Condividi tramite


Gestire le esperienze di collaborazione in Microsoft 365 (Office) per iOS e Android con Microsoft Intune

Microsoft 365 (Office) per iOS e Android offre diversi vantaggi chiave, tra cui:

  • Combinazione di Word, Excel e PowerPoint in modo da semplificare l'esperienza con un minor numero di app da scaricare o passare da un'app all'altra. Richiede molto meno spazio di archiviazione del telefono rispetto all'installazione di singole app, mantenendo praticamente tutte le funzionalità delle app per dispositivi mobili esistenti che gli utenti già conoscono e usano.
  • Integrazione della tecnologia Microsoft Lens per sbloccare la potenza della fotocamera con funzionalità come la conversione di immagini in documenti modificabili di Word ed Excel, l'analisi di PDF e l'acquisizione di lavagne con miglioramenti digitali automatici per semplificare la lettura del contenuto.
  • L'aggiunta di nuove funzionalità per le attività più comuni che si svolgono spesso quando si lavora su un telefono, come la creazione di note rapide, la firma di PDF, la scansione di codici QR e il trasferimento di file tra dispositivi.

Le funzionalità di protezione più avanzate e più ampie per i dati di Microsoft 365 sono disponibili quando si effettua la sottoscrizione alla suite Enterprise Mobility + Security, che include funzionalità Microsoft Intune e Microsoft Entra ID P1 o P2, ad esempio l'accesso condizionale. È necessario distribuire almeno un criterio di accesso condizionale che consenta la connettività a Microsoft 365 (Office) per iOS e Android da dispositivi mobili e un criterio di protezione delle app Intune che garantisce la protezione dell'esperienza di collaborazione.

Applicare l'accesso condizionale

Le organizzazioni possono utilizzare i criteri di accesso condizionale di Microsoft Entra per garantire che gli utenti possano accedere solo ai contenuti aziendali o dell'istituto di istruzione utilizzando Microsoft 365 (Office) per iOS e Android. A tale scopo, sarà necessario un criterio di accesso condizionale destinato a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.

  1. Seguire la procedura descritta in Richiedi app client approvate o criterio di protezione delle app con i dispositivi mobili, che consente l'utilizzo di Microsoft 365 (Office) per iOS e Android, ma blocca la connessione di client di dispositivi mobili di terze parti con funzionalità OAuth agli endpoint Microsoft 365.

    Nota

    Questo criterio garantisce che gli utenti di dispositivi mobili possano accedere a tutti gli endpoint Microsoft 365 usando le app applicabili.

Nota

Per sfruttare i criteri di accesso condizionale basati su app, l'app Microsoft Authenticator deve essere installata nei dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.

Creare i criteri di protezione delle app Intune

Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.

Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:

  • La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
  • La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
  • La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.

Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:

  1. Includono tutte le applicazioni Microsoft 365 per dispositivi mobili, ad esempio Edge, Outlook, OneDrive, Microsoft 365 (Office) o Teams, in quanto ciò garantisce che gli utenti possano accedere e modificare i dati aziendali o dell'istituto di istruzione all'interno di qualsiasi app Microsoft in modo sicuro.

  2. Devono essere assegnati a tutti gli utenti. In questo modo si garantisce che tutti gli utenti siano protetti, indipendentemente dal fatto che usino Microsoft 365 (Office) per iOS o Android.

  3. Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.

Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.

Importante

Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune. Per i criteri di protezione delle app Android, aggiungere le app Hub Office, Hub Office [HL] e Office Hub [ROW]. Per ulteriori informazioni, vedere Suggerimento di supporto: come abilitare i criteri di protezione delle app di Intune con Office Mobile.

Usare la configurazione dell'app

Microsoft 365 (Office) per iOS e Android supporta le impostazioni dell'app che consentono la gestione unificata degli endpoint, ad esempio Microsoft Intune, gli amministratori per personalizzare il comportamento dell'app.

La configurazione delle app può essere fornita attraverso il canale del sistema operativo di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale Intune App Protection Policy (APP). Microsoft 365 (Office) per iOS e Android supporta gli scenari di configurazione seguenti:

  • Consentire solo account aziendali o dell'istituto di istruzione
  • Configurazione generale dell'app
  • Impostazioni di protezione dei dati

Importante

Per gli scenari di configurazione che richiedono la registrazione del dispositivo in Android, i dispositivi devono essere registrati in Android Enterprise e Microsoft 365 (Office) per Android deve essere distribuito tramite l'archivio Google Play gestito. Per ulteriori informazioni, vedere Configurazione dell'iscrizione dei dispositivi Android Enterprise con profilo di lavoro personale e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti. Per le configurazioni delle app Android, aggiungere le app Hub Office, Hub Office [HL] e Office Hub [ROW]. Per ulteriori informazioni, vedere Suggerimento di supporto: come abilitare i criteri di protezione delle app di Intune con Office Mobile.

Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.

Importante

Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.

Nota

Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale App Protection Policy è denominata Managed Apps App Configuration Policy.

Consentire solo account aziendali o dell'istituto di istruzione

Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale e di garantire che i dispositivi siano utilizzati solo per le comunicazioni aziendali. Per supportare questi requisiti, è possibile configurare Microsoft 365 (Office) per Android nei dispositivi registrati per consentire il provisioning di un solo account aziendale all'interno dell'app.

Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:

Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si utilizza Microsoft Intune, è necessario consultare la documentazione dell'UEM per sapere come distribuire queste chiavi di configurazione.

Scenari generali di configurazione delle app

Microsoft 365 (Office) per iOS/iPadOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app usando iOS/iPadOS o i criteri di configurazione delle app Android. Questa funzionalità è offerta sia per i dispositivi registrati tramite qualsiasi provider UEM sia per i dispositivi non registrati quando a Microsoft 365 (Office) per iOS e Android è applicato un criterio di protezione delle app Intune.

Nota

Se un criterio di protezione delle app è destinato agli utenti, è consigliabile distribuire le impostazioni generali di configurazione dell'app in un modello di registrazione App gestite. In questo modo i criteri di configurazione dell'app vengono distribuiti sia nei dispositivi registrati che nei dispositivi non registrati.

Microsoft 365 (Office) supporta le impostazioni seguenti per la configurazione:

Gestire la creazione di Memo

Per impostazione predefinita, Microsoft 365 (Office) per iOS e Android consente agli utenti di creare Memo. Per gli utenti con cassette postali di Exchange Online, le note vengono sincronizzate nella cassetta postale dell'utente. Per gli utenti con cassette postali locali, queste note vengono archiviate solo nel dispositivo locale.

Chiave Valore
com.microsoft.office.NotesCreationEnabled true (impostazione predefinita) consente la creazione di Memo per l'account aziendale o dell'istituto di istruzione
false disabilita la creazione di Memo per l'account aziendale o dell'istituto di istruzione

Impostare la preferenza per i componenti aggiuntivi

Per i dispositivi iOS/iPadOS che eseguono Office, l'amministratore può impostare se i componenti aggiuntivi di Microsoft 365 (Office) sono abilitati. Queste impostazioni dell'app possono essere distribuite usando un criteri di configurazione dell’app in Intune.

Chiave Valore
com.microsoft.office.OfficeWebAddinDisableAllCatalogs true (impostazione predefinita) disabilita l'intera piattaforma dei componenti aggiuntivi
false abilita la piattaforma dei componenti aggiuntivi

Se è necessario abilitare o disabilitare la parte Microsoft 365 (Office) Store della piattaforma per i dispositivi iOS, è possibile usare la chiave seguente.

Chiave Valore
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog true (impostazione predefinita) disabilita solo la parte Microsoft 365 (Office) Store della piattaforma
false abilita la parte Microsoft 365 (Office) Store della piattaforma
NOTA: Sideloaded continuerà a funzionare.

Per altre informazioni sull'aggiunta di chiavi di configurazione, vedere Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti.

Gestire le app di Teams in esecuzione in Microsoft 365 (Office) per iOS e Android

Gli amministratori IT possono gestire l'accesso alle app di Teams creando criteri di autorizzazione personalizzati e assegnando questi criteri agli utenti usando l'interfaccia di amministrazione di Teams. Ora è anche possibile eseguire le app per schede personali di Teams in Microsoft 365 (Office) per iOS e Android. Le app della scheda personale di Teams create con Microsoft Teams JavaScript client SDK v2 (versione 2.0.0) e Teams App manifest (versione 1.13) appaiono in Microsoft 365 (Office) per iOS e Android nel menu "App".

Potrebbero essere previsti requisiti di gestione aggiuntivi specifici per Microsoft 365 (Office) per iOS e Android. È possibile:

  • Consentire solo a utenti specifici dell'organizzazione di provare app teams avanzate in Microsoft 365 (Office) per iOS e Android oppure
  • Impedire a tutti gli utenti dell'organizzazione di usare app avanzate di Teams in Microsoft 365 (Office) per iOS e Android.

Per gestirli, è possibile usare la chiave seguente:

Chiave Valore
com.microsoft.office.officemobile.TeamsApps.IsAllowed true (impostazione predefinita) abilita le app di Teams in Microsoft 365 (Office) per iOS e Android
false disabilita le app di Teams in Microsoft 365 (Office) per iOS e Android

Questa chiave può essere usata sia dai dispositivi gestiti che dalle app gestite.

Impostazioni di protezione dei dati in Microsoft 365 (Office)

È possibile abilitare o disabilitare la memorizzazione nella cache offline quando Salva con nome nell'archiviazione locale è bloccato dai criteri di protezione delle app.

Importante

Questa impostazione è applicabile solo all'app Microsoft 365 (Office) in Android. Per configurare questa impostazione, è possibile usare la chiave seguente:

Chiave Valore
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked false (impostazione predefinita) disabilita la memorizzazione nella cache offline quando Salva con nome nell’archiviazione locale è bloccato
true abilita la memorizzazione offline nella cache quando Salva con nome nell’archiviazione locale è bloccato

Abilita o disabilita feed Microsoft 365 per iOS e Android

Gli amministratori possono ora abilitare o disabilitare il feed Microsoft 365 configurando l'impostazione seguente nell'interfaccia di amministrazione di Intune. Per distribuire questa impostazione dell'app, usare un criterio di configurazione dell'app in Intune.

Per gestire il feed Microsoft 365, è possibile usare la chiave seguente:

Chiave Valore
com.microsoft.office.officemobile.Feed.IsAllowed true (impostazione predefinita) Il feed è abilitato per il tenant
false disabilita il feed per il tenant

Questa chiave può essere usata dai dispositivi gestiti e dalle app gestite.

Copilot con protezione dei dati aziendali

Gli amministratori possono ora abilitare o disabilitare Copilot nell'app Microsoft 365 configurando la seguente impostazione nell’interfaccia di amministrazione di Intune. Per distribuire questa impostazione dell'app, usare un criterio di configurazione dell'app in Intune.

Per gestire Copilot nell'app Microsoft 365, è possibile utilizzare la chiave seguente:

Chiave Valore
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed true (impostazione predefinita) Copilot è abilitato per il tenant
false disabilita Copilot per il tenant

Questa chiave può essere usata dai dispositivi gestiti e dalle app gestite.

Passaggi successivi