Questo articolo fornisce risposte ad alcune domande frequenti sulla gestione delle applicazioni mobili (MAM) Intune e Intune la protezione delle app.
Nozioni di base su MAM
Che cos'è MAM?
Criteri di protezione delle app
Che cosa sono i criteri di protezione delle app?
i criteri di protezione App sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Un criterio può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app.
Quali sono esempi di criteri di protezione delle app?
Vedere le impostazioni dei criteri di protezione delle app Android e le impostazioni dei criteri di protezione delle app iOS/iPadOS per informazioni dettagliate su ogni impostazione dei criteri di protezione delle app.
È possibile applicare contemporaneamente criteri MDM e MAM allo stesso utente per dispositivi diversi?
Se si applicano criteri MAM all'utente senza impostare lo stato di gestione dei dispositivi, l'utente ottiene i criteri MAM sia nel dispositivo BYOD che nel dispositivo gestito da Intune. È anche possibile applicare criteri MAM in base allo stato di gestione dei dispositivi. Quando si crea un criterio di protezione delle app, accanto a Destinazione alle app in tutti i tipi di dispositivo, selezionare No. Eseguire quindi una delle operazioni seguenti:
- Applicare un criterio MAM meno rigoroso ai dispositivi gestiti di Intune e applicare criteri MAM più restrittivi ai dispositivi non registrati con MDM.
- Applicare un criterio MAM altrettanto rigoroso per Intune dispositivi gestiti come per i dispositivi gestiti di terze parti.
- Applicare un criterio MAM solo ai dispositivi non registrati.
Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.
App che è possibile gestire con i criteri di protezione delle app
Quali app possono essere gestite dai criteri di protezione delle app?
Qualsiasi app integrata con Intune App SDK o di cui è stato eseguito il wrapping dal Intune App Wrapping Tool può essere gestita usando Intune criteri di protezione delle app. Visualizzare l'elenco ufficiale di app gestite da Intune disponibile per uso pubblico.
Quali sono i requisiti di base per usare i criteri di protezione delle app in un'app gestita da Intune?
L'utente finale deve avere un account Microsoft Entra. Vedere Aggiungere utenti e concedere l'autorizzazione amministrativa a Intune per informazioni su come creare utenti Intune in Microsoft Entra ID.
L'utente finale deve avere una licenza per Microsoft Intune assegnata all'account Microsoft Entra. Per informazioni su come assegnare licenze Intune agli utenti finali, vedere Gestire le licenze di Intune.
L'utente finale deve far parte di un gruppo di sicurezza indicato dai criteri di protezione dell'app. I criteri di protezione delle app devono essere mirati per la specifica app in uso. Protezione di app criteri possono essere creati e distribuiti nell'interfaccia di amministrazione Microsoft Intune. I gruppi di sicurezza possono attualmente essere creati nel interfaccia di amministrazione di Microsoft 365.
L'utente finale deve accedere all'app usando il proprio account Microsoft Entra.
Cosa succede se si vuole abilitare un'app con Intune Protezione app, ma non si usa una piattaforma di sviluppo di app supportata?
Il team di sviluppo di Intune SDK testa e gestisce attivamente il supporto per le app create con le piattaforme Android, iOS/iPadOS (Obj-C, Swift), Xamarin e Xamarin.Forms native. Anche se alcuni clienti hanno avuto successo nell'integrazione di Intune SDK con altre piattaforme, ad esempio React Native e NativeScript, non forniamo indicazioni esplicite o plug-in per gli sviluppatori di app che usano altro che le piattaforme supportate.
Intune APP SDK supporta Microsoft Authentication Library (MSAL)?
Il Intune App SDK può usare Microsoft Authentication Library per gli scenari di autenticazione e avvio condizionale. Si basa anche su MSAL per registrare l'identità utente con il servizio MAM per la gestione senza scenari di registrazione dei dispositivi.
Quali sono i requisiti aggiuntivi per l'uso dell'app Outlook per dispositivi mobili?
L'utente finale deve avere l'app Outlook per dispositivi mobili installata nel dispositivo.
L'utente finale deve avere una cassetta postale e una licenza di Microsoft 365 Exchange Online collegate all'account Microsoft Entra.
Nota
L'app Outlook per dispositivi mobili attualmente supporta solo Intune Protezione app per Microsoft Exchange Online e Exchange Server con l'autenticazione moderna ibrida e non supporta Exchange in Office 365 Dedicato.
Quali sono i requisiti aggiuntivi per usare le app Word, Excel e PowerPoint?
L'utente finale deve avere una licenza per Microsoft 365 Apps for business o l'organizzazione collegata al proprio account Microsoft Entra. La sottoscrizione deve includere le app di Office nei dispositivi mobili e può includere un account di archiviazione cloud con OneDrive for Business. Le licenze di Microsoft 365 possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.
L'utente finale deve avere una posizione gestita configurata usando la funzionalità di salvataggio granulare come nell'impostazione dei criteri di protezione dell'applicazione "Salva copie dei dati dell'organizzazione". Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente finale.
Se il percorso gestito è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente finale.
Nota
Le app per dispositivi mobili di Office attualmente supportano solo SharePoint Online e non SharePoint locale.
Perché è necessaria una posizione gestita (ad esempio OneDrive) per Office?
Intune contrassegna tutti i dati nell'app come "aziendali" o "personali". I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera le posizioni aziendali seguenti: posta elettronica (Exchange) o archiviazione cloud (app OneDrive con un account OneDrive for Business).
Quali sono i requisiti aggiuntivi da usare Skype for Business?
Vedere Skype for Business requisiti di licenza. Per le configurazioni ibride e locali di Skype for Business (SfB), vedere Rispettivamente Autenticazione moderna ibrida per SfB ed Exchange e Autenticazione moderna per SfB locale con Microsoft Entra ID.
Funzionalità Protezione di app
Che cos'è il supporto multi-identità?
Il supporto multi-identità è la possibilità per Intune App SDK di applicare solo i criteri di protezione delle app all'account aziendale o dell'istituto di istruzione connesso all'app. Se un account personale è connesso all'app, i dati non vengono toccati.
Qual è lo scopo del supporto multi-identità?
Il supporto multi-identità consente di rilasciare pubblicamente le app con destinatari "aziendali" e consumer (ad esempio le app di Office) con funzionalità di protezione delle app Intune per gli account "aziendali".
Che dire di Outlook e multi-identità?
Poiché Outlook ha una visualizzazione combinata dei messaggi di posta elettronica personali e "aziendali", l'app Outlook richiede il PIN Intune all'avvio.
Qual è il PIN dell'app Intune?
Il PIN (Personal Identification Number) è un passcode usato per verificare che l'utente corretto stia accedendo ai dati dell'organizzazione in un'applicazione.
Quando viene richiesto all'utente di immettere il PIN?
Intune richiede il PIN dell'app dell'utente quando l'utente sta per accedere ai dati "aziendali". Nelle app multi-identità, ad esempio Word/Excel/PowerPoint, all'utente viene richiesto il PIN quando tenta di aprire un documento o un file "aziendale". Nelle app con identità singola, ad esempio le app line-of-business gestite con il Intune App Wrapping Tool, il PIN viene richiesto all'avvio, perché Intune App SDK sa che l'esperienza dell'utente nell'app è sempre "aziendale".
Con quale frequenza all'utente verrà richiesto il PIN Intune?
L'amministratore IT può definire l'impostazione dei criteri di protezione delle app Intune 'Ricontrollare i requisiti di accesso dopo (minuti)' nell'interfaccia di amministrazione Microsoft Intune. Questa impostazione specifica la quantità di tempo prima che i requisiti di accesso vengano controllati nel dispositivo e la schermata del PIN dell'applicazione viene visualizzata di nuovo. Tuttavia, i dettagli importanti sul PIN che influiscono sulla frequenza con cui verrà richiesto l'utente sono:
- Il PIN viene condiviso tra le app dello stesso editore per migliorare l'usabilità: In iOS/iPadOS, un PIN dell'app viene condiviso tra tutte le app dello stesso editore di app. In Android, un PIN dell'app viene condiviso tra tutte le app.
- Comportamento "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo: Un "timer PIN" tiene traccia del numero di minuti di inattività che determinano quando visualizzare il PIN dell'app Intune successivo. In iOS/iPadOS, il timer pin non è interessato dal riavvio del dispositivo. Pertanto, il riavvio del dispositivo non influisce sul numero di minuti in cui l'utente è stato inattivo da un'app iOS/iPadOS con Intune criteri PIN. In Android, il timer pin viene reimpostato al riavvio del dispositivo. Di conseguenza, le app Android con Intune criterio PIN richiederanno probabilmente un PIN dell'app indipendentemente dal valore di impostazione "Ricontrollare i requisiti di accesso dopo (minuti)" dopo il riavvio di un dispositivo.
- La natura in sequenza del timer associato al PIN: Dopo aver immesso un PIN per accedere a un'app (app A) e l'app lascia il primo piano (stato attivo di input principale) nel dispositivo, il timer del PIN viene reimpostato per tale PIN. Qualsiasi app (app B) che condivide questo PIN non richiederà all'utente la voce PIN perché il timer è stato reimpostato. La richiesta verrà visualizzata di nuovo quando viene soddisfatto di nuovo il valore "Ricontrollare i requisiti di accesso dopo (minuti)".
Per i dispositivi iOS/iPadOS, anche se il PIN viene condiviso tra app di diversi editori, la richiesta verrà visualizzata di nuovo quando viene soddisfatto nuovamente il valore Ricontrolla i requisiti di accesso dopo (minuti) per l'app che non è lo stato attivo principale dell'input. Ad esempio, un utente ha l'app A del server di pubblicazione X e l'app B del server di pubblicazione Y e queste due app condividono lo stesso PIN. L'utente è incentrato sull'app A (in primo piano) e l'app B è ridotta a icona. Dopo aver soddisfatto il valore Ricontrolla i requisiti di accesso dopo (minuti) e l'utente passa all'app B, il PIN sarà necessario.
Nota
Per verificare più spesso i requisiti di accesso dell'utente (ad esempio la richiesta di PIN), in particolare per un'app usata di frequente, è consigliabile ridurre il valore dell'impostazione "Ricontrollare i requisiti di accesso dopo (minuti)".
Come funziona il PIN Intune con i PIN delle app predefiniti per Outlook e OneDrive?
Il PIN Intune funziona in base a un timer basato sull'inattività (il valore "Controlla nuovamente i requisiti di accesso dopo (minuti)". Di conseguenza, Intune richieste DI PIN vengono visualizzate in modo indipendente dalle richieste PIN dell'app predefinite per Outlook e OneDrive, che spesso sono associate all'avvio dell'app per impostazione predefinita. Se l'utente riceve entrambe le richieste PIN contemporaneamente, il comportamento previsto dovrebbe essere che il PIN Intune abbia la precedenza.
Il PIN è sicuro?
Il PIN consente solo all'utente corretto di accedere ai dati dell'organizzazione nell'app. Pertanto, un utente finale deve accedere con il proprio account aziendale o dell'istituto di istruzione prima di poter impostare o reimpostare il PIN dell'app Intune. Questa autenticazione viene gestita da Microsoft Entra ID tramite lo scambio di token sicuro e non è trasparente per Intune App SDK. Dal punto di vista della sicurezza, il modo migliore per proteggere i dati aziendali o dell'istituto di istruzione consiste nel crittografarli. La crittografia non è correlata al PIN dell'app, ma è un criterio di protezione delle app specifico.
In che modo Intune proteggere il PIN dagli attacchi di forza bruta?
Come parte dei criteri pin dell'app, l'amministratore IT può impostare il numero massimo di volte in cui un utente può provare a autenticare il PIN prima di bloccare l'app. Dopo aver soddisfatto il numero di tentativi, il Intune App SDK può cancellare i dati "aziendali" nell'app.
Perché è necessario impostare un PIN due volte nelle app dello stesso editore?
MAM (in iOS/iPadOS) attualmente consente al PIN a livello di applicazione con caratteri alfanumerici e speciali (chiamati "passcode") che richiede la partecipazione di applicazioni (ad esempio WXP, Outlook, Managed Browser, Yammer) per integrare il Intune APP SDK per iOS/iPadOS. In caso contrario, le impostazioni del passcode non vengono applicate correttamente per le applicazioni di destinazione. Si tratta di una funzionalità rilasciata in Intune SDK per iOS/iPadOS v. 7.1.12.
Per supportare questa funzionalità e garantire la compatibilità con le versioni precedenti di Intune SDK per iOS/iPadOS, tutti i PIN (numerici o passcode) nella versione 7.1.12+ vengono gestiti separatamente dal PIN numerico nelle versioni precedenti dell'SDK. Pertanto, se un dispositivo ha applicazioni con Intune SDK per le versioni di iOS/iPadOS precedenti alla versione 7.1.12 E successive alla 7.1.12 dello stesso editore, dovranno configurare due PIN.
Detto questo, i due PIN (per ogni app) non sono in alcun modo correlati, ad esempio devono rispettare i criteri di protezione delle app applicati all'app. Di conseguenza, solo se le app A e B hanno gli stessi criteri applicati (rispetto al PIN), l'utente può configurare lo stesso PIN due volte.
Questo comportamento è specifico del PIN nelle applicazioni iOS/iPadOS abilitate con Intune Gestione app per dispositivi mobili. Con il passare del tempo, quando le applicazioni adottano versioni successive di Intune SDK per iOS/iPadOS, la necessità di impostare un PIN due volte nelle app dello stesso editore diventa meno un problema. Per un esempio, vedere la nota seguente.
Nota
Ad esempio, se l'app A viene compilata con una versione precedente alla 7.1.12 e l'app B viene compilata con una versione maggiore o uguale a 7.1.12 dello stesso server di pubblicazione, l'utente finale dovrà configurare i PIN separatamente per A e B se entrambi sono installati in un dispositivo iOS/iPadOS.
Se nel dispositivo è installata un'app C con SDK versione 7.1.9, condividerà lo stesso PIN dell'app A.
Un'app D compilata con 7.1.14 condividerà lo stesso PIN dell'app B.
Se in un dispositivo sono installate solo le app A e C, sarà necessario impostare un PIN. Lo stesso vale per se in un dispositivo vengono installate solo le app B e D.
E la crittografia?
Gli amministratori IT possono distribuire criteri di protezione delle app che richiedono la crittografia dei dati dell'app. Come parte dei criteri, l'amministratore IT può anche specificare quando il contenuto viene crittografato.
In che modo Intune crittografare i dati?
Per informazioni dettagliate sull'impostazione dei criteri di protezione delle app di crittografia, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS/iPadOS .
Cosa viene crittografato?
Solo i dati contrassegnati come "aziendali" vengono crittografati in base ai criteri di protezione delle app dell'amministratore IT. I dati sono considerati "aziendali" quando provengono da una sede aziendale. Per le app di Office, Intune considera le posizioni aziendali seguenti: posta elettronica (Exchange) o archiviazione cloud (app OneDrive con un account OneDrive for Business). Per le app line-of-business gestite dal Intune App Wrapping Tool, tutti i dati dell'app vengono considerati "aziendali".
In che modo Intune cancellare i dati in remoto?
Intune può cancellare i dati dell'app in tre modi diversi: cancellazione completa del dispositivo, cancellazione selettiva per MDM e cancellazione selettiva MAM. Per altre informazioni sulla cancellazione remota per MDM, vedere Rimuovere i dispositivi usando la cancellazione o il ritiro. Per altre informazioni sulla cancellazione selettiva tramite MAM, vedere l'azione Ritiro e Come cancellare solo i dati aziendali dalle app.
Che cos'è la cancellazione?
La cancellazione rimuove tutti i dati e le impostazioni utente dal dispositivo ripristinando le impostazioni predefinite del dispositivo. Il dispositivo viene rimosso da Intune.
Nota
La cancellazione può essere eseguita solo nei dispositivi registrati con Intune gestione dei dispositivi mobili (MDM).
Che cos'è la cancellazione selettiva per MDM?
Per informazioni sulla rimozione dei dati aziendali, vedere Rimuovere i dispositivi: ritirare .
Che cos'è la cancellazione selettiva per MAM?
La cancellazione selettiva per MAM rimuove semplicemente i dati dell'app aziendale da un'app. La richiesta viene avviata usando l'interfaccia di amministrazione Microsoft Intune. Per informazioni su come avviare una richiesta di cancellazione, vedere Come cancellare solo i dati aziendali dalle app.
Con quale rapidità viene eseguita la cancellazione selettiva per MAM?
Se l'utente usa l'app quando viene avviata la cancellazione selettiva, Intune App SDK verifica ogni 30 minuti una richiesta di cancellazione selettiva dal servizio MAM Intune. Verifica anche la cancellazione selettiva quando l'utente avvia l'app per la prima volta e accede con il proprio account aziendale o dell'istituto di istruzione.
Perché i servizi locali (locali) non funzionano con Intune app protette?
Intune protezione delle app dipende dall'identità dell'utente per essere coerente tra l'applicazione e Intune App SDK. L'unico modo per garantire che è attraverso l'autenticazione moderna. Esistono scenari in cui le app possono funzionare con una configurazione locale, ma non sono né coerenti né garantite.
Esiste un modo sicuro per aprire collegamenti Web da app gestite?
Sì. L'amministratore IT può distribuire e impostare i criteri di protezione delle app per l'app Microsoft Edge. L'amministratore IT può richiedere l'apertura di tutti i collegamenti Web nelle app gestite da Intune tramite l'app Microsoft Edge.
Esperienza dell'app in Android
Perché l'app Portale aziendale è necessaria per il funzionamento della protezione delle app Intune nei dispositivi Android?
Come funzionano più Intune impostazioni di accesso alla protezione delle app configurate per lo stesso set di app e utenti in Android?
Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali quando tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, un blocco avrà la precedenza e quindi un avviso ignorabile. Ad esempio, se applicabile all'utente o all'app specifica, verrà applicata un'impostazione minima della versione della patch android che avvisa un utente di eseguire un aggiornamento della patch dopo l'impostazione minima della versione della patch Android che blocca l'accesso dell'utente. Quindi, nello scenario in cui l'amministratore IT configura la versione minima della patch Android su 2018-03-01 e la versione minima della patch Android (solo avviso) su 2018-02-01, mentre il dispositivo che tenta di accedere all'app si trovava in una versione di patch 2018-01-01, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima della patch Android che comporta l'accesso bloccato.
Quando si gestiscono diversi tipi di impostazioni, un requisito di versione dell'app ha la precedenza, seguito dal requisito della versione del sistema operativo Android e dal requisito della versione della patch android. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine.
Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di passare il controllo dell'integrità dei dispositivi Di Google Play per i dispositivi Android. Con quale frequenza viene inviato al servizio il nuovo risultato del controllo dell'integrità del dispositivo di Google Play?
Il servizio Intune contatterà Google Play a un intervallo non configurabile determinato dal carico del servizio. Qualsiasi azione configurata dall'amministratore IT per l'impostazione di controllo dell'integrità del dispositivo di Google Play verrà eseguita in base all'ultimo risultato segnalato al servizio Intune al momento dell'avvio condizionale. Se il risultato dell'integrità del dispositivo di Google è conforme, non viene eseguita alcuna azione. Se il risultato dell'integrità del dispositivo di Google non è conforme, l'azione configurata dall'amministratore IT verrà eseguita immediatamente. Se la richiesta al controllo dell'integrità del dispositivo di Google Play non riesce per qualsiasi motivo, il risultato memorizzato nella cache della richiesta precedente verrà usato per un massimo di 24 ore o il successivo riavvio del dispositivo, che viene sempre prima. In quel momento Intune criteri di protezione delle app bloccherà l'accesso fino a quando non sarà possibile ottenere un risultato corrente.
Intune criteri di protezione delle app offrono agli amministratori la possibilità di richiedere ai dispositivi dell'utente finale di inviare segnali tramite l'API Verifica app di Google per i dispositivi Android. Come può un utente finale attivare l'analisi dell'app in modo che non venga bloccato l'accesso a causa di questo?
Le istruzioni su come eseguire questa operazione variano leggermente in base al dispositivo. Il processo generale prevede l'accesso a Google Play Store, quindi fare clic su App personali & giochi, fare clic sul risultato dell'ultima analisi dell'app che ti porterà nel menu Play Protect. Assicurarsi che l'interruttore Per analizzare il dispositivo per individuare le minacce alla sicurezza sia attivato.
Cosa controlla effettivamente l'API Play Integrity di Google nei dispositivi Android? Qual è la differenza tra i valori configurabili di "Controllare l'integrità di base" e "Controllare l'integrità di base & dispositivi certificati"?
Intune sfrutta le API di integrità di Google Play per aggiungere ai controlli di rilevamento radice esistenti per i dispositivi non registrazione. Google ha sviluppato e mantenuto questo set di API per l'adozione delle app Android se non vuole che le app vengano eseguite su dispositivi rooted. L'app Android Pay l'ha incorporata, ad esempio. Anche se Google non condivide pubblicamente la totalità dei controlli di rilevamento radice che si verificano, ci aspettiamo che queste API rilevino gli utenti che hanno rooted i loro dispositivi. A questi utenti può quindi essere impedito l'accesso o gli account aziendali cancellati dalle app abilitate per i criteri. "Controllare l'integrità di base" indica l'integrità generale del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base. "Controllare l'integrità di base & dispositivi certificati" indica la compatibilità del dispositivo con i servizi di Google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo. I dispositivi che avranno esito negativo includono quanto segue:
- Dispositivi che non riescono all'integrità di base
- Dispositivi con un bootloader sbloccato
- Dispositivi con un'immagine/ROM di sistema personalizzata
- Dispositivi per i quali il produttore non ha fatto domanda o non ha superato la certificazione Google
- Dispositivi con un'immagine di sistema compilata direttamente dai file di origine del programma Open Source Android
- Dispositivi con un'immagine di sistema beta/developer preview
Per informazioni tecniche, vedere la documentazione di Google sull'API Play Integrity .
Esistono due controlli simili nella sezione Avvio condizionale durante la creazione di un criterio di protezione delle app Intune per i dispositivi Android. È necessario richiedere l'impostazione "Verdetto integrità del gioco" o l'impostazione "dispositivi jailbroken/rooted"?
I controlli dell'API integrità di Google Play richiedono che l'utente finale sia online, almeno per la durata del momento in cui viene eseguito il "roundtrip" per determinare i risultati dell'attestazione. Se l'utente finale è offline, l'amministratore IT può comunque aspettarsi che venga applicato un risultato dall'impostazione "dispositivi jailbroken/rooted". Detto questo, se l'utente finale è stato offline troppo a lungo, entra in gioco il valore "Periodo di tolleranza offline" e tutti gli accessi ai dati aziendali o dell'istituto di istruzione vengono bloccati una volta raggiunto il valore del timer, fino a quando non è disponibile l'accesso alla rete. L'attivazione di entrambe le impostazioni consente un approccio a più livelli per mantenere integri i dispositivi degli utenti finali, cosa importante quando gli utenti finali accedono ai dati aziendali o dell'istituto di istruzione nei dispositivi mobili.
Le impostazioni dei criteri di protezione delle app che sfruttano le API Google Play Protect richiedono il funzionamento di Google Play Services. Cosa succede se Google Play Services non è consentito nella posizione in cui potrebbe essere l'utente finale?
Entrambe le impostazioni "Verdetto integrità riproduzione" e "Analisi delle minacce sulle app" richiedono il corretto funzionamento della versione di Google Play Services determinata da Google. Poiché si tratta di impostazioni che rientrano nell'area di sicurezza, l'utente finale verrà bloccato se è stato preso di mira con queste impostazioni e non soddisfa la versione appropriata di Google Play Services o non ha accesso a Google Play Services.
Esperienza dell'app in iOS
Cosa accade se si aggiunge o si rimuove un'impronta digitale o un viso al dispositivo?
Intune criteri di protezione delle app consentono il controllo sull'accesso alle app solo all'utente con licenza Intune. Uno dei modi per controllare l'accesso all'app consiste nel richiedere l'ID tocco di Apple o l'ID viso nei dispositivi supportati. Intune implementa un comportamento in cui, in caso di modifiche al database biometrico del dispositivo, Intune richiede all'utente un PIN quando viene soddisfatto il valore di timeout di inattività successivo. Le modifiche ai dati biometrici includono l'aggiunta o la rimozione di un'impronta digitale o di un viso. Se l'utente Intune non ha un PIN impostato, viene configurato un PIN Intune.
L'obiettivo è continuare a mantenere i dati dell'organizzazione all'interno dell'app protetti e protetti a livello di app. Questa funzionalità è disponibile solo per iOS/iPadOS e richiede la partecipazione di applicazioni che integrano Intune APP SDK per iOS/iPadOS, versione 9.0.1 o successiva. L'integrazione dell'SDK è necessaria in modo che il comportamento possa essere applicato alle applicazioni di destinazione. Questa integrazione avviene in sequenza e dipende dai team di applicazioni specifici. Alcune app che partecipano includono WXP, Outlook, Managed Browser e Yammer.
Sono in grado di usare l'estensione di condivisione iOS per aprire i dati aziendali o dell'istituto di istruzione nelle app non gestite, anche con i criteri di trasferimento dati impostati su "solo app gestite" o "nessuna app". Questi dati non vengono persi?
Intune i criteri di protezione delle app non possono controllare l'estensione della condivisione iOS senza gestire il dispositivo. Pertanto, Intune crittografa i dati "aziendali" prima di essere condivisi all'esterno dell'app. È possibile convalidarlo provando ad aprire il file "aziendale" all'esterno dell'app gestita. Il file deve essere crittografato e non può essere aperto all'esterno dell'app gestita.
Come funzionano più Intune impostazioni di accesso alla protezione delle app configurate per lo stesso set di app e utenti in iOS?
Intune criteri di protezione delle app per l'accesso verranno applicati in un ordine specifico nei dispositivi degli utenti finali quando tentano di accedere a un'app di destinazione dal proprio account aziendale. In generale, una cancellazione avrebbe la precedenza, seguita da un blocco e quindi da un avviso ignorabile. Ad esempio, se applicabile all'utente/app specifico, verrà applicata un'impostazione minima del sistema operativo iOS/iPadOS che avvisa un utente di aggiornare la versione di iOS/iPadOS dopo l'impostazione minima del sistema operativo iOS/iPadOS che blocca l'accesso dell'utente. Pertanto, nello scenario in cui l'amministratore IT configura il sistema operativo iOS/iPadOS minimo su 11.0.0.0 e il sistema operativo iOS/iPadOS minimo (solo avviso) su 11.1.0.0, mentre il dispositivo che tenta di accedere all'app si trovava in iOS/iPadOS 10, l'utente finale verrebbe bloccato in base all'impostazione più restrittiva per la versione minima del sistema operativo iOS/iPadOS che comporta il blocco dell'accesso.
Quando si gestiscono diversi tipi di impostazioni, un requisito di versione di App SDK Intune avrà la precedenza e quindi un requisito di versione dell'app, seguito dal requisito della versione del sistema operativo iOS/iPadOS. Vengono quindi controllati tutti gli avvisi per tutti i tipi di impostazioni nello stesso ordine. È consigliabile configurare il requisito della versione di Intune App SDK solo in base alle indicazioni del team del prodotto Intune per scenari di blocco essenziali.
Vedere anche
- Distribuire Intune
- Creare un piano di implementazione
- Impostazioni dei criteri di gestione delle app per dispositivi mobili Android in Microsoft Intune
- Impostazioni dei criteri di gestione delle app per dispositivi mobili iOS/iPadOS
- aggiornamento dei criteri di Protezione di app
- Convalidare i criteri di protezione delle app
- Aggiungere criteri di configurazione dell'app per le app gestite senza registrazione di dispositivi
- Come ottenere supporto in Microsoft Intune