Condividi tramite

Risoluzione dei problemi relativi alla distribuzione dei criteri di protezione delle app in Intune

  • Articolo

Questo articolo aiuta gli amministratori IT a comprendere e risolvere i problemi quando si applicano i criteri di protezione delle app in Microsoft Intune. Seguire le istruzioni nelle sezioni che si applicano alla situazione. Consultare la guida per altre indicazioni sulla risoluzione dei problemi correlate all'app, ad esempio Risoluzione dei problemi relativi ai criteri di protezione delle app e Risoluzione dei problemi relativi al trasferimento dei dati tra le app.

Operazioni preliminari

Prima di iniziare la risoluzione dei problemi, raccogliere alcune informazioni di base per comprendere meglio il problema e ridurre il tempo necessario per trovare una risoluzione.

Raccogliere le informazioni generali seguenti:

  • Quale impostazione di criteri è o non viene applicata? Sono applicati criteri?
  • Che cos'è l'esperienza utente? Gli utenti hanno installato e avviato l'app di destinazione?
  • Quando è iniziato il problema? La protezione delle app ha mai funzionato?
  • Quale piattaforma (Android o iOS) presenta il problema?
  • Quanti utenti sono interessati? Tutti gli utenti o solo alcuni utenti sono interessati?
  • Quanti dispositivi sono interessati? Tutti i dispositivi o solo alcuni dispositivi sono interessati?
  • Anche se i criteri di protezione delle app di Intune non richiedono un servizio di gestione dei dispositivi mobili (MDM), gli utenti interessati usano Intune o una soluzione MDM di terze parti?
  • Tutte le app gestite o solo le app specifiche sono interessate? Ad esempio, le app line-of-business (LOB) create con Intune App SDK sono interessate, ma le app dello Store non sono?
  • Qualsiasi servizio di gestione diverso da Intune usato nel dispositivo?

Con le informazioni riportate sopra, è possibile avviare la risoluzione dei problemi.

La corretta distribuzione dei criteri di protezione delle app si basa sulla corretta configurazione delle impostazioni e di altre dipendenze. Il flusso consigliato per analizzare i problemi comuni relativi all'app di Intune è il seguente, che verrà esaminato in modo più dettagliato in questo articolo:

  1. Verificare di aver soddisfatto i prerequisiti per la distribuzione dei criteri di protezione delle app.
  2. Controllare lo stato dei criteri di protezione delle app e controllare la destinazione.
  3. Verificare che l'utente sia destinato.
  4. Verificare che l'app gestita sia destinata.
  5. Verificare che l'utente abbia eseguito l'accesso all'applicazione interessata usando l'account aziendale di destinazione.
  6. Raccogliere i dati del dispositivo.

Passaggio 1: Verificare i prerequisiti dei criteri di protezione delle app

Il primo passaggio per la risoluzione dei problemi consiste nel verificare se vengono soddisfatti tutti i prerequisiti. Anche se è possibile usare Intune APP indipendentemente da qualsiasi soluzione MDM, è necessario soddisfare i prerequisiti seguenti:

  • All'utente deve essere assegnata una licenza di Intune.

  • L'utente deve appartenere a un gruppo di sicurezza di destinazione di un criterio di protezione delle app. Gli stessi criteri di protezione delle app devono essere destinati all'app specifica usata.

  • Per i dispositivi Android, l'app Portale aziendale è necessaria per ricevere i criteri di protezione delle app.

  • Se si usano app Word, Excel o PowerPoint , è necessario soddisfare i requisiti aggiuntivi seguenti:

    • L'utente deve avere una licenza per Microsoft 365 Apps for business o enterprise collegata all'account Microsoft Entra dell'utente. La sottoscrizione deve includere i app Office nei dispositivi mobili e può includere un account di archiviazione cloud con OneDrive for Business. Le licenze di Microsoft 365 possono essere assegnate nel interfaccia di amministrazione di Microsoft 365 seguendo queste istruzioni.
    • L'utente deve avere una posizione gestita configurata usando la funzionalità Di salvataggio con nome granulare. Questo comando si trova nell'impostazione dei criteri di protezione dell'applicazione Salva copie di dati dell'organizzazione. Ad esempio, se il percorso gestito è OneDrive, l'app OneDrive deve essere configurata nell'app Word, Excel o PowerPoint dell'utente.
    • Se la posizione gestita è OneDrive, l'app deve essere destinata ai criteri di protezione delle app distribuiti all'utente.

    Note

    Le app office per dispositivi mobili attualmente supportano solo SharePoint Online e non SharePoint locale.

  • Se si usano i criteri di protezione delle app di Intune insieme alle risorse locali (Microsoft Skype for Business e Microsoft Exchange Server), è necessario abilitare l'autenticazione moderna ibrida per Skype for Business ed Exchange.

Passaggio 2: Controllare lo stato dei criteri di protezione delle app

Esaminare i dettagli seguenti per comprendere lo stato dei criteri di protezione delle app:

  • È stato eseguito un check-in utente dal dispositivo interessato?
  • Le applicazioni per lo scenario di problema vengono gestite tramite i criteri di destinazione?
  • Verificare che l'intervallo di recapito dei criteri sia entro il comportamento previsto. Per altre informazioni, vedere Informazioni sui tempi di recapito dei criteri di protezione delle app.

Per ottenere informazioni dettagliate, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Monitoraggio> app>Protezione di app stato e quindi selezionare il riquadro Utenti assegnati.
  3. Nella pagina Segnalazione app selezionare Seleziona utente per visualizzare un elenco di utenti e gruppi.
  4. Cercare e selezionare uno degli utenti interessati dall'elenco, quindi selezionare Seleziona utente. Nella parte superiore della pagina Segnalazione app è possibile verificare se l'utente ha una licenza per la protezione delle app e ha una licenza per Microsoft 365. È anche possibile visualizzare lo stato dell'app per tutti i dispositivi dell'utente.
  5. Prendere nota di tali informazioni importanti, ad esempio le app di destinazione, i tipi di dispositivo, i criteri, lo stato di archiviazione del dispositivo e l'ora dell'ultima sincronizzazione.

Note

Protezione di app criteri vengono applicati solo quando le app vengono usate nel contesto di lavoro. Ad esempio, quando l'utente accede alle app usando un account aziendale.

Per altre informazioni, vedere Come convalidare la configurazione dei criteri di protezione delle app in Microsoft Intune.

Passaggio 3: Verificare che l'utente sia destinato

I criteri di protezione delle app di Intune devono essere destinati agli utenti. Se non si assegnano criteri di protezione delle app a un utente o a un gruppo di utenti, i criteri non vengono applicati.

Per verificare che il criterio venga applicato all'utente di destinazione, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Monitoraggio> app>Protezione di app stato e quindi selezionare il riquadro Stato utente (in base alla piattaforma del sistema operativo del dispositivo). Nel riquadro Report app visualizzato selezionare Seleziona utente per cercare un utente.
  3. Seleziona l'utente nell'elenco. È possibile visualizzare i dettagli per l'utente. Si noti che possono essere necessarie fino a 24 ore prima che un nuovo utente di destinazione venga visualizzato nei report.

Quando si assegnano i criteri a un gruppo di utenti, assicurarsi che l'utente si trovi nel gruppo di utenti. A tale scopo, effettuare i passaggi seguenti:

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Gruppi > Tutti i gruppi e quindi cercare e selezionare il gruppo usato per l'assegnazione dei criteri di protezione delle app.
  3. Nella sezione Gestisci selezionare Membri.
  4. Se l'utente interessato non è elencato, vedere Gestire l'accesso alle app e alle risorse usando i gruppi di Microsoft Entra e le regole di appartenenza ai gruppi. Assicurarsi che l'utente interessato sia incluso nel gruppo.
  5. Assicurarsi che l'utente interessato non si trova in nessuno dei gruppi esclusi per i criteri.

Importante

  • I criteri di protezione delle app di Intune devono essere assegnati ai gruppi di utenti e non ai gruppi di dispositivi.
  • Se il dispositivo interessato usa Android Enterprise, solo i profili di lavoro di proprietà personale supporteranno i criteri di protezione delle app.
  • Se il dispositivo interessato usa la registrazione automatica dei dispositivi (ADE) di Apple, assicurarsi che l'affinità utente sia abilitata. L'affinità utente è necessaria per qualsiasi app che richiede l'autenticazione utente in ADE. Per altre informazioni sulla registrazione adE iOS/iPadOS, vedere Registrare automaticamente i dispositivi iOS/iPadOS.

Passaggio 4: Verificare che l'app gestita sia destinata

Quando si configurano i criteri di protezione delle app di Intune, le app di destinazione devono usare Intune App SDK. In caso contrario, i criteri di protezione delle app potrebbero non funzionare correttamente.

Assicurarsi che l'app di destinazione sia elencata nelle app protette di Microsoft Intune. Per le app line-of-business o personalizzate, verificare che le app usino la versione più recente di Intune App SDK.

Per iOS, questa procedura è importante perché ogni versione contiene correzioni che influiscono sul modo in cui questi criteri vengono applicati e su come funzionano. Per altre informazioni, vedere Versioni di Intune App SDK per iOS. Gli utenti Android devono avere la versione più recente dell'app Portale aziendale installata perché l'app funziona come agente di Broker dei criteri.

Passaggio 5: Verificare che l'utente abbia eseguito l'accesso all'applicazione interessata usando l'account aziendale di destinazione

Alcune app possono essere usate senza l'accesso dell'utente, ma per gestire correttamente un'app con l'app di Intune, gli utenti devono accedere all'app usando le credenziali aziendali. I criteri di protezione delle app di Intune richiedono che l'identità dell'utente sia coerente tra l'app e Intune App SDK. Assicurarsi che l'utente interessato abbia eseguito l'accesso all'app con il proprio account aziendale.

Nella maggior parte degli scenari gli utenti accedono ai propri account con il nome dell'entità utente (UPN). Tuttavia, in alcuni ambienti ,ad esempio scenari locali, gli utenti potrebbero usare un altro tipo di credenziali di accesso. In questi casi, è possibile che l'UPN usato nell'app non corrisponda all'oggetto UPN in Microsoft Entra ID. Quando si verifica questo problema, i criteri di protezione delle app non vengono applicati come previsto.

Le procedure consigliate da Microsoft sono l'abbinamento tra l'UPN e l'indirizzo SMTP primario. Questa procedura consente agli utenti di accedere alle app gestite, alla protezione delle app di Intune e ad altre risorse di Microsoft Entra grazie a un'identità coerente. Per altre informazioni, vedere Popolamento di Microsoft Entra UserPrincipalName.

L'unico modo per garantire questa coerenza consiste nell'autenticazione moderna. Esistono scenari in cui le app possono funzionare in una configurazione locale senza l'autenticazione moderna. Tuttavia, i risultati non sono coerenti o garantiti.

Se l'ambiente richiede metodi di accesso alternativi, vedere Configurazione dell'ID di accesso alternativo, in particolare l'autenticazione moderna ibrida con l'ID alternativo.

Passaggio 6: Raccogliere i dati dei dispositivi con Microsoft Edge

Collaborare con l'utente per raccogliere i dettagli su di essi sta tentando di eseguire e i passaggi da eseguire. Chiedere all'utente di raccogliere screenshot o registrazioni video del comportamento. Ciò consente di chiarire le azioni esplicite del dispositivo eseguite. Raccogliere quindi i log delle app gestite tramite Microsoft Edge nel dispositivo.

Gli utenti con Microsoft Edge installati nel dispositivo iOS o Android possono visualizzare lo stato di gestione di tutte le app pubblicate da Microsoft. Possono usare la procedura seguente per inviare i log per facilitare la risoluzione dei problemi.

  1. Aprire Microsoft Edge per iOS e Android nel dispositivo.
  2. Nella barra degli indirizzi digitare about:intunehelp.
  3. Microsoft Edge per iOS e Android viene avviato in modalità di risoluzione dei problemi.

Da questa schermata verranno visualizzate due opzioni e dati sul dispositivo.

Screenshot che mostra le informazioni sul dispositivo condiviso.

Selezionare Visualizza stato app di Intune per visualizzare un elenco di app. Se si seleziona un'app specifica, verranno visualizzate le impostazioni dell'app associate a tale app attualmente attive nel dispositivo.

Screenshot che mostra le informazioni sull'app.

Se le informazioni visualizzate per un'app specifica sono limitate alla versione dell'app e al bundle con il timestamp di archiviazione dei criteri, significa che nessun criterio è attualmente applicato a tale app nel dispositivo.

L'opzione Attività iniziali consente di raccogliere i log relativi alle applicazioni abilitate per l'app. Se si apre un ticket di supporto con Microsoft per i criteri di protezione delle app, è consigliabile fornire sempre questi log da un dispositivo interessato, se possibile. Per istruzioni specifiche di Android, vedere Caricare e inviare log di posta elettronica.

Screenshot che mostra le opzioni per condividere i log.

Per un elenco delle impostazioni archiviate nei log di diagnostica (APP) di Intune, vedere Esaminare i log di protezione delle app client.

Scenari di risoluzione dei problemi aggiuntivi

Esaminare gli scenari comuni seguenti per la risoluzione dei problemi relativi all'app. È anche possibile esaminare gli scenari in Problemi comuni di trasferimento dei dati.

Scenario: le modifiche ai criteri non vengono applicate

Intune App SDK verifica regolarmente la presenza di modifiche ai criteri. Tuttavia, questo processo può essere ritardato per uno dei motivi seguenti:

  • L'app non è stata archiviata con il servizio.
  • L'app Portale aziendale è stata rimossa dal dispositivo.

I criteri di protezione delle app di Intune si basano sull'identità utente. Di conseguenza, è necessario un account di accesso valido che usa un account aziendale o dell'istituto di istruzione per l'app e una connessione coerente al servizio. Se l'utente non ha eseguito l'accesso all'app o l'app Portale aziendale è stata rimossa dal dispositivo, gli aggiornamenti dei criteri non verranno applicati.

Importante

Intune App SDK controlla ogni 30 minuti per la cancellazione selettiva. Tuttavia, le modifiche apportate ai criteri esistenti per gli utenti che hanno già eseguito l'accesso potrebbero non essere visualizzate per un massimo di 8 ore. Per velocizzare questo processo, chiedere all'utente di disconnettersi dall'app e quindi accedere di nuovo o riavviare il dispositivo.

Per controllare lo stato di protezione delle app, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Monitoraggio> app>Protezione di app stato e quindi selezionare il riquadro Utenti assegnati.
  3. Nella pagina Segnalazione app selezionare Seleziona utente per aprire un elenco di utenti e gruppi.
  4. Cercare e selezionare uno degli utenti interessati dall'elenco, quindi selezionare Seleziona utente.
  5. Esaminare i criteri attualmente applicati, inclusi lo stato e l'ora dell'ultima sincronizzazione.
  6. Se lo stato non è archiviato o se la visualizzazione indica che non è stata eseguita una sincronizzazione recente, verificare se l'utente dispone di una connessione di rete coerente. Per gli utenti Android, assicurarsi di avere installato la versione più recente dell'app Portale aziendale.

I criteri di protezione delle app di Intune includono il supporto per più identità. Intune può applicare i criteri di protezione delle app solo all'account aziendale o dell'istituto di istruzione che ha eseguito l'accesso all'app. Tuttavia, è supportato un solo account aziendale o dell'istituto di istruzione per dispositivo.

Scenario: i dispositivi iOS registrati in Intune richiedono una configurazione aggiuntiva

Quando si crea un criterio di protezione delle app, è possibile impostarlo come destinazione per tutti i tipi di app o per i tipi di app seguenti:

  • App su dispositivi non gestiti
  • App nei dispositivi gestiti da Intune
  • App nel profilo di lavoro di proprietà personale Android

Note

Per specificare i tipi di app, impostare Target su tutti i tipi di app su No e quindi selezionare dall'elenco Tipi di app.

Se si ha come destinazione solo i dispositivi gestiti da iOS Intune, è necessario impostare come destinazione le impostazioni di configurazione delle app aggiuntive seguenti insieme ai criteri di protezione delle app:

  • IntuneMAMUPN e IntuneMAMOID devono essere configurati per tutte le applicazioni gestite da MDM (Intune o EMM di terze parti). Per altre informazioni, vedere Configurare l'impostazione UPN dell'utente per Microsoft Intune o EMM di terze parti.
  • IntuneMAMDeviceID deve essere configurato per tutte le applicazioni gestite da MDM di terze parti e LOB.
  • IntuneMAMDeviceID deve essere configurato come token ID dispositivo. Ad esempio, key=IntuneMAMDeviceID, value={{deviceID}}. Per altre informazioni, vedere Aggiungere criteri di configurazione delle app per i dispositivi iOS gestiti.
  • Se è configurato solo il valore IntuneMAMDeviceID , Intune APP considererà il dispositivo come non gestito.

Passaggi successivi