Richiedere un criterio di protezione delle app nei dispositivi Windows

I criteri di protezione delle app applicano la gestione di applicazioni mobili (MAM) ad applicazioni specifiche in un dispositivo. Questi criteri consentono di proteggere i dati all'interno di un'applicazione in supporto a scenari come bring your own device (BYOD).

Prerequisiti

• Microsoft supporta l'applicazione di criteri al browser Microsoft Edge nei dispositivi che eseguono Windows 11 e Windows 10 versione 20H2 e successive con KB5031445.
• Configurazione del criterio di protezione delle app destinato ai dispositivi Windows.
• Attualmente non supportato nei cloud sovrani.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account di emergenza per evitare il blocco a causa di un errore di configurazione delle politiche. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account di servizio e Principal di servizio, ad esempio l'Account di sincronizzazione di Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dai principali del servizio non verranno bloccate dai criteri di accesso condizionale applicati agli utenti. Utilizzare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire criteri destinati ai principali di servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Creare criteri di accesso condizionale

La seguente politica è inizialmente impostata in Modalità solo report così che gli amministratori possano determinare l'impatto che ha sugli utenti attuali. Quando gli amministratori hanno verificato che il criterio funziona come previsto, lo possono attivare o gestirne la distribuzione aggiungendo gruppi specifici ed escludendone altri.

Richiedere un criterio di protezione delle app per i dispositivi Windows

La procedura seguente consente di creare criteri di accesso condizionale che richiedono un criterio di protezione delle app quando si usa un dispositivo Windows che accede al raggruppamento delle app di Office 365 nell'accesso condizionale. Il criterio di protezione delle app deve essere configurato e assegnato anche agli utenti in Microsoft Intune. Per altre informazioni su come creare il criterio di protezione delle app, vedere l'articolo Impostazioni del criterio di protezione delle app per Windows. I criteri seguenti includono più controlli che consentono ai dispositivi di usare i criteri di protezione delle app per la gestione delle applicazioni mobili (MAM) o di essere gestiti e conformi ai criteri di gestione dei dispositivi mobili (MDM).

Suggerimento

I criteri di protezione delle app (MAM) supportano i dispositivi non gestiti:

• Se un dispositivo è già gestito tramite la gestione dei dispositivi mobili (MDM), la registrazione MAM di Intune viene bloccata e le impostazioni del criterio di protezione delle app non vengono applicate.
• Se un dispositivo viene gestito dopo la registrazione MAM, le impostazioni del criterio di protezione delle app non vengono più applicate.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludere, selezionare Utenti e gruppi e scegliere almeno gli account di accesso di emergenza o break-glass della vostra organizzazione.
6. In Risorse di destinazione>(in precedenza app cloud)>Includi selezionare Office 365.
7. In Condizioni:
   1. In Piattaforme del dispositivo, imposta Configurare su Sì.
      1. Sotto Includi, seleziona le piattaforme dei dispositivi.
      2. Scegliere solo Windows.
      3. Selezionare Fatto.
   2. Nelle applicazioni client impostare Configura su Sì.
      1. Selezionare solo Browser.
8. In Controlli di accesso>Concedi selezionare Concedi accesso.
   1. Selezionare Richiedi criterio di protezione delle app e Richiedi che i dispositivi siano contrassegnati come conformi.
   2. Per più controlli selezionare Richiedi uno dei controlli selezionati
9. Conferma le impostazioni e imposta Abilita criterio su Solo rapporto.
10. Seleziona Crea per creare e abilitare la politica.

Nota

Se si imposta su Richiedi tutti i controlli selezionati o si utilizza solo l'opzione di protezione delle app Richiedi controllo di protezione delle app, è necessario assicurarsi di indirizzare solo dispositivi non gestiti o che i dispositivi non siano gestiti da MDM. In caso contrario, il criterio bloccherà l'accesso a tutte le applicazioni perché non è in grado di valutare se l'applicazione è conforme in base ai criteri.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazione, possono spostare l'opzione Abilitare la policy da Solo segnalazione ad Abilitata.

Suggerimento

Le organizzazioni devono anche distribuire un criterio che blocchi l'accesso da piattaforme di dispositivi non supportate o sconosciute insieme a questo criterio.

Accedere ai dispositivi Windows

Quando gli utenti tentano di accedere a un sito protetto da criteri di protezione delle app per la prima volta, viene richiesto di accedere al servizio, all'app o al sito Web, potrebbe essere necessario accedere a Microsoft Edge usando username@domain.com o registrare il dispositivo organization con se è già stato eseguito l'accesso.

Facendo clic su Cambia profilo di Edge viene aperta una finestra in cui è presente l'account aziendale o dell'istituto di istruzione e l'opzione Accedi per sincronizzare i dati.

Questo processo apre una finestra che consente a Windows di ricordare l'account e di accedere automaticamente alle app e ai siti Web.

Attenzione

È necessario DESELEZIONARE LA CASELLA DI CONTROLLOConsenti all'organizzazione di gestire il dispositivo. Se questa casella rimane selezionata, il dispositivo viene registrato nella gestione dei dispositivi mobili (MDM), non nella gestione di applicazioni mobili (MAM).

Non selezionare No, effettua l'accesso solo a questa app.

Dopo aver selezionato OK, è possibile che venga visualizzata una finestra di avanzamento durante l'applicazione dei criteri. Dopo alcuni istanti verrà visualizzata una finestra che indica È tutto pronto, i criteri di protezione delle app sono stati applicati.

Risoluzione dei problemi

Problemi comuni

In alcuni casi, dopo aver visualizzato la pagina "È tutto pronto", potrebbe essere comunque richiesto di accedere all'account aziendale. Questa richiesta può verificarsi quando:

• Il profilo viene aggiunto a Microsoft Edge, ma la registrazione MAM è ancora in fase di elaborazione.
• Il profilo viene aggiunto a Microsoft Edge, ma l'utente ha selezionato l'opzione "Solo questa app" nella pagina dell'annuncio.
• Ti sei iscritto a MAM, ma la tua iscrizione è scaduta o non sei conforme ai requisiti della tua organizzazione.

Per risolvere questi possibili scenari:

• Attendere alcuni minuti e riprovare in una nuova scheda.
• Contattare l'amministratore per verificare che i criteri MAM di Microsoft Intune vengano applicati correttamente all'account.

Account esistente

È noto che se esiste un account preesistente non registrato, ad esempio user@contoso.com in Microsoft Edge, o se un utente accede senza eseguire la registrazione usando la pagina dell'annuncio, l'account non viene registrato correttamente in MAM. Questa configurazione impedisce all'utente di essere registrato correttamente in MAM.

Passaggi successivi

• Informazioni sulla gestione delle app in Microsoft Intune
• Panoramica dei criteri di protezione delle app