Come creare e assegnare criteri di protezione delle app

Informazioni su come creare e assegnare Microsoft Intune criteri di protezione delle app (APP) per gli utenti dell'organizzazione. Questo articolo descrive anche come apportare modifiche ai criteri esistenti.

Prima di iniziare

Protezione di app criteri possono essere applicati alle app in esecuzione nei dispositivi che possono essere gestiti o meno da Intune. Per una descrizione più dettagliata del funzionamento dei criteri di protezione delle app e degli scenari supportati dai criteri di protezione delle app Intune, vedere Panoramica dei criteri di Protezione di app.

Le scelte disponibili nei criteri di protezione delle app consentono alle organizzazioni di personalizzare la protezione in base alle esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.

Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:

• La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
• La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
• La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.

Se si sta cercando un elenco di app che hanno integrato l'SDK Intune, vedere Microsoft Intune app protette.

Per informazioni sull'aggiunta delle app line-of-business (LOB) dell'organizzazione a Microsoft Intune per preparare i criteri di protezione delle app, vedere Aggiungere app a Microsoft Intune.

criteri di Protezione di app per le app iOS/iPadOS e Android

Quando si creano criteri di protezione delle app per app iOS/iPadOS e Android, si segue un flusso di processo di Intune moderno che genera un nuovo criterio di protezione delle app. Per informazioni sulla creazione di criteri di protezione delle app per le app di Windows, vedi impostazioni dei criteri di Protezione di app per Windows.

Creare criteri di protezione delle app iOS/iPadOS o Android

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare App>Criteri di protezione app. Questa selezione apre i dettagli dei criteri di Protezione di app, in cui si creano nuovi criteri e si modificano i criteri esistenti.
3. Selezionare Crea criterio e selezionare iOS/iPadOS o Android. Viene visualizzato il riquadro Crea criteri.
4. Nella pagina Nozioni di base aggiungere i valori seguenti:

Valore	Descrizione
Nome	Nome di questo criterio di protezione delle app.
Descrizione	[Facoltativo] Descrizione di questo criterio di protezione delle app.

5. Fare clic su Avanti per visualizzare la pagina App .
   La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.

   Valore/opzione	Descrizione
   Criteri di destinazione per	Nella casella a discesa Criteri di destinazione scegliere di assegnare i criteri di protezione delle app a Tutte le app, Microsoft Apps o Core Microsoft Apps. Tutte le app includono tutte le app Microsoft e partner che hanno integrato Intune SDK. Microsoft Apps include tutte le app Microsoft che hanno integrato l'SDK Intune. Core Microsoft Apps include le app seguenti: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, Attività e Word. Successivamente, è possibile selezionare Visualizza un elenco delle app destinate a visualizzare un elenco delle app interessate da questo criterio.
   App pubbliche	Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app pubbliche per selezionare le app pubbliche di destinazione.
   App personalizzate	Se non si vuole selezionare uno dei gruppi di app predefiniti, è possibile scegliere di assegnare le singole app selezionando App selezionate nella casella a discesa Criteri di destinazione. Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle. Non è possibile scegliere un'app personalizzata anche per le opzioni Tutte le app, Microsoft Apps o Core Microsoft Apps nello stesso criterio.

   Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.

   Nota

   Le app pubbliche sono supportate da Microsoft e dai partner che vengono comunemente usate con Microsoft Intune. Queste app Intune protette sono abilitate con un set completo di supporto per i criteri di protezione delle applicazioni mobili. Per altre informazioni, vedere Microsoft Intune app protette. Le app personalizzate sono app line-of-business integrate con Intune SDK o incluse nella Intune App Wrapping Tool. Per altre informazioni, vedere Panoramica Microsoft Intune App SDK e Preparare le app line-of-business per i criteri di protezione delle app.

6. Fare clic su Avanti per visualizzare la pagina Protezione dati .
   La pagina fornisce impostazioni per controllo di prevenzione della perdita dei dati (DLP) tra cui limitazioni relative alle operazioni di taglio, copia, incolla e salva con nome. Queste impostazioni stabiliscono il modo in cui gli utenti possono interagire con i dati nelle app a cui si applica questo criterio di protezione delle app.

   Impostazioni di protezione dei dati:

   • Protezione dei dati iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Protezione dei dati.
   • Protezione dei dati Android : per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Protezione dei dati.

7. Fare clic su Avanti per visualizzare la pagina Requisiti di accesso .
   Questa pagina offre impostazioni che consentono di configurare il PIN e i requisiti delle credenziali che gli utenti devono soddisfare per poter accedere alle app in un contesto lavorativo.

   Impostazioni dei requisiti di accesso:

   • Requisiti di accesso per iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Requisiti di accesso.
   • Requisiti di accesso android : per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Requisiti di accesso.

8. Fare clic su Avanti per visualizzare la pagina Avvio condizionale .
   La pagina offre impostazioni per impostare i requisiti di sicurezza per l'accesso per il criterio di protezione delle app. Selezionare un'impostazione e inserire il valore che gli utenti devono soddisfare per accedere all'app aziendale. Selezionare quindi l'azione da eseguire se gli utenti non soddisfano i requisiti. In alcuni casi, è possibile configurare più azioni per un'unica impostazione.

   Impostazioni di avvio condizionale:

   • Avvio condizionale di iOS/iPadOS : per informazioni, vedere Impostazioni dei criteri di protezione delle app iOS/iPadOS - Avvio condizionale.
   • Avvio condizionale android: per informazioni, vedere Impostazioni dei criteri di protezione delle app Android - Avvio condizionale.

9. Fare clic su Avanti per visualizzare la pagina Assegnazioni.
   La pagina Assegnazioni consente di assegnare i criteri di protezione delle app ai gruppi di utenti. Affinché il criterio abbia effetto, è necessario applicarlo a un gruppo di utenti.

10. Fare clic su Avanti: Rivedi e crea per esaminare i valori e le impostazioni immessi per questo criterio di protezione delle app.

11. Al termine, fare clic su Crea per creare i criteri di protezione delle app in Intune.

    Consiglio

    Queste impostazioni dei criteri vengono applicate solo quando si usano app nel contesto di lavoro. Quando gli utenti finali usano l'app per eseguire un'attività personale, non sono interessati da questi criteri. Si noti che quando si crea un nuovo file viene considerato un file personale.

    Importante

    L'applicazione dei criteri di protezione delle app ai dispositivi esistenti può richiedere tempo. Gli utenti finali visualizzeranno una notifica nel dispositivo quando vengono applicati i criteri di protezione delle app. Applicare i criteri di protezione delle app ai dispositivi prima di applicare regole di accesso condidtional.

Gli utenti finali possono scaricare le app dall'App Store o da Google Play. Per altre informazioni, vedere:

• Dove trovare app aziendali o dell'istituto di istruzione per iOS/iPadOS
• Dove trovare app aziendali o dell'istituto di istruzione per Android

Modificare i criteri esistenti

È possibile modificare un criterio esistente e applicarlo agli utenti di destinazione. Per altre informazioni sui tempi di recapito dei criteri, vedere Informazioni sui tempi di recapito dei criteri di protezione delle app.

Per modificare l'elenco delle app associate ai criteri

1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

2. Nel riquadro Intune Protezione app selezionare Proprietà.

3. Accanto alla sezione App denominata App selezionare Modifica.

4. La pagina App consente di scegliere quali app devono essere destinate a questo criterio. È necessario aggiungere almeno un'app.

   Valore/opzione	Descrizione
   App pubbliche	Nella casella a discesa Criteri di destinazione scegliere di assegnare i criteri di protezione delle app a Tutte le app pubbliche, Microsoft Apps o Core Microsoft Apps. Successivamente, è possibile selezionare Visualizza un elenco delle app destinate a visualizzare un elenco delle app interessate da questo criterio. Se necessario, è possibile scegliere di assegnare le singole app facendo clic su Seleziona app pubbliche.
   App personalizzate	Fare clic su Seleziona app personalizzate per selezionare le app personalizzate di destinazione in base a un ID bundle.

   Le app selezionate verranno visualizzate nell'elenco delle app pubbliche e personalizzate.

5. Fare clic su Rivedi e crea per esaminare le app selezionate per questo criterio.

6. Al termine, fare clic su Salva per aggiornare i criteri di protezione delle app.

Per modificare l'elenco dei gruppi di utenti

1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

2. Nel riquadro Intune Protezione app selezionare Proprietà.

3. Accanto alla sezione Assegnazioni selezionareModifica.

4. Per aggiungere un nuovo gruppo di utenti ai criteri, nella scheda Includi scegliere Seleziona gruppi da includere e selezionare il gruppo di utenti. Scegliere Seleziona per aggiungere il gruppo.

5. Per escludere un gruppo di utenti, nella scheda Escludi scegliere Seleziona gruppi da escludere e selezionare il gruppo di utenti. Scegliere Seleziona per rimuovere il gruppo di utenti.

6. Per eliminare i gruppi aggiunti in precedenza, nelle schede Includi o Escludi selezionare i puntini di sospensione (...) e selezionare Elimina.

7. Fare clic su Rivedi e crea per esaminare i gruppi di utenti selezionati per questo criterio.

8. Dopo aver completato le modifiche apportate alle assegnazioni, selezionare Salva per salvare la configurazione e distribuire i criteri al nuovo set di utenti. Se si seleziona Annulla prima di salvare la configurazione, verranno eliminate tutte le modifiche apportate alle schede Includi ed Escludi .

Per modificare le impostazioni dei criteri

1. Nel riquadro Protezione di app criteri selezionare i criteri da modificare.

2. Nel riquadro Intune Protezione app selezionare Proprietà.

3. Accanto alla sezione corrispondente alle impostazioni da modificare selezionare Modifica. Modificare quindi le impostazioni in nuovi valori.

4. Fare clic su Rivedi e crea per esaminare le impostazioni aggiornate per questo criterio.

5. Selezionare Salva per salvare le modifiche. Ripetere il processo per selezionare un'area di impostazioni e modificare e quindi salvare le modifiche fino al completamento di tutte le modifiche. È quindi possibile chiudere il riquadro Intune Protezione app - Proprietà.

Criteri di protezione delle app di destinazione in base allo stato di gestione dei dispositivi

In molte organizzazioni è comune consentire agli utenti finali di usare dispositivi gestiti Intune Mobile Gestione dispositivi (MDM), ad esempio i dispositivi di proprietà dell'azienda, e i dispositivi non gestiti protetti solo con criteri di protezione delle app Intune. I dispositivi non gestiti sono spesso noti come Bring Your Own Devices (BYOD).

Poiché Intune criteri di protezione delle app sono destinati all'identità di un utente, le impostazioni di protezione per un utente possono essere applicate sia ai dispositivi registrati (gestiti da MDM) che ai dispositivi non registrati (senza MDM). Di conseguenza, è possibile impostare come destinazione un criterio di protezione delle app Intune per Intune dispositivi iOS/iPadOS e Android registrati o non registrati tramite filtri. Per altre informazioni sulla creazione di filtri, vedere Usare i filtri durante l'assegnazione di criteri . È possibile avere un criterio di protezione per i dispositivi non gestiti in cui sono presenti controlli di prevenzione della perdita dei dati (DLP) rigorosi e un criterio di protezione separato per i dispositivi gestiti MDM, in cui i controlli DLP possono essere un po' più rilassati. Per altre informazioni sul funzionamento dei dispositivi Android Enterprise personali, vedere Protezione di app criteri e profili di lavoro.

Per usare questi filtri durante l'assegnazione dei criteri, passare a App>Protezione di app criteri nell'interfaccia di amministrazione Intune e quindi selezionare Crea criterio. È anche possibile modificare un criterio di protezione delle app esistente. Passare alla pagina Assegnazioni e selezionare Modifica filtro per includere o escludere i filtri per il gruppo assegnato.

tipi Gestione dispositivi

Importante

Microsoft Intune termina il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.

• Non gestito: per i dispositivi iOS/iPadOS, i dispositivi non gestiti sono tutti i dispositivi in cui Intune gestione MDM o una soluzione MDM/EMM di terze parti non passa la IntuneMAMUPN chiave. Per i dispositivi Android, i dispositivi non gestiti sono dispositivi in cui non è stata rilevata Intune gestione MDM. Sono inclusi i dispositivi gestiti da fornitori MDM di terze parti.
• Intune dispositivi gestiti: i dispositivi gestiti vengono gestiti da Intune MDM.
• Amministratore di dispositivi Android: Intune dispositivi gestiti tramite l'API Amministrazione dispositivi Android.
• Android Enterprise: dispositivi gestiti da Intune usando i profili di lavoro Android Enterprise o Android Enterprise Full Gestione dispositivi.
• Dispositivi dedicati di proprietà dell'azienda Android Enterprise con Microsoft Entra modalità dispositivo condiviso: dispositivi gestiti da Intune che usano dispositivi dedicati Android Enterprise con modalità dispositivo condiviso.
• Dispositivi Android (AOSP) associati all'utente: Intune dispositivi gestiti tramite la gestione associata all'utente AOSP.
• Dispositivi android (AOSP) senza utente: Intune dispositivi gestiti con dispositivi AOSP senza utente. Questi dispositivi sfruttano anche Microsoft Entra modalità dispositivo condiviso.

In Android i dispositivi Android richiederanno di installare l'app Portale aziendale Intune indipendentemente dal tipo di Gestione dispositivi scelto. Ad esempio, se si seleziona "Android Enterprise", agli utenti con dispositivi Android non gestiti verrà comunque richiesto.

Per iOS/iPadOS, per applicare il tipo di Gestione dispositivi ai dispositivi gestiti Intune, sono necessarie altre impostazioni di configurazione dell'app. Queste impostazioni comunicano con il servizio APP (Criteri di protezione delle app) per indicare che l'app è gestita. Pertanto, le impostazioni dell'APP non verranno applicate fino a quando non si distribuiscono i criteri di configurazione dell'app. Di seguito sono riportate le impostazioni di configurazione dell'app:

• IntuneMAMUPN e IntuneMAMOID devono essere configurati per tutte le applicazioni gestite MDM. Per altre informazioni, vedere Come gestire il trasferimento dei dati tra app iOS/iPadOS in Microsoft Intune.
• IntuneMAMDeviceID deve essere configurato per tutte le applicazioni gestite MDM line-of-business e di terze parti. IntuneMAMDeviceID deve essere configurato per il token id dispositivo. Ad esempio, key=IntuneMAMDeviceID, value={{deviceID}}. Per altre informazioni, vedere Aggiungere criteri di configurazione delle app per dispositivi iOS/iPadOS gestiti.
• Se è configurato solo IntuneMAMDeviceID, l'APP Intune considererà il dispositivo come non gestito.

Importante

A partire dalla versione del servizio di settembre (2409) di Intune, i valori di configurazione delle app IntuneMAMUPN, IntuneMAMOID e IntuneMAMDeviceID verranno inviati automaticamente alle applicazioni gestite in Intune dispositivi iOS registrati per le app seguenti: Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Teams e Microsoft Word. Intune continuerà a espandere questo elenco per includere altre app gestite.

Se questi valori non sono configurati correttamente per i dispositivi iOS, è possibile che i criteri non vengano recapitati all'app o che vengano recapitati criteri errati. Per altre informazioni, vedere Suggerimento per il supporto: Intune utenti MAM nei dispositivi iOS/iPadOS senza utente potrebbero essere bloccati in rari casi.

Impostazioni dei criteri

Per visualizzare un elenco completo delle impostazioni dei criteri per iOS/iPadOS e Android, selezionare uno dei collegamenti seguenti:

• Criteri iOS/iPadOS
• Criteri Android

Passaggi successivi

Monitorare la conformità e lo stato dell'utente

Vedere anche

• Dove trovare app aziendali o dell'istituto di istruzione per Android (Guida dell'utente)

• Dove trovare app aziendali o dell'istituto di istruzione per iOS/iPadOS (Guida dell'utente)