Condividi tramite


Aggiungere criteri di configurazione delle app per i dispositivi Android gestiti.

I criteri di configurazione delle app in Microsoft Intune forniscono le impostazioni per le app Google Play gestite sui dispositivi Android Enterprise gestiti. Lo sviluppatore dell'app espone le impostazioni di configurazione dell'app gestite da Android. Intune usa queste impostazioni esposte per consentire all'amministratore di configurare le funzionalità per l'app. I criteri di configurazione dell'app vengono assegnati ai gruppi di utenti. Le impostazioni dei criteri di configurazione vengono usate quando l'app verifica la presenza di queste impostazioni, in genere la prima volta che l'app viene eseguita.

Non tutte le app supportano la configurazione dell'app. Rivolgersi allo sviluppatore dell'app per verificare se l'app supporta i criteri di configurazione dell'app.

Nota

Questo requisito non si applica ai dispositivi Android di Microsoft Teams poiché questi dispositivi continueranno a essere supportati.

Per i criteri di protezione delle app di Intune e la configurazione delle app fornita tramite criteri di configurazione delle app gestite, Intune richiede Android 9.0 o versioni successive.

App di posta elettronica

Android Enterprise ha diversi metodi di registrazione. Il tipo di registrazione dipende dalla configurazione della posta elettronica nel dispositivo:

  • Sui profili di lavoro Android Enterprise completamente gestiti, dedicati e di proprietà dell'azienda, utilizzare un criterio di configurazione delle app e i passaggi riportati in questo articolo. I criteri di configurazione delle app supportano le app di posta elettronica Gmail e Nine Work.
  • Nei dispositivi Android Enterprise di proprietà personale con un profilo di lavoro creare un profilo di configurazione del dispositivo di posta elettronica Android Enterprise. Quando si crea il profilo, è possibile configurare le impostazioni per i client di posta elettronica che supportano i criteri di configurazione delle app. Quando si usa la finestra di progettazione della configurazione, Intune include impostazioni di posta elettronica specifiche per le app Gmail e Nine Work.

Creare criteri di configurazione delle app

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Scegliere App>Criteri di configurazione delle app>Aggiungi>Dispositivi gestiti. Si noti che è possibile scegliere tra Dispositivi gestiti e App gestite. Per altre informazioni, vedere App che supportano la configurazione delle app.

  3. Nella pagina Informazioni di base impostare i dettagli seguenti:

    • Nome: nome del profilo visualizzato nel portale.
    • Descrizione: descrizione del profilo visualizzato nel portale.
    • Tipo di registrazione del dispositivo: questa impostazione è impostata su Dispositivi gestiti.
  4. Selezionare Android Enterprise come Piattaforma.

  5. Fare clic su Seleziona app accanto a App di destinazione. Viene visualizzato il riquadro App associata.

  6. Nel riquadro App associata scegliere l'app gestita da associare ai criteri di configurazione e fare clic su OK.

  7. Fare clic su Avanti per visualizzare la pagina Impostazioni.

  8. Fare clic su Aggiungi per visualizzare il riquadro Aggiungi autorizzazioni.

  9. Fare clic sulle autorizzazioni di cui si desidera eseguire l'override. Le autorizzazioni concesse sostituiranno i criteri "Autorizzazioni app predefinite" per le app selezionate.

  10. Impostare lo Stato autorizzazione per ogni autorizzazione. È possibile scegliere tra Prompt, Concessione automatica o Rifiuto automatico.

    Nota

    A partire da Android 12, la configurazione della concessione automatica per le seguenti autorizzazioni non è supportata per i profili aziendali dei collaboratori o per i dispositivi dedicati di proprietà dell'azienda.

    • SMS (lettura)
    • Accesso alla posizione (coarse)
    • Accesso alla posizione (fine)
    • Fotocamera
    • Registrare audio
    • Consenti i dati del sensore del corpo
    • Posizione sfondo
  11. Se l'app gestita supporta le Impostazioni di configurazione, la casella a discesa Formato impostazioni di configurazione è visibile. Selezionare uno dei metodi seguenti per aggiungere informazioni di configurazione:

    • Usare Progettazione configurazione
    • Immettere i dati JSON

    Per informazioni dettagliate sull'uso di Progettazione configurazione, vedere Usare di progettazione configurazione. Per informazioni dettagliate sull'immissione di dati XML, vedere Immettere dati JSON.

  12. Se è necessario consentire agli utenti di collegare l'app mirata sia al profilo aziendale che a quello personale, selezionare Abilitato accanto a App collegate.

    Screenshot dei criteri di configurazione - Impostazioni

    Nota

    Questa impostazione funziona solo per i dispositivi con profilo di lavoro personale e aziendale.

    La modifica dell'impostazione delle App connesse su Non configurata non rimuove il criterio di configurazione dal dispositivo. Per rimuovere la funzionalità App connesse da un dispositivo, è necessario annullare l'assegnazione dei criteri di configurazione correlati.

  13. Fare clic su Avanti per visualizzare la pagina Tag di ambito.

  14. [Facoltativo] È possibile configurare i tag di ambito per i criteri di configurazione dell'app. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  15. Fare clic su Avanti per visualizzare la pagina Assegnazioni.

  16. Nella casella a discesa accanto a Assegna a selezionare Aggiungi gruppi, Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi per assegnare i criteri di configurazione dell'app. Dopo aver selezionato un gruppo di assegnazioni, è possibile selezionare un filtro per perfezionare l'ambito di assegnazione durante la distribuzione dei criteri di configurazione delle app per i dispositivi gestiti.

    Screenshot delle assegnazioni di criteri - Assegnazioni

  17. Selezionare Tutti gli utenti nella casella a discesa.

    Screenshot delle assegnazioni dei criteri - Tutti gli utenti Opzione a discesa

  18. [Facoltativo] Fare clic su Modifica filtro per aggiungere un filtro e perfezionare l'ambito di assegnazione.

    Screenshot delle assegnazioni di criteri - Modifica filtro

  19. Fare clic su Seleziona gruppi da escludere per visualizzare il riquadro correlato.

  20. Scegliere i gruppi da escludere e quindi fare clic su Seleziona.

    Nota

    Quando si aggiunge un gruppo, se per un determinato tipo di assegnazione è già stato incluso un altro gruppo, questo viene preselezionato e non può essere modificato per altri tipi di assegnazione. Pertanto, il gruppo utilizzato non può essere utilizzato come gruppo escluso.

  21. Fare clic su Avanti per visualizzare la pagina Rivedi e crea.

  22. Fai clic su Crea per aggiungere i criteri di configurazione dell'app a Intune.

Usare progettazione configurazione

È possibile utilizzare il designer di configurazione per le app Google Play gestite quando l'app è progettata per supportare le impostazioni di configurazione. La configurazione si applica ai dispositivi registrati in Intune. La finestra di progettazione consente di configurare valori di configurazione specifici per le impostazioni esposte dall'app.

  1. Selezionare Aggiungi. Scegliere l'elenco delle impostazioni di configurazione da immettere per l'app.

    Se si utilizzano le app di posta elettronica Gmail o Nine Work, le Impostazioni del dispositivo Android Enterprise per configurare la posta elettronica contengono ulteriori informazioni su queste impostazioni specifiche.

  2. Per ogni chiave e valore della configurazione, impostare:

    • Tipo di valore: tipo di dati del valore di configurazione. Per i tipi di valore String, è possibile scegliere come tipo di valore una variabile o un profilo di certificato. Si noti che una volta creato il criterio, questi tipi di valore verranno visualizzati come stringa.
    • Valore di configurazione: valore per la configurazione. Se si seleziona variabile o certificato per il Tipo di valore, scegliere da un elenco di variabili o profili di certificati. Se si sceglie un certificato, l'alias del certificato distribuito sul dispositivo viene popolato in fase di esecuzione.

Variabili supportate per i valori di configurazione

È possibile scegliere le opzioni seguenti se si sceglie variabile come tipo di valore:

Opzione Esempio
ID dispositivo Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
ID dispositivo di Intune b9841cd9-9843-405f-be28-b2265c59ef97
Dominio contoso.com
Posta john@contoso.com
UPN parziale john
ID utente 3ec2c00f-b125-4519-acf0-302ac3761822
Nome utente John Doe
Nome dell'entità utente john@contoso.com

Consenti solo gli account dell'organizzazione configurati nelle app

In qualità di amministratore di Microsoft Intune, è possibile controllare quali account aziendali o dell'istituto di istruzione vengono aggiunti alle app Microsoft sui dispositivi gestiti. È possibile limitare l'accesso ai soli account utente autorizzati dell'organizzazione e bloccare gli account personali sui dispositivi registrati. Per i dispositivi Android, utilizzare le seguenti coppie chiave/valore in un criterio di configurazione dell'applicazione Dispositivi gestiti:

Chiave com.microsoft.intune.mam.AllowedAccountUPNs
Valori
  • Uno o più UPN delimitati ;.
  • I soli account autorizzati sono gli account utente gestiti definiti da questa chiave.
  • Per i dispositivi iscritti a Intune, il token {{userprincipalname}} può essere utilizzato per rappresentare l'account utente iscritto.

Nota

Le seguenti app elaborano la configurazione dell'app di cui sopra e consentono solo gli account dell'organizzazione:

  • Copilot per Android (28.1.420328045 e versioni successive)
  • Edge per Android (42.0.4.4048 e versioni successive)
  • Office, Word, Excel, PowerPoint per Android (16.0.9327.1000 e versioni successive)
  • OneDrive per Android (5.28 e versioni successive)
  • OneNote per Android (16.0.13231.20222 o versione successiva)
  • Outlook per Android (2.2.222 e versioni successive)
  • Teams per Android (1416/1.0.0.2020073101 e versioni successive)

Immettere i dati JSON

Alcune impostazioni di configurazione delle app (ad esempio le app con tipi di Bundle) non possono essere configurate con la finestra di progettazione di configurazione. Usare l'editor JSON per tali valori. Le impostazioni vengono fornite automaticamente alle app quando l'app viene installata.

  1. Per Formato delle impostazioni di configurazione selezionare Immettere l'editor JSON.
  2. Nell'editor è possibile definire valori JSON per le impostazioni di configurazione. È possibile scegliere Scarica modello JSON per scaricare un file di esempio che è quindi possibile configurare.
  3. Scegli OK e quindi Aggiungi.

Il criterio viene visualizzato anche nell'elenco dei profili.

Quando l'app assegnata viene eseguita su un dispositivo, viene eseguita con le impostazioni configurate nel criterio di configurazione dell'app.

Abilitare le app connesse

Si applica a:
Android 11+

Gli utenti del profilo aziendale personale devono avere il Portale aziendale versione 5.0.5291.0 o più recente. Gli utenti di profili di lavoro aziendali non necessitano di una versione specifica dell'applicazione Microsoft Intune per il supporto.

È possibile consentire agli utenti che utilizzano profili di lavoro Android di proprietà personale e aziendale di attivare l'esperienza delle app connesse per le app supportate. Questa impostazione di configurazione dell'app consente alle app di connettersi e integrare i dati dell'app tra le istanze dell'app aziendali e quelle personali.

Per fornire questa esperienza, un'app deve integrarsi con l'SDK delle app connesse di Google, quindi solo alcune app la supportano. È possibile attivare l'impostazione delle app connesse in modo proattivo e, quando le app aggiungeranno il supporto, gli utenti potranno abilitare l'esperienza delle app connesse.

La modifica dell'impostazione delle App connesse su Non configurata non rimuove il criterio di configurazione dal dispositivo. Per rimuovere la funzionalità App connesse da un dispositivo, è necessario annullare l'assegnazione dei criteri di configurazione correlati.

Avviso

Se si attiva la funzionalità app connesse per un'app, i dati di lavoro nelle app personali non saranno protetti da un criterio di protezione delle app.

Inoltre, a prescindere dalla configurazione delle app connesse, alcuni OEM possono connettere automaticamente alcune app o richiedere l'approvazione dell'utente per connettere app non configurate dall'utente. Un esempio di applicazione in questo caso potrebbe essere l'applicazione della tastiera dell'OEM.

Ci sono due modi in cui gli utenti possono collegare le app aziendali e quelle personali dopo aver abilitato l'impostazione delle app connesse:

  1. Un'app supportata può scegliere di chiedere all'utente di approvare la connessione tra i vari profili.
  2. Gli utenti possono aprire l'app Impostazioni e accedere alla sezione App aziendali e personali connesse, dove saranno elencate tutte le app supportate.

Importante

Se vengono assegnati più criteri di configurazione delle app per la stessa applicazione destinata allo stesso dispositivo e un criterio imposta App connesse a Enabled mentre l'altro criterio non lo fa, la configurazione delle app segnalerà un conflitto e il comportamento risultante applicato al dispositivo sarà quello di disabilitare le app connesse.

Preconfigurare lo stato di concessione dei permessi per le app

È inoltre possibile preconfigurare le autorizzazioni delle app per accedere alle funzionalità del dispositivo Android. Per impostazione predefinita, le app Android che richiedono le autorizzazioni del dispositivo, come l'accesso alla posizione o alla fotocamera del dispositivo, chiedono agli utenti di accettare o negare le autorizzazioni.

Ad esempio, un'app usa il microfono del dispositivo. All'utente viene richiesto di concedere all'app l'autorizzazione per l'uso del microfono.

  1. Nell'Interfaccia di amministrazione di Microsoft Intune selezionare App>Criteri di configurazione delle app>Aggiungi>Dispositivi gestiti.
  2. Aggiungere le proprietà seguenti:
    • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un buon nome di criterio è Criterio per le autorizzazioni rapide di Android Enterprise per l'intera azienda.
    • Descrizione. Immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
    • Tipo di registrazione del dispositivo: questa impostazione è impostata su Dispositivi gestiti.
    • Piattaforma: selezionare Android Enterprise.
  3. Selezionare Tipo di profilo:
  4. Selezionare App di destinazione. Scegliere l'app a cui si vuole associare un criterio di configurazione. Selezionare dall'elenco delle app per profili di lavoro Android Enterprise completamente gestite che sono state approvate e sincronizzate con Intune.
  5. Selezionare Autorizzazioni>Aggiungi. Dall'elenco, selezionare le autorizzazioni dell'app disponibili >OK.
  6. Selezionare un'opzione per ogni autorizzazione da concedere con questo criterio:
    • Richiesta. Richiedere all'utente di accettare o negare.
    • Concessione automatica. Approvare automaticamente senza notificare l'utente.
    • Negazione automaticamente. Nega automaticamente senza notificare all'utente.
  7. Per assegnare i criteri di configurazione dell'app, selezionare il criterio di configurazione dell'app >Assegnazione>Selezionare i gruppi. Scegliere i gruppi di utenti da assegnare e >Selezionare.
  8. Scegliere Salva per assegnare i criteri.

Informazioni aggiuntive

Passaggi successivi

Continuare ad assegnare e monitorare l'app.