Criteri di configurazione delle app per Microsoft Intune

I criteri di configurazione delle app consentono di eliminare i problemi di configurazione delle app consentendo di assegnare le impostazioni di configurazione a un criterio assegnato agli utenti finali prima di eseguire l'app. Le impostazioni vengono quindi fornite automaticamente quando l'app viene configurata nel dispositivo degli utenti finali e gli utenti finali non devono intervenire. Le impostazioni di configurazione sono uniche per ogni app.

È possibile creare e usare i criteri di configurazione delle app per fornire le impostazioni di configurazione per le app iOS/iPadOS o Android. Queste impostazioni di configurazione consentono di personalizzare un'app tramite la configurazione e la gestione delle app. Le impostazioni dei criteri di configurazione vengono usate quando l'app verifica la presenza di queste impostazioni, in genere la prima volta che l'app viene eseguita.

Un'impostazione di configurazione dell'app, ad esempio, potrebbe richiedere di specificare uno dei dettagli seguenti:

• Numero di porta personalizzato
• Impostazioni lingua
• Impostazioni di protezione
• Impostazioni di personalizzazione, ad esempio un logo aziendale

Se invece gli utenti finali dovessero immettere queste impostazioni, potrebbero eseguire questa operazione in modo non corretto. I criteri di configurazione delle app consentono di garantire coerenza in un'organizzazione e ridurre le chiamate al supporto tecnico da parte degli utenti finali che provano a configurare le impostazioni autonomamente. Usando i criteri di configurazione delle app, l'adozione di nuove app può essere più semplice e rapida.

I parametri di configurazione disponibili e la loro implementazione vengono definiti dagli sviluppatori dell'applicazione. È necessario esaminare la documentazione del fornitore per vedere quali configurazioni sono disponibili e in che modo influenzano il comportamento dell'applicazione. Per alcune applicazioni, Intune compilerà le impostazioni di configurazione disponibili.

Nota

In Google Play Store gestito, le app che supportano la configurazione saranno contrassegnate come tali:

Verranno visualizzate solo le app da Google Play Store gestito, non da Google Play Store, quando si usano dispositivi gestiti come tipo di registrazione per i dispositivi Android.

È possibile assegnare un criterio di configurazione dell'app a un gruppo di utenti finali e dispositivi usando una combinazione di assegnazioni di inclusione ed esclusione. Come parte del processo di aggiunta o aggiornamento di un criterio di configurazione dell'app, è possibile impostare le assegnazioni per i criteri di configurazione dell'app. Quando si impostano le assegnazioni per i criteri, è possibile scegliere di includere ed escludere i gruppi di utenti finali per cui si applicano i criteri. Quando si sceglie di includere uno o più gruppi, è possibile scegliere di selezionare gruppi specifici da includere o selezionare gruppi predefiniti. I gruppi predefiniti includono Tutti gli utenti, Tutti i dispositivi e Tutti gli utenti + Tutti i dispositivi.

È anche possibile usare i filtri per perfezionare l'ambito di assegnazione quando si distribuiscono i criteri di configurazione delle app per dispositivi iOS e Android gestiti. È innanzitutto necessario creare un filtro usando una delle proprietà disponibili per iOS e Android. In Microsoft Intune'interfaccia di amministrazione è quindi possibile assegnare i criteri di configurazione delle app gestite selezionando Criteri diconfigurazione>app>Aggiungere>dispositivi gestiti e passare alla pagina di assegnazione. Dopo aver selezionato un gruppo, è possibile perfezionare l'applicabilità dei criteri scegliendo un filtro e decidendo di usarlo in modalità di inclusione o esclusione .

Il carico di lavoro dei criteri di configurazione dell'app fornisce un elenco dei criteri di configurazione dell'app creati per il tenant. Questo elenco fornisce i dettagli, ad esempio Nome, Piattaforma, Aggiornamento, Tipo di registrazione e Tag di ambito. Per altri dettagli su uno specifico criterio di configurazione dell'app, selezionare il criterio. Nel riquadro Panoramica dei criteri è possibile visualizzare dettagli specifici, ad esempio lo stato dei criteri in base al dispositivo e in base all'utente, nonché se i criteri sono stati assegnati.

App che supportano la configurazione dell’app

La configurazione dell'app può essere distribuita tramite il canale del sistema operativo di gestione dei dispositivi mobili (MDM) nei dispositivi registrati (canale Configurazione app gestito per iOS o Android nel canale Enterprise per Android) o tramite il canale Gestione applicazioni mobili (MAM).

Intune rappresenta questi diversi canali dei criteri di configurazione delle app come:

• Dispositivi gestiti : il dispositivo viene gestito da Intune come provider di gestione degli endpoint unificato. L'app deve essere aggiunta al profilo di gestione in iOS/iPadOS o distribuita tramite Google Play gestito nei dispositivi Android. Inoltre, l'app supporta la configurazione dell'app desiderata.
• App gestite : un'app che ha integrato Intune App SDK o che è stata sottoposta a wrapping tramite lo strumento di wrapping di Intune e supporta i criteri di protezione delle app (APP). In questa configurazione, né lo stato di registrazione del dispositivo né il modo in cui l'app viene recapitata al dispositivo sono importanti. L'app supporta la configurazione dell'app desiderata.

Le app possono gestire le impostazioni dei criteri di configurazione delle app in modo diverso a seconda delle preferenze dell’utente. Ad esempio, con Outlook per iOS e Android, l'impostazione di configurazione dell'app Posta in arrivo evidenziata rispetta l'impostazione dell’utente, consentendogli di ignorare l’intento dell’amministratore. Altre impostazioni possono consentire di controllare se un utente può o non può modificare l'impostazione in base alla finalità di amministratore.

Nota

Intune richiede Android 8.x o versioni successive per gli scenari di registrazione dei dispositivi e la configurazione dell'app fornita tramite i criteri di configurazione delle app dei dispositivi gestiti. Questo requisito non si applica ai dispositivi Android di Microsoft Teams perché questi dispositivi continueranno a essere supportati.

Per i criteri di protezione delle app e la configurazione delle app di Intune forniti tramite criteri di configurazione delle app gestite, Intune richiede Android 9.0 o versione successiva.

Dispositivi gestiti

Se si seleziona Dispositivi gestiti come tipo di registrazione dispositivi , si fa riferimento in modo specifico alle app distribuite da Intune nel dispositivo registrato e quindi gestite da Intune come provider di registrazione.

Per supportare la configurazione delle app distribuite tramite Intune nei dispositivi registrati, è necessario scrivere le app per supportare l'uso delle configurazioni delle app definite dal sistema operativo. Per informazioni dettagliate sulle chiavi di configurazione dell'app supportate per il recapito tramite il canale del sistema operativo MDM, consultare il fornitore dell'app. Esistono in genere quattro scenari per il recapito della configurazione delle app tramite il canale del sistema operativo MDM:

• Consentire solo account aziendali o dell'istituto di istruzione
• Impostazioni di configurazione della configurazione dell'account
• Impostazioni generali di configurazione dell'app
• Impostazioni di configurazione S/MIME

App gestite

La selezione di App gestite come Tipo di registrazione del dispositivo, si riferisce specificamente alle app configurate con un criterio di protezione delle app Intune nei dispositivi, indipendentemente dallo stato di registrazione.

Per supportare la configurazione dell'app tramite il canale MAM, l'app deve essere integrata con Intune App SDK. Le app line-of-business possono integrare il Intune App SDK o usare Intune App Wrapping Tool. Per un confronto tra Intune App SDK e Intune App Wrapping Tool, vedere Preparare app line-of-business per criteri di protezione delle app.

Il recapito della configurazione dell'app tramite il canale MAM non richiede la registrazione del dispositivo o la gestione o il recapito dell'app tramite la soluzione di gestione degli endpoint unificata. Esistono tre scenari per il recapito della configurazione delle app tramite il canale MAM:

• Impostazioni generali di configurazione dell'app
• Impostazioni di configurazione S/MIME
• Impostazioni avanzate di protezione dei dati delle APP che estendono le funzionalità offerte dai criteri di protezione delle app

Nota

Le app gestite di Intune archiviano con un intervallo di 30 minuti per lo stato dei criteri di Configurazione app di Intune, se distribuite insieme a criteri di protezione delle app di Intune. Se all'utente non viene assegnato un criterio di protezione delle app di Intune, l'intervallo di controllo del criterio di configurazione delle app di Intune è impostato su 720 minuti.

Per informazioni sulle app che supportano la configurazione delle app tramite il canale MAM, vedere App protette di Microsoft Intune.

Criteri di configurazione dell’app Android Enterprise

Per i criteri di configurazione delle app Android Enterprise, è possibile selezionare il tipo di registrazione del dispositivo prima di creare un profilo di configurazione dell'app. È possibile tenere conto dei profili di certificato basati sul tipo di registrazione.

Il tipo di registrazione può essere uno dei seguenti:

• Tutti i tipi di profilo: se viene creato un nuovo profilo e tutti i tipi di profilo sono selezionati per il tipo di registrazione del dispositivo, non sarà possibile associare un profilo certificato ai criteri di configurazione dell'app. Questa opzione supporta l'autenticazione con nome utente e password. Se si usa l'autenticazione basata su certificato, non usare questa opzione.
• Solo profilo di lavoro completamente gestito, dedicato e Corporate-Owned: se viene creato un nuovo profilo e vengono selezionati solo profili di lavoro completamente gestiti, dedicati e Corporate-Owned, è possibile usare criteri di certificato del profilo di lavoro completamente gestiti, dedicati e Corporate-Owned creati in Configurazione dispositivi>. Questa opzione supporta l'autenticazione basata su certificato e l'autenticazione con nome utente e password. Completamente gestito si riferisce ai dispositivi Android Enterprise completamente gestiti (COBO). Dedicato si riferisce ai dispositivi dedicati Android Enterprise (COSU). Il profilo di lavoro di proprietà dell'azienda si riferisce al profilo di lavoro aziendale (COPE) di android enterprise.
• Solo profilo di lavoro di proprietà personale: se viene creato un nuovo profilo e viene selezionato Solo profilo di lavoro di proprietà personale, è possibile utilizzare i criteri di certificato del profilo di lavoro creati inConfigurazionedispositivi>. Questa opzione supporta l'autenticazione basata su certificato e l'autenticazione con nome utente e password.

Nota

Se si distribuisce un profilo di configurazione Gmail o Nine in un profilo di lavoro del dispositivo dedicato Android Enterprise che non coinvolge un utente, l'operazione avrà esito negativo perché Intune non riesce a risolvere l'utente.

Importante

I criteri esistenti creati prima della versione di questa funzionalità (versione di aprile 2020 - 2004) che non hanno profili certificato associati ai criteri per impostazione predefinita saranno Tutti i tipi di profilo per il tipo di registrazione del dispositivo. Inoltre, i criteri esistenti creati prima del rilascio di questa funzionalità a cui sono associati profili certificato verranno usati per impostazione predefinita solo per profilo di lavoro.

I criteri esistenti non correggeranno o emetteranno nuovi certificati.

Convalidare i criteri di configurazione dell'app applicati

È possibile convalidare i criteri di configurazione dell'app usando i tre metodi seguenti:

1. Verificare i criteri di configurazione dell'app in modo visibile nel dispositivo. Verificare che l'app di destinazione mostri il comportamento applicato nei criterio di configurazione dell'app.

2. Verificare tramite i log di diagnostica (vedere la sezione Log di diagnostica di seguito).

3. Verificare nell'interfaccia di amministrazione Microsoft Intune. Nell'interfaccia di amministrazione Microsoft Intune selezionare App>Tutte le app>selezionare l'app correlata*. Quindi, nella sezione Monitoraggio selezionare Stato installazione dispositivo: Device Install Status Report monitora gli archivi più recenti per tutti i dispositivi a cui sono stati assegnati i criteri di configurazione.

   Inoltre, nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Tutti i dispositivi> selezionare unaconfigurazione dell'appper dispositivi>. Nel riquadro configurazione dell'app** verranno visualizzati tutti i criteri assegnati e il relativo stato:

   

Log di diagnostica

Configurazione di iOS/iPadOS nei dispositivi non gestiti

È possibile convalidare la configurazione di iOS/iPadOS con il log di diagnostica di Intune per le impostazioni distribuite tramite i criteri di configurazione delle app gestite. Oltre ai passaggi seguenti, è possibile accedere ai log delle app gestite usando Microsoft Edge. Per altre informazioni, vedere Usare Microsoft Edge per iOS e Android per accedere ai log delle app gestite.

1. Se non è già installato nel dispositivo, scaricare e installare Microsoft Edge dal App Store. Per altre informazioni, vedere Microsoft Intune app protette.

2. Avviare Microsoft Edge e immettere about:intunehelp nella casella degli indirizzi.

3. Fare clic su Introduzione.

4. Fare clic su Condividi log.

5. Usa l'app di posta elettronica di tua scelta per inviare il log a te stesso in modo che possano essere visualizzati sul tuo PC.

6. Esaminare IntuneMAMDiagnostics.txt nel visualizzatore di file di testo.

7. Cercare ApplicationConfiguration. I risultati saranno simili ai seguenti:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

I dettagli di configurazione dell'applicazione devono corrispondere ai criteri di configurazione dell'applicazione configurati per il tenant.

Configurazione di iOS/iPadOS nei dispositivi gestiti

È possibile convalidare la configurazione di iOS/iPadOS con il log di diagnostica di Intune nei dispositivi gestiti per la configurazione dell'app gestita.

1. Se non è già installato nel dispositivo, scaricare e installare Microsoft Edge dal App Store. Per altre informazioni, vedere Microsoft Intune app protette.
2. Avviare Microsoft Edge e immettere about:intunehelp nella casella degli indirizzi.
3. Fare clic su Introduzione.
4. Fare clic su Condividi log.
5. Usa l'app di posta elettronica di tua scelta per inviare il log a te stesso in modo che possano essere visualizzati sul tuo PC.
6. Esaminare IntuneMAMDiagnostics.txt nel visualizzatore di file di testo.
7. Cercare AppConfig. I risultati devono corrispondere ai criteri di configurazione dell'applicazione configurati per il tenant.

Configurazione di Android nei dispositivi gestiti

È possibile convalidare la configurazione di Android con il log di diagnostica di Intune nei dispositivi gestiti per la configurazione dell'app gestita.

Per raccogliere i log da un dispositivo Android, l'utente o l'utente finale deve scaricare i log dal dispositivo tramite una connessione USB (o l'Esplora file equivalente nel dispositivo). Ecco la procedura:

1. Connettere il dispositivo Android al computer con il cavo USB.

2. Nel computer cercare una directory con il nome del dispositivo. In tale directory trovare Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

3. com.microsoft.windowsintune.companyportal Nella cartella aprire la cartella File e aprire OMADMLog_0.

4. Cercare per AppConfigHelper trovare i messaggi correlati alla configurazione dell'app. I risultati saranno simili al blocco di dati seguente:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

API Graph supporto per la configurazione dell'app

È possibile usare API Graph per eseguire attività di configurazione dell'app. Per informazioni dettagliate, vedere API Graph Reference MAM Targeted Config.For details, see API Graph Reference MAM Targeted Config. Per altre informazioni su Intune e Graph, vedere Uso di Intune in Microsoft Graph.

Risoluzione dei problemi

Uso dei log per visualizzare un parametro di configurazione

Quando i log mostrano un parametro di configurazione che viene confermato per l'applicazione ma che non sembra funzionare, potrebbe esserci un problema con l'implementazione della configurazione da parte dello sviluppatore dell'app. Contattare prima lo sviluppatore dell'app o controllarne knowledge base, può salvare una chiamata di supporto con Microsoft. Se si tratta di un problema relativo alla modalità di gestione della configurazione all'interno di un'app, dovrebbe essere risolto in una versione aggiornata futura di tale app.

Passaggi successivi

Dispositivi gestiti

• Informazioni su come usare la configurazione dell'app con i dispositivi iOS/iPadOS. Vedere Aggiungere criteri di configurazione delle app per dispositivi iOS/iPadOS gestiti.
• Informazioni su come usare la configurazione dell'app con i dispositivi Android. Vedere Aggiungere criteri di configurazione delle app per dispositivi Android gestiti.

App gestite

• Informazioni su come usare la configurazione delle app con app gestite. Vedere Aggiungere criteri di configurazione delle app per le app gestite senza registrazione del dispositivo.