Impostazioni dei criteri di protezione delle app per iOS

Questo articolo descrive le impostazioni dei criteri di protezione delle app per dispositivi iOS/iPadOS. Le impostazioni dei criteri descritte possono essere configurate per i criteri di protezione delle app nel riquadro Impostazioni nel portale quando si crea un nuovo criterio.

Sono tre le categorie di impostazioni dei criteri: Rilocazione dei dati, Requisiti di accesso e Avvio condizionale. In questo articolo il termine app gestite da criteri si riferisce alle app configurate con criteri di protezione delle app.

Importante

Intune Managed Browser è stato ritirato. Usare Microsoft Edge per l'esperienza protetta del browser di Intune.

Protezione dati

Trasferimento dati

Impostazione Uso Valore predefinito
Esegui il backup dei dati dell'organizzazione nei backup di iTunes e iCloud Selezionare Blocca per impedire all'app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud. Selezionare Consenti per consentire all'app di eseguire il backup dei dati aziendali o dell'istituto di istruzione in iTunes e iCloud. Consentito
Invia i dati dell'organizzazione ad altre app Specificare le app da cui questa app può ricevere dati:
  • Tutte le app: consente il trasferimento a qualsiasi app. L'app ricevente avrà la possibilità di leggere e modificare i dati.
  • Nessuno: non consente il trasferimento dei dati alle app, incluse le altre app gestite da criteri. Se l'utente esegue una funzione Apri in gestita e trasferisce un documento, i dati verranno crittografati e resi illeggibili.
  • App gestite da criteri: consente il trasferimento solo ad altre app gestite da criteri.

    Nota: Gli utenti potrebbero essere in grado di trasferire contenuto, tramite Apri in o estensioni per condivisione, ad app non gestite, a dispositivi non registrati o a dispositivi registrati che consentono la condivisione con app non gestite. I dati trasferiti vengono crittografati da Intune e non sono leggibili per le app non gestite.

  • App gestita da criteri con condivisione del sistema operativo: consente solo il trasferimento di dati ad altre app gestite da criteri, nonché i trasferimenti di file ad altre app gestite da MDM in dispositivi registrati.

    Nota: il valore App gestita da criteri con condivisione del sistema operativo è applicabile solo ai dispositivi registrati MDM. Se questa impostazione è destinata a un utente di un dispositivo non registrato, viene applicato il comportamento del valore App gestite da criteri. Gli utenti saranno in grado di trasferire contenuti non crittografati tramite Apri in o le estensioni di condivisione a qualsiasi applicazione consentita dall'impostazione allowOpenFromManagedtoUnmanaged MDM di iOS, presupponendo che l'app mittente abbia configurato IntuneMAMUPN. Per altre informazioni, vedere Come gestire il trasferimento di dati tra app iOS in Microsoft Intune. Per altre informazioni su questa impostazione MDM di iOS/iPadOS, vedere https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf.

  • App gestite da criteri con filtro basato su Apri in/Condividi: consente solo il trasferimento ad altre app gestite da criteri e applica il filtro alle finestre di dialogo Apri in/Condividi del sistema operativo per visualizzare esclusivamente app gestite da criteri. Per configurare il filtro della finestra di dialogo Apri in/Condividi, è necessario che l'app o le app di origine del file o del documento e l'app o le app usate per aprirlo abbiano Intune SDK per iOS 8.1.1 o versione successiva.

    Nota: se l'app supporta il tipo di dati privato di Intune, gli utenti possono trasferire contenuto tramite Apri in o estensioni per Condivisione ad app non gestite. I dati trasferiti vengono crittografati da Intune e non sono leggibili per le app non gestite.


Se impostate su App gestite da criteri o su Nessuna, le funzionalità di iOS di ricerca Spotlight (che abilita la ricerca di dati all'interno delle app) e dei collegamenti Siri sono bloccate.

Questo criterio può essere applicato anche ai collegamenti universali iOS/iPadOS. I collegamenti Web generali sono gestiti dall'impostazione del criterio che consente di aprire i collegamenti delle app in Intune Managed Browser.

Esistono alcuni servizi e app esenti ai quali Intune può consentire il trasferimento dei dati per impostazione predefinita. È anche possibile creare le proprie esenzioni se è necessario consentire il trasferimento dei dati a un'app che non supporta i criteri di protezione delle app di Intune. Per altre informazioni, vedere Esenzioni per il trasferimento dei dati.

Tutte le app
    Selezionare le app da esentare
Questa opzione è disponibile quando si seleziona App gestite da criteri per l'opzione precedente.
    Salva copie dei dati dell'organizzazione
Scegliere Blocca per disabilitare l'uso dell'opzione Salva con nome in questa app. Scegliere Consenti per consentire l'uso di Salva con nome. Se impostata su Blocca, è possibile configurare l'impostazione Consenti all'utente di salvare copie nei servizi selezionati.

Nota:
  • Questa impostazione è supportata per Microsoft Excel, OneNote, Outlook, PowerPoint e Word. Può essere supportata anche da app di terze parti e applicazioni line-of-business.
  • Questa impostazione è configurabile solo quando l'impostazione Invia i dati dell'organizzazione ad altre app è impostata su App gestite da criteri, App gestite da criteri con condivisione del sistema operativo o App gestite da criteri con filtro Apri in/Condividi.
  • Questa impostazione sarà "Consenti" quando l'impostazione Invia i dati dell'organizzazione ad altre app è impostata su Tutte le app.
  • Questa impostazione sarà "Blocca" senza percorsi del servizio consentiti quando l'impostazione Invia i dati dell'organizzazione ad altre app è impostata su Nessuno.
Consentito
      Consenti all'utente di salvare copie nei servizi selezionati
Gli utenti possono salvare nei servizi selezionati (OneDrive for Business, SharePoint e archiviazione locale). Tutti gli altri servizi vengono bloccati. OneDrive for Business: è possibile salvare i file in OneDrive for Business e SharePoint Online. SharePoint: è possibile salvare i file in SharePoint locale. Archiviazione locale: è possibile salvare i file nella risorsa di archiviazione locale. 0 selezionato
    Trasferisci i dati delle telecomunicazioni a
In genere, quando un utente seleziona un numero di telefono con collegamento ipertestuale in un'app, viene aperta un'app dialer con il numero di telefono precompilato e pronto per la chiamata. Per questa impostazione, scegliere come gestire questo tipo di trasferimento del contenuto quando viene avviato da un'app gestita da criteri:
  • Nessuno, non trasferire i dati tra le app: non trasferire i dati di comunicazione quando viene rilevato un numero di telefono.
  • App dialer specifica: consente a un'app dialer specifica di avviare il contatto quando viene rilevato un numero di telefono.
  • Qualsiasi app dialer: consente di usare qualsiasi app dialer per avviare il contatto quando viene rilevato un numero di telefono.

Nota: Questa impostazione richiede Intune SDK 12.7.0 e versioni successive. Se le app si basano sulla funzionalità dialer e non usano la versione corretta di Intune SDK, come soluzione alternativa valutare la possibilità di aggiungere "tel;telprompt" come esenzione per il trasferimento dei dati. Quando le app supportano la versione corretta di Intune SDK, l'esenzione può essere rimossa.

Qualsiasi app dialer
      Schema dell'URL dell'app dialer
Quando viene selezionata un'app dialer specifica, è necessario indicare lo schema dell'URL dell'app dialer usato per avviarla nei dispositivi iOS. Per altre informazioni, vedere la documentazione di Apple relativa ai collegamenti telefonici. Vuoto
Ricevi dati da altre app Specificare le app che possono trasferire dati a questa app:
  • Tutte le app: consente il trasferimento dei dati da qualsiasi app.
  • Nessuno: non consente il trasferimento dei dati dalle app, incluse le altre app gestite da criteri.
  • App gestite da criteri: consente il trasferimento solo da altre app gestite da criteri.
  • Tutte le app con dati dell'organizzazione in ingresso: consente il trasferimento dei dati da qualsiasi app. Gestisce tutti i dati in ingresso privi di identità utente come dati dell'organizzazione. I dati verranno contrassegnati con l'identità dell'utente registrato di MDM, come definito dall'impostazione IntuneMAMUPN.

    Nota: il valore Tutte le app con dati dell'organizzazione in ingresso è applicabile solo a dispositivi registrati MDM. Se questa impostazione è destinata a un utente di un dispositivo non registrato, viene applicato il comportamento del valore Tutte le app.

Le applicazioni abilitate per MAM con supporto per identità multiple tentano di passare a un account non gestito quando ricevono dati non gestiti se questa impostazione è configurata su Nessuno o App gestite da criteri. Se all'app non è connesso alcun account non gestito o se l'app non è in grado di passare a un nuovo account, i dati in ingresso vengono bloccati.

Tutte le app
    Apri dati nei documenti dell'organizzazione
Selezionare Blocca per disabilitare l'uso dell'opzione Apri o altre opzioni per condividere i dati tra gli account in questa app. Selezionare Consenti per consentire l'uso di Apri.

Se questa opzione è impostata su Blocca, è possibile configurare l'impostazione Consenti agli utenti di aprire dati dai servizi selezionati per specificare quali servizi sono consentiti per le posizioni dei dati dell'organizzazione.

Nota:
  • Questa impostazione è configurabile solo quando l'impostazione Ricevi dati da altre app è impostata su App gestite da criteri.
  • Questa impostazione sarà "Consenti" quando l'impostazione Ricevi dati da altre app è impostata su Tutte le app o Tutte le app con i dati dell'organizzazione in ingresso.
  • Questa impostazione sarà "Blocca" senza percorsi del servizio consentiti quando l'impostazione Ricevi dati da altre app è impostata su Nessuno.
  • Le app seguenti supportano questa impostazione:
    • OneDrive 11.45.3 o versioni successive.
    • Outlook per iOS 4.60.0 o versioni successive.
Consentito
      Consenti agli utenti di aprire dati dai servizi selezionati
Selezionare i servizi di archiviazione dell'applicazione da cui gli utenti possono aprire i dati. Tutti gli altri servizi vengono bloccati. Se non si seleziona alcun servizio, gli utenti non potranno più aprire i dati da posizioni esterne.

Servizi supportati:
  • OneDrive for Business
  • SharePoint Online
  • Fotocamera
Nota: La fotocamera non include Foto o Raccolta foto accesso.
Tutte selezionate
Limita le operazioni taglia, copia e incolla tra altre app Specificare quando è possibile usare le azioni taglia, copia e incolla con questa app. È possibile scegliere tra:
  • Bloccato: non consente le azioni taglia, copia e incolla tra questa e altre app.
  • App gestite da criteri: consente le azioni Taglia, Copia e Incolla tra questa app e altre app gestite da criteri.
  • App gestite da criteri con Incolla in: consente le azioni Taglia o Copia tra questa app e altre app gestite da criteri. I dati da qualsiasi app possono essere incollati in questa app.
  • Qualsiasi app: nessuna restrizione per le azioni Taglia, Copia e Incolla in e da questa app.
Qualsiasi app
    Limite di caratteri per copia e incolla per qualsiasi app
Specificare il numero di caratteri che è possibile tagliare o copiare da account e dati dell'organizzazione. Ciò consente la condivisione del numero specificato di caratteri in qualsiasi applicazione, indipendentemente dall'impostazione Limita le operazioni taglia, copia e incolla con le altre app.

Valore predefinito = 0

Nota: l'app deve avere Intune SDK 9.0.14 o versione successiva.

0
Tastiere di terze parti Scegliere Blocca per impedire l'uso di tastiere di terze parti nelle applicazioni gestite.

Quando questa impostazione è abilitata, l'utente riceve un messaggio una tantum che informa che l'uso di tastiere di terze parti è bloccato. Questo messaggio viene visualizzato la prima volta che un utente interagisce con i dati dell'organizzazione per cui è necessario usare una tastiera. Solo la tastiera standard di iOS/iPadOS è disponibile quando si usano applicazioni gestite e tutte le altre opzioni di tastiera sono disabilitate. Questa impostazione avrà effetto sull'organizzazione e sugli account personali delle applicazioni con identità multiple. Questa impostazione non ha alcun effetto sull'uso di tastiere di terze parti in applicazioni non gestite.

Nota: questa funzionalità richiede che l'app usi Intune SDK versione 12.0.16 o successiva. Nelle app con SDK versione 8.0.14 e successive, tra cui 12.0.15, questa funzionalità non sarà applicata correttamente per le app con identità multiple. Per altri dettagli, vedere Problemi noti: assenza del blocco delle tastiere di terze parti in iOS/iPadOS per gli account personali.

Consentito

Crittografia

Impostazione Uso Valore predefinito
Crittografa i dati dell'organizzazione Scegliere Richiedi per abilitare la crittografia dei dati aziendali o dell'istituto di istruzione in questa app. Intune impone la crittografia a livello di dispositivo iOS/iPadOS per proteggere i dati delle app quando il dispositivo è bloccato. Le applicazioni, inoltre, possono eventualmente crittografare i dati delle app usando la crittografia di Intune APP SDK. Intune APP SDK applica la crittografia AES a 256 bit ai dati delle app tramite i metodi di crittografia di iOS/iPadOS.

Quando si abilita questa impostazione, è probabile che all'utente venga richiesto di impostare e usare un PIN per accedere al dispositivo. Se non è stato impostato un PIN ed è necessaria la crittografia, viene richiesto all'utente di impostare un PIN con il messaggio "Your organization has required you to first enable a device PIN to access this app" (L'organizzazione ha richiesto di abilitare prima un PIN del dispositivo per accedere all'app).

Passare alla documentazione di Apple ufficiale per vedere quali moduli di crittografia iOS/iPadOS hanno la convalida FIPS 140-2.
Richiedi

Funzionalità

Impostazione Uso Valore predefinito
Sincronizza i dati delle app gestite da criteri con le app native Scegliere Blocca per impedire alle app gestite da criteri di salvare i dati nell'app Contatti nativa nel dispositivo. Se si sceglie Consenti, l'app può salvare i dati nell'app Contatti nativa nel dispositivo, quando queste funzionalità sono abilitate all'interno dell'app gestita da criteri.

Quando si esegue una cancellazione selettiva per rimuovere i dati di lavoro o dell'istituto di istruzione dall'app, i dati dei contatti sincronizzati direttamente dall'app all'app Contatti nativa vengono rimossi. I dati dei contatti sincronizzati dall'app Contatti nativa a un'altra origine esterna non possono essere cancellati. Attualmente, si applica solo alle app Outlook per iOS. Per altre informazioni, vedere Deploying Outlook for iOS and Android app configuration settings(Distribuzione di Outlook per le impostazioni di configurazione delle app iOS e Android).
Consentito
Stampa dei dati dell'organizzazione Selezionare Blocca per impedire all'app di stampare dati aziendali o dell'istituto di istruzione. Se si lascia l'impostazione Consenti, ovvero l'impostazione predefinita, gli utenti potranno esportare e stampare tutti i dati dell'organizzazione. Consentito
Limita il trasferimento di contenuto Web con altre app Specificare la modalità di apertura del contenuto Web (collegamenti HTTP/HTTPS) dalle applicazioni gestite da criteri. Scegliere tra:
  • Qualsiasi app: consente i collegamenti Web in qualsiasi app.
  • Intune Managed Browser: consente l'apertura del contenuto Web solo in Intune Managed Browser. Questo browser è un browser gestito da criteri.
  • Microsoft Edge: consente l'apertura del contenuto Web solo in Microsoft Edge. Questo browser è un browser gestito da criteri.
  • Browser non gestito: consentire l'apertura del contenuto Web solo nel browser non gestito definito dall'impostazione Protocollo del browser non gestito. Il contenuto Web sarà non gestito nel browser di destinazione.
    Nota: l'app deve avere Intune SDK 11.0.9 o versione successiva.
Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri di Managed Browser con Microsoft Intune.

Se un browser gestito da criteri è obbligatorio ma non è installato, verrà richiesto agli utenti finali di installare Microsoft Edge.

Se un browser gestito da criteri è obbligatorio, i collegamenti universali iOS/iPadOS sono gestiti tramite l'impostazione del criterio Consenti all'app di trasferire i dati ad altre app.

Registrazione del dispositivo in Intune
Se si usa Intune per gestire i dispositivi, vedere Gestire l'accesso a Internet usando criteri di browser gestiti con Microsoft Intune.

Microsoft Edge gestito da criteri
Il browser Microsoft Edge per i dispositivi mobili (iOS/iPadOS e Android) supporta i criteri di protezione delle app di Intune. Gli utenti che accedono con gli account Azure AD aziendali nell'applicazione browser Microsoft Edge saranno protetti da Intune. Il browser Microsoft Edge integra Intune SDK e supporta tutti i relativi criteri di protezione dei dati, con le seguenti eccezioni:

  • Salva con nome: il browser Microsoft Edge non consente a un utente di aggiungere connessioni in-app dirette ai provider di archiviazione cloud, ad esempio OneDrive.
  • Sincronizzazione del contatto: il browser Microsoft Edge non salva gli elenchi di contatti nativi.

Nota:Intune SDK non è in grado di determinare se l'app di destinazione è un browser. Nei dispositivi iOS/iPadOS non è consentito usare altre app browser gestite.
Non configurato
    Protocollo del browser non gestito
Immettere il protocollo per un singolo browser non gestito. Il contenuto Web (collegamenti http/https) dalle applicazioni gestite da criteri verrà aperto in qualsiasi app che supporti questo protocollo. Il contenuto Web sarà non gestito nel browser di destinazione.

Questa funzionalità deve essere usata solo se si vuole condividere contenuti protetti con un browser specifico non abilitato con i criteri di protezione delle app di Intune. Contattare il fornitore del browser per determinare il protocollo supportato dal browser desiderato.

Nota: Includere solo il prefisso del protocollo. Se il browser richiede collegamenti nel formato mybrowser://www.microsoft.com, immettere mybrowser.
I collegamenti verranno tradotti come:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Vuoto
Notifiche sui dati dell'organizzazione Specificare il volume di dati dell'organizzazione condiviso tramite notifiche del sistema operativo con gli account dell'organizzazione. Questa impostazione dei criteri influisce sul dispositivo locale e su eventuali dispositivi connessi, ad esempio dispositivi indossabili e smart speaker. Le app possono offrire controlli aggiuntivi per personalizzare il comportamento delle notifiche o scegliere di non rispettare tutti i valori. È possibile scegliere tra:
  • Bloccato: le notifiche non vengono condivise.
    • Se questa opzione non è supportata dall'applicazione, le notifiche non saranno consentite.
  • Blocca i dati dell'organizzazione: i dati dell'organizzazione non vengono condivisi, ad esempio:
    • "Nuovo messaggio di posta elettronica"; "Riunione".
    • Se questa opzione non è supportata dall'applicazione, le notifiche verranno bloccate.
  • Consenti: i dati dell'organizzazione vengono condivisi nelle notifiche.

Nota: questa impostazione richiede il supporto dell'app:

  • Outlook per iOS 4.34.0 o versioni successive
  • Teams per iOS 2.0.22 o versioni successive.
Consentito

Nota

Nessuna delle impostazioni di protezione dati controlla la funzionalità "Apri in" gestita di Apple nei dispositivi iOS/iPadOS. Per gestire la funzionalità "Apri in" gestita di Apple, vedere Gestire il trasferimento di dati tra app iOS/iPadOS con Microsoft Intune.

Esenzioni per il trasferimento dei dati

Esistono alcune app e servizi della piattaforma esenti, per i quali in determinati scenari i criteri di protezione delle app di Intune possono consentire il trasferimento dei dati in entrambe le direzioni. Questo elenco è soggetto a modifiche e include le app e i servizi considerati utili per una produttività sicura.

È possibile aggiungere app non gestite di terze parti all'elenco di esenzioni che possono consentire le eccezioni di trasferimento dei dati. Per altri dettagli ed esempi, vedere Come creare eccezioni ai criteri di trasferimento dei dati Protezione app di Intune Policy (APP). L'app non gestita esente deve essere richiamata in base al protocollo URL iOS. Ad esempio, quando viene aggiunta l'esenzione per il trasferimento dei dati per un'app non gestita, impedirebbe comunque agli utenti di eseguire operazioni taglia, copia e incolla, se limitate dai criteri. Questo tipo di esenzione impedirebbe inoltre agli utenti di usare l'azione Apri in all'interno di un'app gestita per copiare i dati nell'app esente perché non è basata sul protocollo URL iOS. Per altre informazioni su Open-in, vedere Usare la protezione delle app con le app iOS.

Nome/i app/servizio Descrizione
skype Skype
app-settings Impostazioni del dispositivo
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Calendario nativo

Importante

I criteri di protezione delle app creati prima del 15 giugno 2020 includono gli schemi URL tel e telprompt come parte delle esenzioni predefinite per il trasferimento dei dati. Questi schemi URL consentono alle app gestite di avviare il dialer. Questa funzionalità è stata sostituita dall'impostazione dei criteri di protezione delle app Trasferisci i dati delle telecomunicazioni a. Gli amministratori devono rimuovere tel;telprompt; dalle esenzioni per il trasferimento dei dati e affidarsi all'impostazione dei criteri di protezione delle app, purché le app gestite che avviano la funzionalità dialer includano Intune SDK 12.7.0 o versione successiva.

Importante

In Intune SDK 14.5.0 o versioni successive, inclusi gli schemi URL sms e mailto nelle esenzioni per il trasferimento dei dati, sarà consentita anche la condivisione dei dati dell'organizzazione nei controller di visualizzazione MFMessageCompose (per sms) e MFMailCompose (per mailto) all'interno delle applicazioni gestite da criteri.

Requisiti per l'accesso

Impostazione Uso Valore predefinito
PIN per l'accesso Selezionare Richiedi per richiedere un PIN per usare questa app. All'utente viene richiesto di impostare questo PIN alla prima esecuzione dell'app in un contesto aziendale o dell'istituto di istruzione. Il PIN viene applicato quando si lavora online o offline.

È possibile configurare la complessità del PIN usando le impostazioni disponibili nella sezione PIN per l'accesso.
Richiedi
    Tipo di PIN
impostare un requisito per i PIN di tipo numerico o passcode prima di accedere a un'app con criteri di protezione delle app applicati. Il tipo numerico richiede solo numeri, mentre un passcode può essere definito con almeno 1 lettera dell'alfabeto o almeno 1 carattere speciale.

Nota: Per configurare il tipo di passcode, è necessario che l'app usi la versione 7.1.12 o successiva di Intune SDK. Per il tipo numerico non sono previste restrizioni di versione di Intune SDK. I caratteri speciali consentiti includono i caratteri speciali e i simboli sulla tastiera inglese iOS/iPadOS.
Numerica
    PIN semplice
Selezionare Consenti per consentire agli utenti di usare sequenze di PIN semplici, ad esempio 1234, 1111, abcd o aaaa. Selezionare Blocca per impedire l'uso di sequenze semplici. Le sequenze semplici vengono controllate in finestre temporali scorrevoli di 3 caratteri. Se si configura l'impostazione Blocca, i valori 1235 o 1112 non vengono accettati come codice PIN impostato dall'utente finale, ma 1122 è consentito.

Nota: se è configurato il PIN di tipo passcode e Consenti PIN semplice è impostato su Sì, nel PIN sarà necessaria almeno 1 lettera o almeno 1 carattere speciale. Se è configurato il PIN di tipo passcode e Consenti PIN semplice è impostato su No, saranno necessari almeno 1 numero e 1 lettera e almeno 1 carattere speciale nel PIN.
Consentito
    Selezionare la lunghezza minima del PIN
specificare il numero minimo di cifre in una sequenza di PIN. 4
    Touch ID invece del PIN per l'accesso (iOS 8+)
Selezionare Consenti per consentire all'utente di usare Touch ID anziché un PIN per accedere all'app. Consentito
      Esegui l'override di Touch ID con il PIN dopo il timeout
Per usare questa impostazione, selezionare Richiedi e quindi configurare un timeout di inattività. Richiedi
        Timeout (minuti di inattività)
Specificare un tempo in minuti dopo il quale un passcode o il PIN numerico configurato sostituirà l'uso di un'impronta digitale o del viso come metodo di accesso. Questo valore di timeout deve essere maggiore del valore specificato in 'Controlla di nuovo i requisiti di accesso dopo (minuti di inattività)'. 30
      Face ID invece del PIN per l'accesso (iOS 11+)
Selezionare Consenti per consentire all'utente di usare la tecnologia di riconoscimento facciale per autenticare gli utenti nei dispositivi iOS/iPadOS. Se consentito, Face ID deve essere usato per accedere all'app in un dispositivo in grado di supportare Face ID. Consentito
    Numero di giorni di attesa prima della reimpostazione del PIN
Selezionare per richiedere agli utenti di modificare il PIN dell'app dopo un determinato periodo di tempo, in giorni.

Se impostata su , è possibile configurare il numero di giorni che precedono la richiesta di reimpostazione del PIN.
No
      Numero di giorni
Configurare il numero di giorni che precedono la richiesta di reimpostazione del PIN. 90
    PIN dell'app quando il PIN del dispositivo è configurato
Selezionare Disattiva per disabilitare il PIN dell'app quando viene rilevato il blocco del dispositivo in un dispositivo registrato con Portale aziendale configurato.

Nota: L'app deve avere Intune SDK versione 7.0.1 o versione successiva.

Nei dispositivi iOS/iPadOS è possibile consentire all'utente di confermare l'identità usando l'ID tocco o il Face ID invece di un PIN. Intune usa l'API LocalAuthentication per autenticare gli utenti mediante l'ID tocco e il Face ID. Per altre informazioni sull'ID tocco e il Face ID, vedere la Guida si sicurezza iOS.

Quando l'utente prova a usare l'app con l'account aziendale o dell'istituto di istruzione, gli viene richiesto di identificarsi con l'impronta digitale o l'identità facciale invece di immettere un PIN. Quando questa impostazione è abilitata, l'immagine di anteprima della funzione Switch sarà sfocata quando si usa un account aziendale o dell'istituto di istruzione.
Attiva
Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso Selezionare Richiedi per richiedere all'utente di accedere con il proprio account aziendale o dell'istituto di istruzione anziché immettere un PIN per accedere all'app. Se è impostata su Richiedi ed è attivato il PIN o il prompt di accesso biometrico, verranno visualizzati i prompt sia delle credenziali aziendali che del PIN o dell'accesso biometrico. Non richiesto
Controlla di nuovo i requisiti di accesso dopo (minuti di inattività) Configurare il numero di minuti di inattività che devono trascorrere prima che l'app richieda all'utente di specificare di nuovo i requisiti di accesso.

Ad esempio, se un amministratore attiva il PIN e blocca i dispositivi rooted nel criterio, l'utente che apre un'app gestita da Intune dovrà immettere un PIN e usare l'app in un dispositivo non rooted. Se si usa questa impostazione, l'utente non dovrà immettere il PIN o sottoporsi a un altro controllo di rilevamento della radice nelle app gestite da Intune per un periodo di tempo pari al valore configurato.

Nota: In iOS/iPadOS il PIN è condiviso tra tutte le app gestite da Intune dello stesso editore. Il timer di un PIN specifico viene reimpostato quando l'app non è più in primo piano nel dispositivo. Per tutta la durata del timeout definito in questa impostazione, l'utente non dovrà immettere il PIN per le app gestite da Intune che condividono il PIN stesso. Il formato di questa impostazione dei criteri supporta un numero intero positivo.
30

Nota

Per altre informazioni sul funzionamento in iOS/iPadOS di più impostazioni di protezione app di Intune, configurate nella sezione Accesso, per lo stesso set di app e di utenti, vedere Domande frequenti sulla gestione di applicazioni mobili di Intune e Cancellare i dati in modo selettivo usando le azioni di accesso per i criteri di protezione delle app in Intune.

Avvio condizionale

Configurare le impostazioni dell'avvio condizionale per definire i requisiti di sicurezza dell'accesso per i criteri di protezione dell'accesso.

Per impostazione predefinita, per alcune impostazioni i valori e le azioni sono preconfigurati. È possibile eliminare alcune di queste impostazioni, ad esempio Versione minima del sistema operativo. È anche possibile selezionare impostazioni aggiuntive dall'elenco a discesa Selezionare una voce.

Impostazione Uso
Versione massima del sistema operativo Specificare un sistema operativo iOS/iPadOS massimo per usare questa app. Le azioni sono le seguenti:
  • Avvisa: l'utente visualizzerà una notifica se la versione di iOS/iPadOS nel dispositivo non soddisfa il requisito. Questa notifica può essere chiusa.
  • Blocca l'accesso: all'utente verrà impedito l'accesso se la versione di iOS/iPadOS nel dispositivo non soddisfa il requisito.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.

Questa voce può essere visualizzata più volte e ogni istanza può supportare un'azione diversa.

Il formato di questa impostazione dei criteri supporta principale.secondaria, principale.secondaria.build, principale.secondaria.build.revisione.

Nota: richiede che l'app abbia Intune SDK versione 14.4.0 o successiva.
Versione minima del sistema operativo Specificare un sistema operativo iOS/iPadOS minimo per usare questa app. Le azioni sono le seguenti:
  • Avvisa: l'utente visualizzerà una notifica se la versione di iOS/iPadOS nel dispositivo non soddisfa il requisito. Questa notifica può essere chiusa.
  • Blocca l'accesso: all'utente verrà impedito l'accesso se la versione di iOS/iPadOS nel dispositivo non soddisfa il requisito.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Questa voce può essere visualizzata più volte e ogni istanza può supportare un'azione diversa.

Il formato di questa impostazione dei criteri supporta principale.secondaria, principale.secondaria.build, principale.secondaria.build.revisione.

Nota: L'app deve avere Intune SDK versione 7.0.1 o versione successiva.
Numero massimo di tentativi di PIN Specificare il numero di tentativi di immissione del PIN che è possibile eseguire prima che venga messa in atto l'azione configurata. Se l'utente non riesce a immettere il PIN dopo il numero massimo di tentativi, deve reimpostare il PIN dopo aver eseguito l'accesso al proprio account e aver completato una richiesta di autenticazione a più fattori (MFA), se necessario. Il formato di questa impostazione dei criteri supporta un numero intero positivo. Le azioni sono le seguenti:
  • Reimposta PIN: l'utente deve reimpostare il PIN.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Valore predefinito = 5
Periodo di prova offline Numero di minuti durante i quali le app gestite da criteri possono essere eseguite offline. Specificare il periodo di tempo (in minuti) che deve trascorrere prima che vengano controllati di nuovo i requisiti di accesso per l'app. Le azioni sono le seguenti:
  • Blocca l'accesso (minuti): numero di minuti durante i quali le app gestite da criteri possono essere eseguite offline. Specificare il periodo di tempo (in minuti) che deve trascorrere prima che vengano controllati di nuovo i requisiti di accesso per l'app. Alla scadenza del periodo configurato, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione fino a quando non è disponibile l'accesso alla rete. Il timer del periodo di tolleranza offline per il blocco dell'accesso viene condiviso tra tutte le app nel keychain dell'autore dell'app. Il formato di questa impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 720 minuti (12 ore)
  • Cancella i dati (giorni) : trascorso questo intervallo di esecuzione offline (numero di giorni definito dall'amministratore), l'app chiederà all'utente di connettersi alla rete e ripetere l'autenticazione. Se l'utente viene autenticato correttamente, può continuare ad accedere ai dati e l'intervallo offline viene reimpostato. Se l'autenticazione non riesce, l'app eseguirà una cancellazione selettiva dell'account e dei dati dell'utente. Vedere Come cancellare solo i dati aziendali dalle app gestite da Intune per altre informazioni sui dati che vengono rimossi con una cancellazione selettiva. Il timer del periodo di tolleranza offline per la pulizia dei dati viene calcolato singolarmente per ogni app in base all'ultima archiviazione con il servizio Intune. Il formato di questa impostazione dei criteri supporta un numero intero positivo.

    Valore predefinito = 90 giorni
Questa voce può essere visualizzata più volte e ogni istanza può supportare un'azione diversa.
Dispositivi jailbroken/rooted Non esistono valori per questa impostazione. Le azioni sono le seguenti:
  • Blocca l'accesso: consente di impedire l'esecuzione dell'app nei dispositivi jailbroken o rooted. L'utente continua a usare l'app per le attività personali, ma deve usare un dispositivo diverso per accedere ai dati aziendali o dell'istituto di istruzione nell'app.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Account disabilitato Non esistono valori per questa impostazione. Le azioni sono le seguenti:
  • Blocca accesso: dopo aver verificato che l'utente sia stato disabilitato in Azure Active Directory, l'app blocca l'accesso ai dati aziendali o dell'istituto di istruzione.
  • Cancella i dati: dopo aver verificato che l'utente sia stato disabilitato in Azure Active Directory, l'app eseguirà una cancellazione selettiva dell'account e dei dati degli utenti.
Versione minima dell'app Specificare un valore minimo della versione dell'applicazione. Le azioni sono le seguenti:
  • Avvisa: l'utente visualizza una notifica se la versione dell'app nel dispositivo non soddisfa il requisito. Questa notifica può essere chiusa.
  • Blocca l'accesso: all'utente viene impedito l'accesso se la versione dell'app nel dispositivo non soddisfa il requisito.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Poiché spesso gli schemi di numerazione delle versioni sono diversi per le varie app, creare un criterio con una versione minima di un'app come destinazione (ad esempio, Criteri versione Outlook).

Questa voce può essere visualizzata più volte e ogni istanza può supportare un'azione diversa.

Il formato di questa impostazione dei criteri supporta principale.secondaria, principale.secondaria.build, principale.secondaria.build.revisione.

Nota: L'app deve avere Intune SDK versione 7.0.1 o versione successiva.

È anche possibile configurare dove gli utenti finali possono ottenere una versione aggiornata di un'app line-of-business. Gli utenti finali visualizzeranno questa impostazione nella finestra di dialogo di avvio condizionale Versione minima dell'app, in cui verrà chiesto loro di eseguire l'aggiornamento a una versione minima dell'app line-of-business. In iOS/iPadOS questa funzionalità richiede che l'app venga integrata (o sottoposta a wrapping tramite lo strumento di wrapping) con Intune SDK per iOS 10.0.7 o versioni successive. Per configurare la posizione in cui un utente finale deve aggiornare un'app line-of-business, l'app necessita che venga inviato un criterio di configurazione dell'app gestito con la chiave com.microsoft.intune.myappstore. Il valore inviato definirà da quale archivio l'utente finale scaricherà l'app. Se l'app viene distribuita tramite il portale aziendale, il valore deve essere CompanyPortal. Per qualsiasi altro archivio, è necessario immettere un URL completo.
Versione minima dell'SDK Specificare un valore minimo per la versione di Intune SDK. Le azioni sono le seguenti:
  • Blocca l'accesso: all'utente viene impedito l'accesso se la versione dell'SDK dei criteri di protezione delle app di Intune dell'app non soddisfa il requisito.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per altre informazioni sull'SDK dei criteri di protezione delle app di Intune, vedere Panoramica di Intune App SDK. Poiché le app hanno spesso una versione distinta di Intune SDK, creare un criterio con una versione minima di Intune SDK destinata a un'app, ad esempio Criteri versione Intune SDK per Outlook .

Questa voce può essere visualizzata più volte e ogni istanza può supportare un'azione diversa.
Modello del dispositivo Specificare un elenco di identificatori di modello separati da punto e virgola. I valori non fanno distinzione tra maiuscole e minuscole. Le azioni sono le seguenti:
  • Consenti specificati (blocca non specificati) : solo i dispositivi che corrispondono al modello di dispositivo specificato possono usare l'app. Tutti gli altri modelli di dispositivo vengono bloccati.
  • Consenti specificati (cancella non specificati) : l'account utente associato all'applicazione viene cancellato dal dispositivo.
Per altre informazioni sull'uso di questa impostazione, vedere Azioni di avvio condizionale.
Livello di minaccia massimo consentito del dispositivo I criteri di protezione delle app possono sfruttare i vantaggi del connettore Intune-MTD. Specificare un livello di minaccia massimo accettabile per usare questa app. Le minacce sono determinate dall'app del fornitore di Mobile Threat Defense (MTD) prescelta nel dispositivo dell'utente finale. Specificare Protetto, Basso, Medio o Alto. Il livello Protetto richiede che non sia presente alcuna minaccia nel dispositivo ed è il valore configurabile più restrittivo, mentre Alto richiede essenzialmente una connessione attiva da Intune a MTD. Le azioni sono le seguenti:
  • Blocca accesso - All'utente verrà impedito l'accesso se il livello di minaccia determinato dall'app del fornitore di Mobile Threat Defense (MTD) prescelta nel dispositivo dell'utente finale non soddisfa questo requisito.
  • Cancella i dati: l'account utente associato all'applicazione viene cancellato dal dispositivo.
Nota: l'app deve avere Intune SDK versione 12.0.15 o versione successiva.

Per altre informazioni sull'uso di questa impostazione, vedere Abilitare MTD per i dispositivi non registrati.

Altre informazioni