including other policy-managed apps.

Esistono alcuni servizi e app esenti ai quali Intune può consentire il trasferimento dei dati.There are some exempt apps and services to which Intune may allow data transfer. Vedere Esenzioni per il trasferimento dei dati per un elenco completo di app e servizi.See Data transfer exemptions for a full list of apps and services.

Nota: Intune attualmente non supporta la funzionalità Android Instant Apps.Note: Intune does not currently support the Android Instant Apps feature. Intune blocca qualsiasi connessione dati da o verso l'app.Intune will block any data connection to or from the app. Per altre informazioni su Android Instant Apps vedere la documentazione per sviluppatori di Android.See the Android Developer documentation for more information about Android Instant Apps.

Tutte le appAll apps
Consenti all'app di ricevere i dati da altre appAllow app to receive data from other apps Specificare le app che possono trasferire dati a questa app:Specify what apps can transfer data to this app:
  • App gestite da criteri: consente il trasferimento solo da altre app gestite da criteri.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Tutte le app: consente il trasferimento dei dati da qualsiasi app.All apps: Allow data transfer from any app.
  • Nessuna: non consente il trasferimento da alcuna app, incluse le altre app gestite da criteri.None: Do not allow data transfer from any app, including other policy-managed apps.

Esistono alcuni servizi e app esenti, dai quali Intune può consentire il trasferimento dei dati.There are some exempts apps and services from which Intune may allow data transfer. Vedere Esenzioni per il trasferimento dei dati per un elenco completo di app e servizi.See Data transfer exemptions for a full list of apps and services.

Tutte le appAll apps
Impedisci "Salva con nome"Prevent "Save As" Scegliere per disabilitare l'uso dell'opzione Salva con nome in questa app.Choose Yes to disable the use of the Save As option in this app. Scegliere No per consentire l'uso di Salva con nome.Choose No if you want to allow the use of Save As.


Selezionare i servizi di archiviazione in cui è possibile salvare i dati aziendaliSelect which storage services corporate data can be saved to
Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint e archiviazione locale).Users are able to save to the selected services (OneDrive for Busines, SharePoint and Local Storage). Tutti gli altri servizi verranno bloccati.All other services will be blocked.

NoNo

0 selezionato0 selected
Limita le operazioni taglia, copia e incolla con le altre appRestrict cut, copy and paste with other apps Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app.Specify when cut, copy, and paste actions can be used with this app. È possibile scegliere tra:Choose from:
  • Bloccato: non consente le azioni taglia, copia e incolla tra questa app e altre app.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • App gestite da criteri: consente le azioni taglia, copia e incolla tra questa app e altre app gestite da criteri.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • App gestite da criteri con Incolla in: consente le azioni taglia o copia tra questa app e altre app gestite da criteri.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. I dati da qualsiasi app possono essere incollati in questa app.Allow data from any app to be pasted into this app.
  • Qualsiasi app: nessuna restrizione per le azioni taglia, copia e incolla in e da questa app.Any app: No restrictions for cut, copy, and paste to and from this app.
Qualsiasi appAny app
Limita il contenuto Web per la visualizzazione in Managed BrowserRestrict web content to display in the Managed Browser Scegliere per imporre l'apertura dei collegamenti Web nell'app con l'app Managed Browser.Choose Yes to enforce web links in the app to be opened in the Managed Browser app.

Per i dispositivi non registrati in Intune, i collegamenti Web nelle app gestite da criteri possono essere aperti solo nell'app Managed Browser.For devices not enrolled in Intune, the web links in policy-managed apps can open only in the Managed Browser app.

Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri di browser gestiti con Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.
NoNo
Crittografa dati appEncrypt app data Scegliere per abilitare la crittografia dei dati aziendali o dell'istituto di istruzione in questa app.Choose Yes to enable encryption of work or school data in this app. Intune usa uno schema di crittografia OpenSSL AES a 128 bit insieme al sistema di archivio chiavi Android per crittografare i dati dell'app in modo sicuro.Intune uses an OpenSSL, 128-bit AES encryption scheme along with the Android Keystore system to securely encrypt app data. I dati vengono crittografati in modo sincrono durante le operazioni di I/O dei file.Data is encrypted synchronously during file I/O tasks. Il contenuto nella memoria del dispositivo è sempre crittografato.Content on the device storage is always encrypted.

Il metodo di crittografia non è certificato FIPS 140-2.The encryption method is not FIPS 140-2 certified.
Yes
Disabilita la crittografia delle app quando è abilitata la crittografia del dispositivoDisable app encryption when device encryption is enabled Scegliere per disabilitare la crittografia delle app per le risorse di archiviazione delle app interne quando la crittografia dei dispositivi viene rilevata in un dispositivo registrato.Choose Yes to disable app encryption for internal app storage when device encryption is detected on an enrolled device.

Nota: Intune può rilevare solo la registrazione del dispositivo con MDM Intune.Note: Intune can only detect device enrollment with Intune MDM. Le risorse di archiviazione delle app esterne saranno tuttavia crittografate perché i dati non siano accessibili da applicazioni non gestite.External app storage will still be encrypted to ensure data cannot be accessed by unmanaged applications.
Yes
Disabilita sincronizzazione contattiDisable contact sync Scegliere per impedire all'app di salvare dati nell'app Contatti nativa nel dispositivo.Choose Yes to prevent the app from saving data to the native Contacts app on the device. Se si sceglie No, l'app può salvare dati nell'app Contatti nativa nel dispositivo.If you choose No, the app can save data to the native Contacts app on the device.

Quando si esegue una cancellazione selettiva per rimuovere dati aziendali o dell'istituto di istruzione dall'app, i contatti sincronizzati direttamente dall'app nell'app Contatti nativa vengono rimossi.When you perform a selective wipe to remove work or school data from the app, contacts synced directly from the app to the native Contacts app are removed. Tutti i contatti sincronizzati dalla Rubrica nativa a un'altra origine esterna non possono essere cancellati.Any contacts synced from the native address book to another external source cannot be wiped. Attualmente questa opzione è disponibile solo per l'app Microsoft Outlook.Currently this applies only to the Microsoft Outlook app.
NoNo
Disabilita stampaDisable printing Scegliere per impedire all'app di stampare dati aziendali o dell'istituto di istruzione.Choose Yes to prevent the app from printing work or school data. NoNo
Nota

Il metodo di crittografia per l'impostazione Crittografa dati app non è certificato FIPS 140-2.The encryption method for the Encrypt app data setting is not FIPS 140-2 certified.

Esenzioni per il trasferimento dei datiData transfer exemptions

Esistono alcune app e servizi della piattaforma esenti, per i quali i criteri di protezione delle app di Intune possono consentire il trasferimento dei dati in entrambe le direzioni.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from. Ad esempio, tutte le app abilitate per Intune in Android devono essere in grado di trasferire i dati a e da Google Text-to-Speech, in modo da consentire la lettura a voce alta del testo dallo schermo del dispositivo mobile.For example, all Intune-enlightened apps on Android must be able to transfer data to and from the Google Text-to-speech, so that text from your mobile device screen can be read aloud. Questo elenco è soggetto a modifiche e include le app e i servizi considerati utili per una produttività sicura.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Esenzioni completeFull exemptions

Queste app e servizi dispongono di autorizzazioni complete per il trasferimento di dati a e da app gestite da Intune.These apps and services are fully allowed for data transfer to and from Intune-managed apps.

Nome app/servizioApp/service name DescrizioneDescription
com.android.phonecom.android.phone App nativa del telefonoNative phone app
com.android.vendingcom.android.vending Google Play StoreGoogle Play Store
com.android.documentsuicom.android.documentsui Selettore documenti AndroidAndroid Document Picker
com.google.android.webviewcom.google.android.webview WebView, necessario per molte app tra cui Outlook.WebView, which is necessary for many apps including Outlook.
com.android.webviewcom.android.webview Webview, necessario per molte app tra cui Outlook.Webview, which is necessary for many apps including Outlook.
com.google.android.ttscom.google.android.tts Sintesi vocale di GoogleGoogle Text-to-speech
com.android.providers.settingscom.android.providers.settings Impostazioni di sistema AndroidAndroid system settings
com.azure.authenticatorcom.azure.authenticator App Azure Authenticator, necessaria per il completamento dell'autenticazione in molte configurazioni.Azure Authenticator app, which is required for successful authentication in many scenarios.
com.microsoft.windowsintune.companyportalcom.microsoft.windowsintune.companyportal Intune Portale aziendaleIntune Company Portal

Esenzioni condizionaliConditional exemptions

Queste app e servizi sono autorizzati al trasferimento di dati a e da app gestite da Intune solo se si verificano determinate condizioni.These apps and services are only allowed for data transfer to and from Intune-managed apps under certain conditions.

Nome app/servizioApp/service name DescrizioneDescription Condizione per l'esenzioneExemption condition
com.Android.Chromecom.android.chrome Browser Google ChromeGoogle Chrome Browser Chrome viene usato per alcuni componenti WebView in Android 7.0 e versioni successive e non viene mai nascosto.Chrome is used for some WebView components on Android 7.0+ and is never hidden from view. Tuttavia il flusso di dati a e dall'app è sempre soggetto a restrizioni.Data flow to and from the app, however, is always restricted.
com.skype.raidercom.skype.raider SkypeSkype L'app Skype è consentita solo per determinate azioni che generano una chiamata telefonica.The Skype app is allowed only for certain actions that result in a phone call.
com.android.providers.mediacom.android.providers.media Provider di contenuti multimediali AndroidAndroid media content provider Il provider di contenuti multimediali è consentito solo per l'azione di selezione della suoneria.The media content provider allowed only for the ringtone selection action.
com.google.android.gms; com.google.android.gsfcom.google.android.gms; com.google.android.gsf Pacchetti di Google Play ServicesGoogle Play Services packages Questi pacchetti sono consentiti per le azioni di Google Cloud Messaging, ad esempio per le notifiche push.These packages are allowed for Google Cloud Messaging actions, such as push notifications.

Impostazioni di accessoAccess settings

ImpostazioniSetting UsoHow to use Valori predefinitiDefault value(s)
Richiedi PIN per l'accessoRequire PIN for access Scegliere per richiedere un PIN per usare questa app.Choose Yes to require a PIN to use this app. All'utente viene richiesto di impostare questo PIN alla prima esecuzione dell'app in un contesto aziendale o dell'istituto di istruzione.The user is prompted to set up this PIN the first time they run the app in a work or school context. Valore predefinito = .Default value = Yes.

Configurare le impostazioni seguenti per la complessità del PIN:Configure the following settings for PIN strength:
  • Numero di tentativi prima della reimpostazione del PIN: specifica il numero di tentativi di immissione del PIN che è possibile eseguire prima che all'utente venga richiesto di reimpostare il PIN.Number of attempts before PIN reset: Specify the number of tries the user has to successfully enter their PIN before they must reset it. Valore predefinito = 5.Default value = 5.
  • Consenti PIN semplice: scegliere per consentire agli utenti di usare sequenze PIN semplici, come 1234 o 1111.Allow simple PIN: Choose Yes to allow users to use simple PIN sequences like 1234 or 1111. Scegliere No per impedire l'uso di sequenze semplici.Choose No to prevent them from using simple sequences. Valore predefinito = .Default value = Yes.
  • Lunghezza PIN: specificare il numero minimo di cifre in una sequenza di PIN.PIN length: Specify the minimum number of digits in a PIN sequence. Valore predefinito = 4.Default value = 4.
  • Consenti impronta digitale anziché PIN (Android 6.0+): scegliere per consentire all'utente di usare l'autenticazione con impronta digitale invece di un PIN per accedere all'app.Allow fingerprint instead of PIN (Android 6.0+): Choose Yes to allow the user to use fingerprint authentication instead of a PIN for app access. Valore predefinito = .Default value = Yes.
Nei dispositivi Android è possibile consentire all'utente di confermare l'identità usando l'autenticazione con impronta digitale Android invece di un PIN.On Android devices, you can let the user prove their identity by using Android fingerprint authentication instead of a PIN. Quando l'utente prova a usare l'app usando il proprio account aziendale o dell'istituto di istruzione, gli viene richiesto di identificarsi con l'impronta digitale invece che immettendo un PIN.When the user tries use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN.
Richiedi PIN: sìRequire PIN: Yes

Tentativi prima della reimpostazione del PIN: 5PIN reset attempts: 5

Consenti PIN semplice: sìAllow simple PIN: Yes

Lunghezza PIN: 4PIN length: 4

Consenti impronta digitale: sìAllow fingerprint: Yes
Richiedi credenziali aziendali per l'accessoRequire corporate credentials for access Scegliere per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione anziché immettere un PIN per accedere all'app.Choose Yes to require the user to sign in with their work or school account instead of entering a PIN for app access. Se questa opzione è impostata su , ha la priorità sulle richieste di PIN o ID tocco.If you set this to Yes, this overrides the requirements for PIN or Touch ID. NoNo
Blocca l'esecuzione delle app gestite nei dispositivi jailbroken o rootedBlock managed apps from running on jailbroken or rooted devices Scegliere per impedire l'esecuzione dell'app nei dispositivi jailbroken o rooted.Choose Yes to prevent this app from running on jailbroken or rooted devices. L'utente potrà comunque usare le app per le attività personali, ma dovrà usare un dispositivo diverso per accedere ai dati aziendali o dell'istituto di istruzione nell'app.The user will continue to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app. Yes
Controlla di nuovo i requisiti di accesso dopo (minuti)Recheck the access requirements after (minutes) Configurare le seguenti impostazioni:Configure the following settings:
  • Timeout: numero di minuti prima che vengano ricontrollati i requisiti di accesso definiti in precedenza nei criteri.Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Ad esempio, un amministratore attiva il PIN nel criterio e l'utente deve immettere un PIN quando apre un'app MAM.For example, an admin turns on PIN in the policy, a user opens a MAM app, and must enter a pin. Quando si usa questa impostazione, l'utente non dovrà immettere un PIN per alcuna app MAM per altri 30 minuti (valore predefinito).When using this setting, the user would not have to enter a PIN on any MAM app for another 30 minutes (default value).
  • Periodo di prova offline: numero di minuti per cui è consentita l'esecuzione di app MAM offline. Specificare il periodo (in minuti) prima che vengano ricontrollati i requisiti di accesso per l'app.Offline grace period: This is the number of minutes that MAM apps can run offline, specify the time (in minutes) before the access requirements for the app are rechecked. Valore predefinito: 720 minuti (12 ore).Default value = 720 minutes (12 hours). Alla scadenza di questo periodo, l'app richiederà l'autenticazione utente per AAD per poter continuare l'esecuzione.After this period is expired, the app will require user authentication to AAD, so the app can continue to run.
Timeout: 30Timeout: 30

Offline: 720Offline: 720
Intervallo offline (giorni) prima della cancellazione dei dati dell'appOffline interval before app data is wiped (days) Trascorso questo intervallo di esecuzione offline (numero di giorni definito dall'amministratore), l'app chiederà all'utente di connettersi alla rete e ripetere l'autenticazione.After this many days (defined by the admin) of running offline, the app will require the user to connect to the network and reauthenticate. Se l'utente viene autenticato correttamente, può continuare ad accedere ai dati e l'intervallo offline viene reimpostato.If the user successfully authenticates, they can continue to access their data and the offline interval will reset. Se l'autenticazione non riesce, l'app eseguirà una cancellazione selettiva dell'account utenti e dei dati.If the user fails to authenticate, the app will perform a selective wipe of the users account and data. Vedere Come cancellare solo i dati aziendali dalle app gestite da Intune per altre informazioni sui dati che vengono rimossi con una cancellazione selettiva.See How to wipe only corporate data from Intune-managed apps for more information on what data is removed with a selective wipe.

90 giorni90 days
Blocca acquisizione schermo e Assistente per Android (Android 6.0+)Block screen capture and Android Assistant (Android 6.0+) Scegliere per bloccare le funzionalità di acquisizione schermo e Assistente per Android del dispositivo quando si usa questa app.Choose Yes to block screen capture and the Android Assistant capabilities of the device when using this app. Se si sceglie verrà anche sfocata l'immagine di anteprima della funzione Switch quando si usa questa app con un account aziendale o dell'istituto di istruzione.Choosing Yes will also blur the App-switcher preview image when using this app with a work or school account. NoNo
Disabilita il PIN dell'app quando il PIN del dispositivo è gestitoDisable app PIN when device PIN is managed Scegliere per disabilitare il PIN dell'app quando viene rilevato un blocco del dispositivo in un dispositivo registrato.Choose Yes to disable the app PIN when a device lock is detected on an enrolled device. NoNo