Come creare e assegnare criteri di protezione delle app

  • Articolo

Informazioni su come creare e assegnare Microsoft Intune criteri di protezione delle app (APP) per gli utenti dell'organizzazione. Questo articolo descrive anche come apportare modifiche ai criteri esistenti.

Prima di iniziare

Protezione di app criteri possono essere applicati alle app in esecuzione nei dispositivi che possono essere gestiti o meno da Intune. Per una descrizione più dettagliata del funzionamento dei criteri di protezione delle app e degli scenari supportati dai criteri di protezione delle app di Intune, vedere Panoramica dei criteri di Protezione di app.

Le scelte disponibili nei criteri di protezione delle app consentono alle organizzazioni di personalizzare la protezione in base alle esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.

Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:

  • La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
  • La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
  • La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.

Se si sta cercando un elenco di app che hanno integrato Intune SDK, vedere Microsoft Intune app protette.

Per informazioni sull'aggiunta delle app line-of-business (LOB) dell'organizzazione a Microsoft Intune per preparare i criteri di protezione delle app, vedere Aggiungere app a Microsoft Intune.

criteri di Protezione di app per le app iOS/iPadOS e Android

Quando si creano criteri di protezione delle app per app iOS/iPadOS e Android, si segue un flusso di processo moderno di Intune che genera un nuovo criterio di protezione delle app. Per informazioni sulla creazione di criteri di protezione delle app per le app di Windows, vedi impostazioni dei criteri di Protezione di app per Windows.

Creare criteri di protezione delle app iOS/iPadOS o Android

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare App>Criteri di protezione app. Questa selezione apre i dettagli dei criteri di Protezione di app, in cui si creano nuovi criteri e si modificano i criteri esistenti.

  3. Selezionare Crea criterio e selezionare iOS/iPadOS o Android. Viene visualizzato il riquadro Crea criteri.

  4. Nella pagina Nozioni di base aggiungere i valori seguenti:

    Valore Descrizione
    Nome Nome di questo criterio di protezione delle app.
    Descrizione [Facoltativo] Descrizione di questo criterio di protezione delle app.

    Il valore Piattaforma viene impostato in base alla scelta precedent.

    Screenshot della pagina Informazioni di base del riquadro Crea criteri

  5. Fare clic su Avanti per visualizzare la pagina App .
    La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.

    Valore/opzione Descrizione
    Criteri di destinazione per Nella casella a discesa Criteri di destinazione scegliere di assegnare i criteri di protezione delle app a Tutte le app, Microsoft Apps o Core Microsoft Apps.

    • Tutte le app includono tutte le app Microsoft e partner che hanno integrato Intune SDK.
    • Microsoft Apps include tutte le app Microsoft che hanno integrato Intune SDK.
    • Core Microsoft Apps include le app seguenti: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, Attività e Word.

    Successivamente, è possibile selezionare Visualizza un elenco delle app destinate a visualizzare un elenco delle app interessate da questo criterio.
    App pubbliche Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app pubbliche per selezionare le app pubbliche di destinazione.
    App personalizzate Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle. Non è possibile scegliere un'app personalizzata per tutte le app pubbliche nello stesso criterio.

    Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.

    Nota

    Le app pubbliche sono supportate da Microsoft e dai partner che vengono comunemente usate con Microsoft Intune. Queste app protette di Intune sono abilitate con un set completo di supporto per i criteri di protezione delle applicazioni mobili. Per altre informazioni, vedere Microsoft Intune app protette. Le app personalizzate sono app line-of-business integrate con Intune SDK o incluse nel App Wrapping Tool di Intune. Per altre informazioni, vedere Panoramica Microsoft Intune App SDK e Preparare le app line-of-business per i criteri di protezione delle app.

  6. Fare clic su Avanti per visualizzare la pagina Protezione dati .
    La pagina fornisce impostazioni per controllo di prevenzione della perdita dei dati (DLP) tra cui limitazioni relative alle operazioni di taglio, copia, incolla e salva con nome. Queste impostazioni stabiliscono il modo in cui gli utenti possono interagire con i dati nelle app a cui si applica questo criterio di protezione delle app.

    Impostazioni di protezione dei dati:

  7. Fare clic su Avanti per visualizzare la pagina Requisiti di accesso .
    Questa pagina offre impostazioni che consentono di configurare il PIN e i requisiti delle credenziali che gli utenti devono soddisfare per poter accedere alle app in un contesto lavorativo.

    Impostazioni dei requisiti di accesso:

  8. Fare clic su Avanti per visualizzare la pagina Avvio condizionale .
    La pagina offre impostazioni per impostare i requisiti di sicurezza per l'accesso per il criterio di protezione delle app. Selezionare un'impostazione e inserire il valore che gli utenti devono soddisfare per accedere all'app aziendale. Selezionare quindi l'azione da eseguire se gli utenti non soddisfano i requisiti. In alcuni casi, è possibile configurare più azioni per un'unica impostazione.

    Impostazioni di avvio condizionale:

  9. Fare clic su Avanti per visualizzare la pagina Assegnazioni .
    La pagina Assegnazioni consente di assegnare i criteri di protezione delle app ai gruppi di utenti. Affinché il criterio abbia effetto, è necessario applicarlo a un gruppo di utenti.

  10. Fare clic su Avanti: Rivedi e crea per esaminare i valori e le impostazioni immessi per questo criterio di protezione delle app.

  11. Al termine, fare clic su Crea per creare i criteri di protezione delle app in Intune.

    Consiglio

    Queste impostazioni dei criteri vengono applicate solo quando si usano app nel contesto di lavoro. Quando gli utenti finali usano l'app per eseguire un'attività personale, non sono interessati da questi criteri. Si noti che quando si crea un nuovo file viene considerato un file personale.

    Importante

    L'applicazione dei criteri di protezione delle app ai dispositivi esistenti può richiedere tempo. Gli utenti finali visualizzeranno una notifica nel dispositivo quando vengono applicati i criteri di protezione delle app. Applicare i criteri di protezione delle app ai dispositivi prima di applicare regole di accesso condidtional.

Gli utenti finali possono scaricare le app dall'App Store o da Google Play. Per altre informazioni, vedere:

Modificare i criteri esistenti

È possibile modificare un criterio esistente e applicarlo agli utenti di destinazione. Per altre informazioni sui tempi di recapito dei criteri, vedere Informazioni sui tempi di recapito dei criteri di protezione delle app.

Per modificare l'elenco delle app associate ai criteri

  1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

  2. Nel riquadro Protezione app di Intune selezionare Proprietà.

  3. Accanto alla sezione App denominata App selezionare Modifica.

  4. La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.

    Valore/opzione Descrizione
    App pubbliche Nella casella a discesa Criteri di destinazione scegliere di assegnare i criteri di protezione delle app a Tutte le app pubbliche, Microsoft Apps o Core Microsoft Apps. Successivamente, è possibile selezionare Visualizza un elenco delle app destinate a visualizzare un elenco delle app interessate da questo criterio.

    Se necessario, è possibile scegliere di assegnare le singole app facendo clic su Seleziona app pubbliche.

    App personalizzate Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle.

    Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.

  5. Fare clic su Rivedi e crea per esaminare le app selezionate per questo criterio.

  6. Al termine, fare clic su Salva per aggiornare i criteri di protezione delle app.

Per modificare l'elenco dei gruppi di utenti

  1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

  2. Nel riquadro Protezione app di Intune selezionare Proprietà.

  3. Accanto alla sezione Assegnazioni selezionareModifica.

  4. Per aggiungere un nuovo gruppo di utenti ai criteri, nella scheda Includi scegliere Seleziona gruppi da includere e selezionare il gruppo di utenti. Scegliere Seleziona per aggiungere il gruppo.

  5. Per escludere un gruppo di utenti, nella scheda Escludi scegliere Seleziona gruppi da escludere e selezionare il gruppo di utenti. Scegliere Seleziona per rimuovere il gruppo di utenti.

  6. Per eliminare i gruppi aggiunti in precedenza, nelle schede Includi o Escludi selezionare i puntini di sospensione (...) e selezionare Elimina.

  7. Fare clic su Rivedi e crea per esaminare i gruppi di utenti selezionati per questo criterio.

  8. Dopo aver completato le modifiche apportate alle assegnazioni, selezionare Salva per salvare la configurazione e distribuire i criteri al nuovo set di utenti. Se si seleziona Annulla prima di salvare la configurazione, verranno eliminate tutte le modifiche apportate alle schede Includi ed Escludi .

Per modificare le impostazioni dei criteri

  1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

  2. Nel riquadro Protezione app di Intune selezionare Proprietà.

  3. Accanto alla sezione corrispondente alle impostazioni da modificare selezionare Modifica. Modificare quindi le impostazioni in nuovi valori.

  4. Fare clic su Rivedi e crea per esaminare le impostazioni aggiornate per questo criterio.

  5. Selezionare Salva per salvare le modifiche. Ripetere il processo per selezionare un'area di impostazioni e modificare e quindi salvare le modifiche fino al completamento di tutte le modifiche. È quindi possibile chiudere il riquadro Protezione app di Intune - Proprietà .

Criteri di protezione delle app di destinazione in base allo stato di gestione dei dispositivi

In molte organizzazioni è comune consentire agli utenti finali di usare dispositivi gestiti di Intune Mobile Gestione dispositivi (MDM), ad esempio dispositivi di proprietà dell'azienda, e dispositivi non gestiti protetti solo con criteri di protezione delle app di Intune. I dispositivi non gestiti sono spesso noti come Bring Your Own Devices (BYOD).

Poiché i criteri di protezione delle app di Intune sono destinati all'identità di un utente, le impostazioni di protezione per un utente possono essere applicate sia ai dispositivi registrati (gestiti da MDM) che ai dispositivi non registrati (senza MDM). Pertanto, è possibile impostare come destinazione un criterio di protezione delle app di Intune per i dispositivi iOS/iPadOS e Android registrati o non registrati in Intune usando filtri. Per altre informazioni sulla creazione di filtri, vedere Usare i filtri durante l'assegnazione di criteri . È possibile avere un criterio di protezione per i dispositivi non gestiti in cui sono presenti controlli di prevenzione della perdita dei dati (DLP) rigorosi e un criterio di protezione separato per i dispositivi gestiti MDM, in cui i controlli DLP possono essere un po' più rilassati. Per altre informazioni sul funzionamento dei dispositivi Android Enterprise personali, vedere Protezione di app criteri e profili di lavoro.

Per usare questi filtri durante l'assegnazione dei criteri, passare a App>Protezione di app criteri nell'interfaccia di amministrazione di Intune e quindi selezionare Crea criterio. È anche possibile modificare un criterio di protezione delle app esistente. Passare alla pagina Assegnazioni e selezionare Modifica filtro per includere o escludere i filtri per il gruppo assegnato.

tipi Gestione dispositivi

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

  • Non gestito: per i dispositivi iOS/iPadOS, i dispositivi non gestiti sono tutti i dispositivi in cui la gestione MDM di Intune o una soluzione MDM/EMM di terze parti non passa la IntuneMAMUPN chiave. Per i dispositivi Android, i dispositivi non gestiti sono dispositivi in cui non è stata rilevata la gestione MDM di Intune. Sono inclusi i dispositivi gestiti da fornitori MDM di terze parti.
  • Dispositivi gestiti da Intune: i dispositivi gestiti sono gestiti da MDM di Intune.
  • Amministratore di dispositivi Android: dispositivi gestiti da Intune usando l'API Amministrazione dispositivi Android.
  • Android Enterprise: dispositivi gestiti da Intune con i profili di lavoro Android Enterprise o Android Enterprise Full Gestione dispositivi.
  • Dispositivi dedicati di proprietà dell'azienda Android Enterprise con Microsoft Entra modalità dispositivo condiviso: dispositivi gestiti da Intune che usano dispositivi dedicati Android Enterprise con modalità dispositivo condiviso.
  • Dispositivi Android (AOSP) associati all'utente: dispositivi gestiti da Intune che usano la gestione associata all'utente AOSP.
  • Dispositivi android (AOSP) senza utente: dispositivi gestiti da Intune che usano dispositivi senza utente AOSP. Questi dispositivi sfruttano anche Microsoft Entra modalità dispositivo condiviso.

In Android i dispositivi Android richiederanno di installare l'app Portale aziendale Intune indipendentemente dal tipo di Gestione dispositivi scelto. Ad esempio, se si seleziona "Android Enterprise", agli utenti con dispositivi Android non gestiti verrà comunque richiesto.

Per iOS/iPadOS, per applicare il tipo di Gestione dispositivi ai dispositivi gestiti di Intune, sono necessarie altre impostazioni di configurazione dell'app. Queste configurazioni comunicheranno al servizio APP che una determinata app viene gestita e che le impostazioni dell'APP non verranno applicate:

Impostazioni dei criteri

Per visualizzare un elenco completo delle impostazioni dei criteri per iOS/iPadOS e Android, selezionare uno dei collegamenti seguenti:

Passaggi successivi

Monitorare la conformità e lo stato dell'utente

Vedere anche