Aggiungere criteri di conformità per i dispositivi iOS in IntuneAdd a device compliance policy for iOS devices in Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Vedere l'introduzione a Intune.Read the introduction to Intune.

I criteri di conformità per i dispositivi iOS in Intune specificano le regole e le impostazioni che i dispositivi iOS devono soddisfare per essere conformi.An Intune iOS device compliance policy determines the rules and settings that iOS devices must meet to be compliant. Tramite i criteri di conformità del dispositivo con accesso condizionale è possibile consentire o bloccare l'accesso alle risorse aziendali.When you use device compliance policies with conditional access, you can allow or block access to company resources. È anche possibile ottenere i report di dispositivo e intraprendere azioni per la mancata conformità.You can also get device reports and take actions for non-compliance. I criteri di conformità dei dispositivi possono essere creati per ogni piattaforma nel portale di Intune in Azure.Device compliance policies for each platform can be created in the Intune Azure portal. Per altre informazioni sui criteri di conformità e sui requisiti, vedere Introduzione alla conformità dei dispositivi.To learn more about compliance policies, and any prerequisites, see Get started with device compliance.

La tabella seguente descrive il modo in cui le impostazioni di non conformità vengono gestite quando i criteri di conformità vengono usati con i criteri di accesso condizionale.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Impostazione di criteriPolicy setting iOS 8.0 e versioni successiveiOS 8.0 and later
Configurazione di PIN o passwordPIN or password configuration CorrettoRemediated
Crittografia dispositivoDevice encryption Corretto (impostando il PIN)Remediated (by setting PIN)
Dispositivo jailbroken o rootedJailbroken or rooted device In quarantena (non è un'impostazione)Quarantined (not a setting)
Profilo di posta elettronicaEmail profile In quarantenaQuarantined
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation Non applicabileNot applicable

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)(For example, the user is forced to set a PIN.)

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Il dispositivo viene bloccato se un criterio di accesso condizionale si applica all'utente.The device is blocked if a conditional access policy applies to the user.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.

Creare criteri di conformità dei dispositiviCreate a device compliance policy

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Tutti i servizi, filtrare per Intune e selezionare Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Selezionare Conformità del dispositivo > Criteri > Crea criterio.Select Device compliance > Policies > Create Policy.
  4. Immettere un nome e una descrizione.Enter a Name and Description.
  1. Per Piattaforma, selezionare iOS.For Platform, select iOS. Scegliere Impostazioni Configura e immettere le impostazioni Posta elettronica, Integrità del dispositivo, Proprietà del dispositivo e Sicurezza del sistema.Choose Settings Configure, and enter the Email, Device Health, Device Properties, and System Security settings. Al termine, fare clic su OK e su Crea.When you're done, select OK, and Create.

Posta elettronicaEmail

  • Rendi obbligatorio un profilo di posta elettronica gestito nei dispositivi mobili: se si imposta questa opzione su Rendi obbligatorio, i dispositivi che non hanno un profilo di posta elettronica gestito da Intune non sono considerati conformi.Require mobile devices to have a managed email profile: If you set this to Require, then devices that don't have an email profile managed by Intune are considered not-compliant. Un dispositivo potrebbe non avere un profilo di posta elettronica gestito quando non viene specificato correttamente come destinazione oppure se l'utente ha configurato manualmente l'account di posta elettronica nel dispositivo.A device may not have a managed email profile when it's not correctly targeted, or if the user manually setup the email account on the device.

    Il dispositivo è considerato non conforme nelle seguenti situazioni:The device is considered noncompliant in the following situations:

    • Il profilo di posta elettronica viene distribuito a un gruppo di utenti diverso dal gruppo di utenti a cui sono destinati i criteri di conformità.The email profile is deployed to a user group other than the user group that the compliance policy targets.
    • L'utente ha già configurato un account di posta elettronica nel dispositivo che corrisponde al profilo di posta elettronica di Intune distribuito nel dispositivo.The user has already set up an email account on the device that matches the Intune email profile deployed to the device. Intune non può sovrascrivere il profilo con provisioning dell'utente, quindi non può gestirlo.Intune cannot overwrite the user-provisioned profile, and therefore cannot manage it. Per garantire la conformità, l'utente deve rimuovere le impostazioni di posta elettronica esistenti.To ensure compliance, the user must remove the existing email settings. Intune potrà quindi installare il profilo di posta elettronica.Then, Intune can install the managed email profile.
  • Selezionare il profilo di posta elettronica che deve essere gestito da Intune: se è stata selezionata l'impostazione L'account di posta elettronica deve essere gestito da Intune, scegliere Seleziona per specificare il profilo di posta elettronica di Intune.Select the email profile that must be managed by Intune: If the Email account must be managed by Intune setting is selected, choose Select to specify the Intune email profile. Il profilo di posta elettronica deve essere presente nel dispositivo.The email profile must be present on the device.

Per dettagli sul profilo di posta elettronica, vedere Configurare l'accesso alla posta elettronica aziendale usando profili di posta elettronica con Microsoft Intune.For details about email profile, see Configure access to corporate email using email profiles with Microsoft Intune.

Device healthDevice health

  • Dispositivi jailbroken: se si abilita questa impostazione, i dispositivi jailbroken non sono conformi.Jailbroken devices: If you enable this setting, jailbroken devices are not compliant.
  • Richiedi che il dispositivo si trovi al massimo al livello di minaccia del dispositivo (iOS 8.0 e versioni successive): scegliere il livello di minaccia massimo oltre il quale i dispositivi vengono contrassegnati come non conformi.Require the device to be at or under the Device Threat Level (iOS 8.0 and newer): Choose the maximum threat level to mark devices as noncompliant. I dispositivi che superano questo livello di minaccia vengono contrassegnati come non conformi:Devices that exceed this threat level get marked as noncompliant:
    • Protetto: questa opzione è la più sicura, perché il dispositivo non può avere minacce.Secured: This option is the most secure, as the device can't have any threats. Se viene rilevata la presenza di minacce di qualsiasi livello, il dispositivo viene considerato non conforme.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Basso: il dispositivo viene valutato come conforme se sono presenti solo minacce di livello basso.Low: The device is evaluated as compliant if only low-level threats are present. In presenza di minacce di livello più alto, il dispositivo verrà messo in stato di non conformità.Anything higher puts the device in a noncompliant status.
    • Media: il dispositivo viene valutato come conforme se le minacce esistenti nel dispositivo sono di livello basso o medio.Medium: The device is evaluated as compliant if existing threats on the device are low or medium level. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato come non conforme.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Alta: questa opzione è la meno sicura e consente tutti i livelli di minaccia.High: This option is the least secure, and allows all threat levels. Potrebbe essere utile usare questa soluzione solo per la creazione di report.It may be useful if you're using this solution only for reporting purposes.

Proprietà dispositivoDevice properties

  • Versione minima del sistema operativo: quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, verrà segnalato come non conforme.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is shown. L'utente può scegliere di aggiornare il dispositivo.The user can choose to upgrade their device. In seguito, potrà accedere alle risorse aziendali.After that, they can access company resources.
  • Versione massima del sistema operativo: quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali viene bloccato.Maximum OS version allowed: When a device uses an OS version later than the version specified in the rule, access to company resources is blocked. All'utente viene quindi richiesto di contattare l'amministratore IT. Finché la regola non viene modificata in modo da consentire la versione del sistema operativo usata dal dispositivo, quest'ultimo non può accedere alle risorse aziendali.The user is then asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot access company resources.

Protezione del sistemaSystem security

PasswordPassword

Nota

Dopo l'applicazione di criteri di conformità o di configurazione a un dispositivo iOS, agli utenti viene richiesto ogni 15 minuti di impostare un passcode.After a compliance or configuration policy is applied to an iOS device, users are prompted to set a passcode every 15 minutes. Tale richiesta viene visualizzata finché non viene impostato un passcode.Users are continually prompted until a passcode is set.

  • Richiedi una password per sbloccare i dispositivi mobili: richiedere agli utenti di immettere una password prima di poter accedere al dispositivo.Require a password to unlock mobile devices: Require users to enter a password before they can access their device. I dispositivi iOS che usano una password vengono crittografati.iOS devices that use a password are encrypted.

  • Password semplici: impostare questa opzione su Blocca per impedire agli utenti di creare password semplici, ad esempio 1234 o 1111.Simple passwords: Set to Block so users can't create simple passwords, such as 1234 or 1111. Impostare l'opzione su Non configurata per consentire agli utenti di creare password come 1234 o 1111.Set to Not configured to let users create passwords like 1234 or 1111.

  • Lunghezza minima password: immettere il numero minimo di cifre o caratteri per la password.Minimum password length: Enter the minimum number of digits or characters that the password must have.

  • Tipo di password richiesto: scegliere se una password deve avere solo caratteri numerici oppure una combinazione di numeri e altri caratteri (alfanumerici).Required password type: Choose if a password should have only Numeric characters, or if there should be a mix of numbers and other characters (Alphanumeric).

  • Numero di caratteri non alfanumerici nella password: immettere il numero minimo di simboli o caratteri speciali (&, #, %, ! e così via), che è necessario includere nella password.Number of non-alphanumeric characters in password: Enter the minimum number of special characters (&, #, %, !, and so on) that must included in the password.

    Se si imposta un numero maggiore, l'utente dovrà creare una password più complessa.Setting a higher number requires the user to create a password that is more complex.

  • Numero massimo di minuti di inattività prima che venga richiesta la password: immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.

  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, gli utenti devono crearne una nuova.Password expiration (days): Select the number of days before the password expires, and they must create a new one.

  • Numero di password precedenti di cui impedire il riutilizzo: specificare il numero di password usate in precedenza che non è possibile usare.Number of previous passwords to prevent reuse: Enter the number of previously used passwords that cannot be used.

Assegnare gruppi di utentiAssign user groups

  1. Scegliere un criterio configurato.Choose a policy that you've configured. I criteri esistenti sono in Conformità del dispositivo > Criteri.Existing policies are in Device compliance > Policies.
  2. Selezionare il criterio e scegliere Assegnazioni.Choose the policy, and choose Assignments. È possibile includere o escludere i gruppi di sicurezza di Azure Active Directory (AD).You can include or exclude Azure Active Directory (AD) security groups.
  3. Scegliere Gruppi selezionati per visualizzare i gruppi di sicurezza di Azure AD.Choose Selected groups to see your Azure AD security groups. Selezionare i gruppi di utenti a cui si vuole applicare questo criterio e scegliere Salva per distribuire il criterio agli utenti.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy are evaluated for compliance.

Passaggi successiviNext steps

Automatizzare la posta elettronica e aggiungere azioni per i dispositivi non conformiAutomate email and add actions for noncompliant devices
Monitorare i criteri di conformità dei dispositivi IntuneMonitor Intune Device compliance policies