Impostazioni dei criteri di protezione delle app per iOSiOS app protection policy settings

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

Le impostazioni dei criteri descritte in questo argomento possono essere configurate per un criterio di protezione delle app nel pannello Impostazioni del portale di Azure.The policy settings described in this topic can be configured for an app protection policy on the Settings blade in the Azure portal.

Ci sono due categorie di impostazioni dei criteri: impostazioni di rilocazione dei dati e impostazioni di accesso.There are two categories of policy settings: data relocation settings and access settings. In questo argomento il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.In this topic, the term policy-managed apps refers to apps that are configured with app protection policies.

Impostazioni di rilocazione dei datiData relocation settings

ImpostazioniSetting UsoHow to use Valore predefinitoDefault value
Impedisci backup in iTunes e iCloudPrevent iTunes and iCloud backups Scegliere per impedire all'app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud.Choose Yes to prevent this app from backing up work or school data to iTunes and iCloud. Scegliere No per consentire all'app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud.Choose No to allow this app to back up of work or school data to iTunes and iCloud. Yes
Consenti all'app di trasferire i dati ad altre appAllow app to transfer data to other apps Specificare le app da cui questa app può ricevere dati:Specify what apps can receive data from this app:
  • App gestite da criteri: consente il trasferimento solo ad altre app gestite da criteri.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Tutte le app: consente il trasferimento a qualsiasi app.All apps: Allow transfer to any app.
  • Nessuna: non consente il trasferimento a nessuna app, incluse le altre app gestite da criteri.None: Do not allow data transfer to any app, including other policy-managed apps.
Inoltre, se si imposta l'opzione su App gestite da criteri o Nessuna, la funzionalità di iOS 9 che consente alla ricerca Spotlight di cercare i dati nelle app verrà bloccata.Additionally, if you set this option to Policy managed apps or None, the iOS 9 feature that allows Spotlight Search to search data within apps will be blocked.

Esistono alcuni servizi e app esenti, ai quali Intune può consentire il trasferimento dei dati.There are some exempts apps and services to which Intune may allow data transfer. Vedere Esenzioni per il trasferimento dei dati per un elenco completo di app e servizi.See Data transfer exemptions for a full list of apps and services.
Tutte le appAll apps
Consenti all'app di ricevere i dati da altre appAllow app to receive data from other apps Specificare le app che possono trasferire dati a questa app:Specify what apps can transfer data to this app:
  • App gestite da criteri: consente il trasferimento solo da altre app gestite da criteri.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Tutte le app: consente il trasferimento dei dati da qualsiasi app.All apps: Allow data transfer from any app.
  • Nessuna: non consente il trasferimento da alcuna app, incluse le altre app gestite da criteri.None: Do not allow data transfer from any app, including other policy-managed apps.
Esistono alcuni servizi e app esenti, dai quali Intune può consentire il trasferimento dei dati.There are some exempts apps and services from which Intune may allow data transfer. Vedere Esenzioni per il trasferimento dei dati per un elenco completo di app e servizi.See Data transfer exemptions for a full list of apps and services.
Tutte le appAll apps
Impedisci "Salva con nome"Prevent "Save As" Scegliere per disabilitare l'uso dell'opzione Salva con nome in questa app.Choose Yes to disable the use of the Save As option in this app. Scegliere No per consentire l'uso di Salva con nome.Choose No if you want to allow the use of Save As. NoNo
Limita le operazioni taglia, copia e incolla con le altre appRestrict cut, copy and paste with other apps Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app.Specify when cut, copy, and paste actions can be used with this app. È possibile scegliere tra:Choose from:
  • Bloccato: non consente le azioni taglia, copia e incolla tra questa app e altre app.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • App gestite da criteri: consente le azioni taglia, copia e incolla tra questa app e altre app gestite da criteri.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • App gestite da criteri con Incolla in: consente le azioni taglia o copia tra questa app e altre app gestite da criteri.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. I dati da qualsiasi app possono essere incollati in questa app.Allow data from any app to be pasted into this app.
  • Qualsiasi app: nessuna restrizione per le azioni taglia, copia e incolla in e da questa app.Any app: No restrictions for cut, copy, and paste to and from this app.
Qualsiasi appAny app
Limita il contenuto Web per la visualizzazione in Managed BrowserRestrict web content to display in the Managed Browser Scegliere per imporre l'apertura dei collegamenti Web nell'app con l'app Managed Browser.Choose Yes to enforce web links in the app to be opened in the Managed Browser app.

Per i dispositivi non registrati in Intune, i collegamenti Web nelle app gestite da criteri possono essere aperti solo nell'app Managed Browser.For devices not enrolled in Intune, the web links in policy-managed apps can open only in the Managed Browser app.

Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri di browser gestiti con Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.
NoNo
Crittografa dati appEncrypt app data Per le applicazioni gestite da criteri, i dati inattivi vengono crittografati usando lo schema di crittografia a livello di dispositivo fornito da iOS.For policy-managed apps, data is encrypted at rest using the device-level encryption scheme provided by iOS. Quando viene richiesto un PIN, i dati vengono crittografati in base alle impostazioni nei criteri di protezione delle app.When a PIN is required, the data is encrypted according to the settings in the app protection policy.

Passare alla documentazione di Apple ufficiale qui per vedere quali moduli di crittografia iOS sono certificati FIPS 140-2 o in attesa della certificazione FIPS 140-2.Go to the official Apple documentation here to see which iOS encryption modules are FIPS 140-2 certified or pending FIPS 140-2 certification.

Specificare quando vengono crittografati i dati aziendali o dell'istituto di istruzione nell'app.Specify when work or school data in this app is encrypted. È possibile scegliere tra:Choose from:
  • Quando il dispositivo è bloccato: tutti i dati delle app associati a questo criterio vengono crittografati quando il dispositivo è bloccato.When device is locked: All app data that is associated with this policy is encrypted while the device is locked.
  • Quando il dispositivo è bloccato e sono presenti file aperti: tutti i dati delle app associati a questo criterio vengono crittografati quando il dispositivo è bloccato, tranne i dati nei file attualmente aperti nell'app.When device is locked and there are open files: All app data associated with this policy is encrypted while the device is locked, except for data in the files that are currently open in the app.
  • Dopo il riavvio del dispositivo: tutti i dati delle app associati a questo criterio vengono crittografati al riavvio del dispositivo e restano crittografati fino a quando il dispositivo non viene sbloccato per la prima volta.After device restart:All app data associated with this policy is encrypted when the device is restarted, until the device is unlocked for the first time.
  • Usa impostazioni dispositivo: i dati delle app vengono crittografati in base alle impostazioni predefinite del dispositivo.Use device settings: App data is encrypted based on the default settings on the device.
Quando si abilita questa impostazione, è probabile che all'utente venga richiesto di impostare e usare un PIN per accedere al dispositivo.When you enable this setting, the user may be required to set up and use a PIN to access their device. Se non è stato impostato un PIN ed è necessaria la crittografia, le app non vengono aperte e all'utente viene visualizzato un messaggio che indica che l'azienda ha richiesto di impostare un PIN nel dispositivo per accedere all'app.If there is no device PIN and encryption is required, the apps will not open and the user will be prompted to set a PIN with the message “Your organization has required you to first enable a device PIN to access this app.”
Quando il dispositivo è bloccatoWhen device is locked
Disabilita sincronizzazione contattiDisable contact sync Scegliere per impedire all'app di salvare dati nell'app Contatti nativa nel dispositivo.Choose Yes to prevent the app from saving data to the native Contacts app on the device. Se si sceglie No, l'app può salvare dati nell'app Contatti nativa nel dispositivo.If you choose No, the app can save data to the native Contacts app on the device.

Quando si esegue una cancellazione selettiva per rimuovere dati aziendali o dell'istituto di istruzione dall'app, i contatti sincronizzati direttamente dall'app nell'app Contatti nativa vengono rimossi.When you perform a selective wipe to remove work or school data from the app, contacts synced directly from the app to the native Contacts app are removed. Tutti i contatti sincronizzati dalla Rubrica nativa a un'altra origine esterna non possono essere cancellati.Any contacts synced from the native address book to another external source cannot be wiped. Attualmente questa opzione è disponibile solo per l'app Microsoft Outlook.Currently this applies only to the Microsoft Outlook app.
NoNo
Disabilita stampaDisable printing Scegliere per impedire all'app di stampare dati aziendali o dell'istituto di istruzione.Choose Yes to prevent the app from printing work or school data. NoNo
Selezionare i servizi di archiviazione in cui è possibile salvare i dati aziendaliSelect which storage services corporate data can be saved to Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint e archiviazione locale).Users are able to save to the selected services (OneDrive for Business, SharePoint and Local Storage). Tutti gli altri servizi verranno bloccati.All other services will be blocked. 0 selezionato0 Selected
Nota

Nessuna delle impostazioni di rilocazione dei dati controlla la funzionalità "Apri in" gestita di Apple nei dispositivi iOS.None of the data relocation settings controls the Apple managed open-in feature on iOS devices. Per gestire la funzionalità "Apri in" gestita di Apple, vedere Gestire il trasferimento di dati tra app iOS con Microsoft Intune.To use manage Apple open-in, see Manage data transfer between iOS apps with Microsoft Intune.

Esenzioni per il trasferimento dei datiData transfer exemptions

Esistono alcune app e servizi della piattaforma esenti, per i quali in determinati scenari i criteri di protezione delle app di Intune possono consentire il trasferimento dei dati in entrambe le direzioni.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from in certain scenarios. Questo elenco è soggetto a modifiche e include le app e i servizi considerati utili per una produttività sicura.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Nome/i app/servizioApp/service name(s) DescrizioneDescription
tel; telprompttel; telprompt App nativa del telefonoNative phone app
skypeskype SkypeSkype
app-settingsapp-settings Impostazioni del dispositivoDevice settings
itms; itmss; itms-apps; itms-appss; itms-servicesitms; itmss; itms-apps; itms-appss; itms-services App StoreApp Store
calshowcalshow Calendario nativoNative Calendar

Impostazioni di accessoAccess settings

ImpostazioniSetting UsoHow to use Valore predefinitoDefault value
Richiedi PIN per l'accessoRequire PIN for access Scegliere per richiedere un PIN per usare questa app.Choose Yes to require a PIN to use this app. All'utente viene richiesto di impostare questo PIN alla prima esecuzione dell'app in un contesto aziendale o dell'istituto di istruzione.The user is prompted to set up this PIN the first time they run the app in a work or school context. Valore predefinito = .Default value = Yes.

Configurare le impostazioni seguenti per la complessità del PIN:Configure the following settings for PIN strength:
  • Numero di tentativi prima della reimpostazione del PIN: specifica il numero di tentativi di immissione del PIN che è possibile eseguire prima che all'utente venga richiesto di reimpostare il PIN.Number of attempts before PIN reset: Specify the number of tries the user has to successfully enter their PIN before they must reset it. Valore predefinito = 5.Default value = 5.
  • Consenti PIN semplice: scegliere per consentire agli utenti di usare sequenze PIN semplici, come 1234 o 1111.Allow simple PIN: Choose Yes to allow users to use simple PIN sequences like 1234 or 1111. Scegliere No per impedire l'uso di sequenze semplici.Choose No to prevent them from using simple sequences. Valore predefinito = .Default value = Yes.
  • Lunghezza PIN: specificare il numero minimo di cifre in una sequenza di PIN.PIN length: Specify the minimum number of digits in a PIN sequence. Valore predefinito = 4.Default value = 4.
  • Consenti impronta digitale anziché PIN (iOS 8.0+): scegliere per consentire all'utente di usare l'ID tocco invece di un PIN per accedere all'app.Allow fingerprint instead of PIN (iOS 8.0+): Choose Yes to allow the user to use Touch ID instead of a PIN for app access. Valore predefinito = Default value = Yes
Nei dispositivi iOS è possibile consentire all'utente di confermare l'identità usando l'ID tocco invece di un PIN.On iOS devices, you can let the user prove their identity by using Touch ID instead of a PIN. Quando l'utente prova a usare l'app usando il proprio account aziendale o dell'istituto di istruzione, gli viene richiesto di identificarsi con l'impronta digitale invece che immettendo un PIN.When the user tries use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN. Quando questa impostazione è abilitata, l'immagine di anteprima della funzione Switch sarà sfocata quando si usa un account aziendale o dell'istituto di istruzione.When this setting is enabled, the App-switcher preview image will be blurred while using a work or school account.
Richiedi PIN: sìRequire PIN: Yes

Tentativi prima della reimpostazione del PIN: 5PIN reset attempts: 5

Consenti PIN semplice: sìAllow simple PIN: Yes

Lunghezza PIN: 4PIN length: 4

Consenti impronta digitale: sìAllow fingerprint: Yes
Richiedi credenziali aziendali per l'accessoRequire corporate credentials for access Scegliere per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione anziché immettere un PIN per accedere all'app.Choose Yes to require the user to sign in with their work or school account instead of entering a PIN for app access. Se questa opzione è impostata su , ha la priorità sulle richieste di PIN o ID tocco.If you set this to Yes, this overrides the requirements for PIN or Touch ID. NoNo
Blocca l'esecuzione delle app gestite nei dispositivi jailbroken o rootedBlock managed apps from running on jailbroken or rooted devices Scegliere per impedire l'esecuzione dell'app nei dispositivi jailbroken o rooted.Choose Yes to prevent this app from running on jailbroken or rooted devices. L'utente potrà comunque usare le app per le attività personali, ma dovrà usare un dispositivo diverso per accedere ai dati aziendali o dell'istituto di istruzione nell'app.The user will continue to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app. Yes
Controlla di nuovo i requisiti di accesso dopo (minuti)Recheck the access requirements after (minutes) Configurare le seguenti impostazioni:Configure the following settings:
  • Timeout: numero di minuti prima che vengano ricontrollati i requisiti di accesso definiti in precedenza nei criteri.Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Ad esempio, un amministratore attiva il PIN nel criterio e l'utente deve immettere un PIN quando apre un'app MAM.For example, an admin turns on PIN in the policy, a user opens a MAM app, and must enter a pin. Quando si usa questa impostazione, l'utente non dovrà immettere un PIN per alcuna app MAM per altri 30 minuti (valore predefinito).When using this setting, the user would not have to enter a PIN on any MAM app for another 30 minutes (default value).
  • Periodo di prova offline: numero di minuti per cui è consentita l'esecuzione di app MAM offline. Specificare il periodo (in minuti) prima che vengano ricontrollati i requisiti di accesso per l'app.Offline grace period: This is the number of minutes that MAM apps can run offline, specify the time (in minutes) before the access requirements for the app are rechecked. Valore predefinito: 720 minuti (12 ore).Default value = 720 minutes (12 hours). Alla scadenza di questo periodo, l'app richiederà l'autenticazione utente per AAD per poter continuare l'esecuzione.After this period is expired, the app will require user authentication to AAD, so the app can continue to run.
Timeout: 30Timeout: 30

Offline: 720Offline: 720
Intervallo offline (giorni) prima della cancellazione dei dati dell'appOffline interval before app data is wiped (days) Dopo questo numero di giorni (definito dall'amministratore) di esecuzione offline, l'app richiederà all'utente di connettersi alla rete e ripetere l'autenticazione.After this many days (defined by the admin) of running offline, the app will require the user to connect to the network and re-authenticate. Se l'utente viene autenticato correttamente, può continuare ad accedere ai dati e l'intervallo offline viene reimpostato.If the user successfully authenticates, they can continue to access their data and the offline interval will reset. Se l'autenticazione non riesce, l'app eseguirà una cancellazione selettiva dell'account utenti e dei dati.If the user fails to authenticate, the app will perform a selective wipe of the users account and data. Vedere Come cancellare solo i dati aziendali dalle app gestite da Intune per altre informazioni sui dati che vengono rimossi con una cancellazione selettiva.See How to wipe only corporate data from Intune-managed apps for more information on what data is removed with a selective wipe.

90 giorni90 days
Disabilita il PIN dell'app quando il PIN del dispositivo è gestitoDisable app PIN when device PIN is managed Scegliere per disabilitare il PIN dell'app quando viene rilevato un blocco del dispositivo in un dispositivo registrato.Choose Yes to disable the app PIN when a device lock is detected on an enrolled device. NoNo
Richiedi un sistema operativo iOS minimoRequire minimum iOS operating system Scegliere per richiedere un sistema operativo iOS minimo per usare questa app.Choose Yes to require a minimum iOS operating system to use this app. All'utente verrà impedito l'accesso se la versione di iOS nel dispositivo non soddisfa il requisito.The user will be blocked from access if the iOS version on the device does not meet the requirement. Questi criteri supportano le versioni con una sola cifra decimale, ad esempio iOS 10.3.This policy supports a single decimal point, like iOS 10.3. NoNo
Richiedi un sistema operativo iOS minimo (solo avviso)Require minimum iOS operating system (Warning only) Scegliere per richiedere un sistema operativo iOS minimo per usare questa app.Choose Yes to require a minimum iOS operating system to use this app. L'utente visualizzerà una notifica se la versione di iOS nel dispositivo non soddisfa il requisito.The user will see a notification if the iOS version on the device does not meet the requirement. Questa notifica può essere chiusa.This notification can be dismissed. Questi criteri supportano le versioni con una sola cifra decimale, ad esempio iOS 10.3.This policy supports a single decimal point, like iOS 10.3. NoNo
Richiedi una versione minima dell'appRequire minimum app version Scegliere per richiedere una versione minima dell'app per usare l'app.Choose Yes to require a minimum app version to use the app. All'utente viene impedito l'accesso se la versione dell'app nel dispositivo non soddisfa il requisito.The user is blocked from access if the app version on the device does not meet the requirement.

Poiché spesso gli schemi di numerazione delle versioni sono diversi per le varie app, creare un criterio con una versione minima di un'app come destinazione (ad esempio, "Criteri versione Outlook").As apps often have distinct versioning schemes between them, create a policy with one minimum app version targeting one app (for example, "Outlook version policy").

NoNo
Richiedi una versione minima dell'app (solo avviso)Require minimum app version (Warning only) Scegliere per consigliare una versione minima dell'app per usare questa app.Choose Yes to recommend a minimum app version to use this app. L'utente visualizza una notifica se la versione dell'app nel dispositivo non soddisfa il requisito.The user sees a notification if the app version on the device does not meet the requirement. Questa notifica può essere chiusa.This notification can be dismissed.

Poiché spesso gli schemi di numerazione delle versioni sono diversi per le varie app, creare un criterio con una versione minima di un'app come destinazione (ad esempio, "Criteri versione Outlook").As apps often have distinct versioning schemes between them, create a policy with one minimum app version targeting one app (for example, "Outlook version policy").

NoNo
Richiedi una versione minima dell'SDK dei criteri di protezione app di IntuneRequire minimum Intune app protection policy SDK version Scegliere per richiedere una versione minima dell'SDK dei criteri di protezione delle app di Intune per l'app da usare.Choose Yes to require a minimum Intune app protection policy SDK version on the app to use. All'utente viene impedito l'accesso se la versione dell'SDK dei criteri di protezione delle app di Intune dell'app non soddisfa il requisito.The user is blocked from access if the app’s Intune app protection policy SDK version does not meet the requirement.

Per altre informazioni sull'SDK dei criteri di protezione delle app di Intune, vedere Panoramica di Intune App SDKTo learn more about the Intune app protection policy SDK, see Intune App SDK overview

NoNo

Componenti aggiuntivi per l'app OutlookAdd-ins for Outlook app

Outlook ha introdotto recentemente componenti aggiuntivi in Outlook per iOS che consentono di integrare app comuni con il client di posta elettronica.Outlook recently brought add-ins to Outlook for iOS which let you integrate popular apps with the email client. I componenti aggiuntivi per Outlook sono disponibili per Outlook per iOS, sul Web e per Windows e Mac.Add-ins for Outlook are available on the web, Windows, Mac, and Outlook for iOS. Poiché i componenti aggiuntivi vengono gestiti tramite Microsoft Exchange, gli utenti saranno in grado di condividere i dati e i messaggi in Outlook e le applicazioni aggiuntive non gestite a meno che i componenti aggiuntivi non vengano disattivati per l'utente dall'istanza di Exchange.Since add-ins are managed via Microsoft Exchange, users will be able to share data and messages across Outlook and unmanaged add-in applications unless add-ins are turned off for the user by their Exchange.

Per impedire agli utenti finali di accedere e installare componenti aggiuntivi di Outlook con effetto su tutti i client Outlook, assicurarsi di applicare le seguenti modifiche ai ruoli nell'interfaccia di amministrazione di Exchange:If you want to stop your end users from accessing and installing Outlook add-ins (this affects all Outlook clients), make sure you have the following changes to roles in the Exchange admin center:

  • Per impedire agli utenti di installare componenti aggiuntivi di Office Store, rimuovere il ruolo di Marketplace personale.To prevent users from installing Office Store add-ins, remove the My Marketplace role from them.
  • Per impedire agli utenti il sideload di componenti aggiuntivi, rimuovere il ruolo di app personalizzate.To prevent users from side loading add-ins, remove the My Custom Apps role from them.
  • Per impedire agli utenti di installare tutti i componenti aggiuntivi, rimuovere i ruoli di app personalizzate e di Marketplace personale.To prevent users from installing all add-ins, remove both, My Custom Apps and My Marketplace roles from them.

Queste istruzioni si applicano a Office 365, Exchange 2016, Exchange 2013 in Outlook sul Web, per dispositivi mobili, Windows e Mac.These instructions apply to Office 365, Exchange 2016, Exchange 2013 across Outlook on the web, Windows, Mac and mobile.