Come gestire il trasferimento di dati tra app iOS in Microsoft Intune

Per facilitare la protezione dei dati aziendali, limitare i trasferimenti di file alle sole app gestite personalmente. È possibile gestire le app iOS nei modi seguenti:

  • Proteggere i dati dell'organizzazione per gli account aziendali o dell'istituto di istruzione configurando un criterio di protezione delle app per le app che vengono denominate app gestite da criteri Vedere App protette di Microsoft Intune.

  • Distribuire e gestire le app tramite la gestione dei dispositivi iOS, per la quale è necessario che i dispositivi siano registrati in una soluzione di gestione dei dispositivi mobili. Le app distribuite possono essere app gestite da criteri o altre app iOS gestite.

La funzionalità di gestione Apri in per i dispositivi iOS registrati consente i trasferimenti di file solo tra app iOS gestite. Impostare le restrizioni di gestione open-in usando un criterio di protezione delle app che imposta Invia dati dell'organizzazione ad altre app al valore di filtro App gestite da criteri con il valore di filtro Open-In/Share e quindi distribuisce i criteri usando Intune. Quando un utente installa l'app distribuita, le restrizioni impostate vengono applicate in base ai criteri assegnati.

Usare la gestione open-in per proteggere i dati e le app iOS

Usare i criteri di protezione delle app con la funzionalità di gestione Apri in di iOS per proteggere i dati aziendali nei modi seguenti:

  • Dispositivi non gestiti da soluzioni MDM: è possibile impostare i criteri di protezione delle app per controllare la condivisione di dati con altre applicazioni tramite Apri in o Condividi estensioni. A tale scopo, configurare l'impostazione Invia dati dell'organizzazione ad altre app in App gestite da criteri con il valore di filtro Apri in/Condividi. Il comportamento di Apri in/Condividi nell'app gestita da criteri propone come opzioni per la condivisione solo altre app gestite da criteri. Per informazioni correlate, vedere Criteri Protezione di app per le app iOS/iPadOSe Android, Trasferimento datie estensione di condivisione iOS.

  • Dispositivi gestiti da soluzioni MDM: per i dispositivi registrati in Intune o in soluzioni MDM di terze parti, la condivisione dei dati tra app con criteri di protezione delle app e altre app iOS gestite distribuite tramite MDM è controllata dai criteri app di Intune e dalla funzionalità di gestione open-in iOS. Per assicurarsi che le app distribuite tramite una soluzione MDM siano anche associate ai criteri di protezione delle app di Intune, configurare l'impostazione UPN dell'utente come descritto nella sezione seguente, Configurare l'impostazione UPN dell'utente. Per specificare come consentire il trasferimento dei dati ad altre app gestite da criteri e app gestite da iOS, configurare l'impostazione Invia dati dell'organizzazione ad altre app in App gestite da criteri con condivisione del sistema operativo. Per specificare come consentire a un'app di ricevere dati da altre app, abilitare Ricevi dati da altre app e quindi scegliere il livello di ricezione dei dati preferito. Per altre informazioni su ricezione e condivisione dei dati delle app, vedere Impostazioni di rilocazione dei dati.

Configurare l'impostazione UPN dell'utente per Microsoft Intune o soluzioni EMM di terze parti

La configurazione dell'impostazione UPN dell'utente è obbligatoria per i dispositivi gestiti da Intune o da una soluzione EMM di terze parti per identificare un account utente registrato per l'invio dell'app gestita da criteri quando si trasferiscono dati a un'app gestita iOS. La configurazione UPN funziona con i criteri di protezione delle app distribuiti da Intune. La procedura seguente illustra il flusso generale per la configurazione dell'impostazione UPN, nonché l'esperienza utente risultante:

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager, creare e assegnare un criterio di protezione delle app per iOS/iPadOS. Configurare le impostazioni dei criteri secondo i requisiti aziendali e selezionare le app iOS che devono rispettare questi criteri.

  2. Distribuire le app e il profilo di posta elettronica che si vuole gestire tramite Intune o la soluzione MDM di terze parti usando la procedura generalizzata descritta di seguito. Questa esperienza è illustrata anche dall'esempio 1.

  3. Distribuire l'app con le impostazioni di configurazione seguenti nel dispositivo gestito:

    key = IntuneMAMUPN, value = username@company.com

    Esempio: ['IntuneMAMUPN', 'janellecraig@contoso.com']

    Nota

    In Intune il tipo di registrazione dei criteri di Configurazione app deve essere impostato su Dispositivi gestiti. L'app deve anche essere installata dal Portale aziendale Intune se è impostata come disponibile oppure è necessario eseguirne il push come richiesto nel dispositivo.

    Nota

    Distribuire le impostazioni di configurazione dell'app IntuneMAMUPN nell'app di destinazione gestita che invia i dati, non nel'app di ricezione.

    Nota

    Attualmente non è supportata la registrazione con un utente diverso in un'app se è presente un account registrato in MDM sullo stesso dispositivo.

  4. Distribuire i criteri di gestione open-in usando Intune o il provider MDM di terze parti nei dispositivi registrati.

Esempio 1: Esperienza di amministrazione in Intune o nella console MDM di terze parti

  1. Passare alla console di amministrazione di Intune o del provider MDM di terze parti. Passare alla sezione della console in cui si distribuiscono le impostazioni di configurazione dell'applicazione ai dispositivi iOS registrati.

  2. Nella sezione Configurazione dell'applicazione immettere le impostazioni seguenti per ogni app gestita da criteri che trasferirà i dati alle app gestite da iOS:

    key = IntuneMAMUPN, value = username@company.com

    La sintassi esatta della coppia chiave/valore può variare a seconda del provider MDM di terze parti. La tabella seguente visualizza alcuni esempi di provider MDM di terze parti e i valori esatti da immettere per la coppia chiave/valore.

    Provider MDM di terze parti Chiave Configuration Tipo valore Valore di configurazione
    Microsoft Intune IntuneMAMUPN Stringa {{UserPrincipalName}}
    VMware AirWatch IntuneMAMUPN Stringa {UserPrincipalName}
    MobileIron IntuneMAMUPN Stringa ${userUPN} o ${userEmailAddress}
    Citrix Endpoint Management IntuneMAMUPN Stringa ${user.userprincipalname}
    ManageEngine Mobile Device Manager IntuneMAMUPN Stringa %upn%

Nota

Per Outlook in iOS/iPadOS, se si distribuiscono criteri di configurazione dell'app di dispositivi gestiti con l'opzione "Usa progettazione configurazione" e si abilita Consenti solo account aziendali o dell'istituto di istruzione, la chiave di configurazione IntuneMAMUPN viene configurata automaticamente in background per i criteri. Per altri dettagli, vedere la sezione delle domande frequenti in New Outlook for iOS and Android App Configuration Policy Experience – General App Configuration (Nuova esperienza per i criteri di configurazione dell'app Outlook per iOS e Android - Configurazione app generale).

Esempio 2: Esperienza utente finale

Condivisione da un'app gestita da criteri in altre applicazioni con condivisione del sistema operativo

  1. Un utente apre l'app Microsoft OneDrive in un dispositivo iOS registrato e accede all'account aziendale. L'account immesso dall'utente deve corrispondere all'UPN dell'account specificato nelle impostazioni di configurazione dell'app per l'app Microsoft OneDrive.

  2. Dopo l'accesso, le impostazioni dell'APP configurate dall'amministratore vengono applicate all'account utente in Microsoft OneDrive. Viene anche configurata l'impostazione Invia i dati dell'organizzazione ad altre app sul valore App gestita da criteri con condivisione del sistema operativo.

  3. L'utente visualizza in anteprima un file di lavoro e tenta di eseguire la condivisione in un'app iOS gestita usando Apri in.

  4. Il trasferimento dei dati ha esito positivo e i dati sono ora protetti dalla gestione Apri in nell'app iOS gestita. L'APP Intune non viene applicata alle applicazioni che non sono app gestite da criteri.

Condivisione da un' app iOS gestita in un' app gestita da criteri con dati dell'organizzazione in ingresso

  1. Un utente apre la posta elettronica nativa in un dispositivo iOS registrato usando un profilo di posta elettronica gestito.

  2. L'utente apre un documento di lavoro allegato proveniente dalla posta elettronica nativa in Microsoft Word.

  3. Quando viene avviata l'app Word, si verifica una delle due esperienze seguenti:

    1. I dati vengono protetti dall'APP Intune nei casi seguenti:
      • L'utente ha eseguito l'accesso usando l'account aziendale che corrisponde all'UPN dell'account specificato nelle impostazioni di configurazione per l'app Microsoft Word.
      • Le impostazioni dell'APP configurate dall'amministratore vengono applicate all'account utente in Microsoft Word. Viene anche configurata l'impostazione Ricevi dati da altre app sul valore Tutte le app con dati dell'organizzazione in ingresso.
      • Il trasferimento dei dati ha esito positivo e il documento viene contrassegnato con l'identità aziendale nell'app. L'APP Intune protegge le azioni dell'utente per il documento.
    2. I dati non vengono protetti dall'APP Intune nei casi seguenti:
      • L'utente non ha eseguito l'accesso all'account aziendale.
      • Le impostazioni configurate dall'amministratore non vengono applicate a Microsoft Word perché l'utente non ha eseguito l'accesso.
      • Il trasferimento dei dati ha esito positivo e il documento non viene contrassegnato con l'identità aziendale nell'app. L'APP Intune non protegge le azioni dell'utente per il documento perché la protezione non è attiva.

    Nota

    L'utente può aggiungere e usare con Word gli account personali. I criteri di protezione delle app non si applicano quando l'utente usa Word al di fuori di un contesto aziendale.

Convalidare l'impostazione UPN dell'utente per soluzioni EMM di terze parti

Dopo aver configurato l'impostazione UPN dell'utente, verificare se l'app iOS può ricevere i criteri di protezione delle app di Intune e conformarsi a tali criteri.

È facile testare, ad esempio, l'impostazione del criterio Require app PIN (Richiedi PIN app). Se l'impostazione del criterio corrisponde a Rendi obbligatorio, per accedere ai dati aziendali l'utente deve prima impostare o immettere un PIN quando richiesto.

Prima di tutto, creare e assegnare criteri di protezione delle app all'app iOS. Per altre informazioni su come testare i criteri di protezione delle app, vedere Convalidare i criteri di protezione delle app.

Vedere anche

Che cos'è un criterio di protezione delle app di Intune?