Richiedere app client approvate o criteri di protezione delle app
Gli utenti usano spesso i dispositivi mobili sia per le attività personali che per quelle di lavoro. Assicurandosi che il personale possa essere produttivo, le organizzazioni vogliono anche impedire la perdita di dati dalle applicazioni nei dispositivi che potrebbero non gestire completamente.
Con l'accesso condizionale, le organizzazioni possono limitare l'accesso alle app client approvate (con supporto per l'autenticazione moderna) con i criteri di protezione delle app di Intune. Per le app client meno recenti che potrebbero non supportare i criteri di protezione delle app, gli amministratori possono limitare l'accesso alle app client approvate.
Avviso
Protezione di app criteri sono supportati in iOS e Android in cui le applicazioni soddisfano requisiti specifici. Protezione di app criteri sono supportati in Windows in anteprima solo per il browser Microsoft Edge. Non tutte le applicazioni supportate come applicazioni approvate supportano i criteri di protezione delle applicazioni. Per un elenco delle app client idonee, vedere Requisiti dei criteri di protezione app. Se l'applicazione non è presente nell'elenco, contattare lo sviluppatore dell'applicazione. Per richiedere app client approvate o applicare criteri di protezione delle app per i dispositivi iOS e Android, questi dispositivi devono prima registrarsi in Microsoft Entra ID.
Nota
Richiedere uno dei controlli selezionati in controlli di concessione è simile a una clausola OR . Viene usato nei criteri per consentire agli utenti di usare le app che supportano i criteri Richiedi protezione delle app o Richiedi controlli di concessione di app client approvati. Richiedi criteri di protezione delle app vengono applicati quando l'app supporta tale controllo.
Per altre informazioni sui vantaggi dell'uso dei criteri di protezione delle app, vedere l'articolo Panoramica dei criteri di protezione delle app.
I criteri seguenti vengono inseriti in modalità solo report per avviare in modo che gli amministratori possano determinare l'impatto che avranno sugli utenti esistenti. Quando gli amministratori sono a proprio agio che i criteri si applicano come previsto, possono passare a Sì o preparare la distribuzione aggiungendo gruppi specifici ed escludendo altri.
Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili.
La procedura seguente consente di creare criteri di accesso condizionale che richiedono un'app client approvata o un criterio di protezione delle app quando si usa un dispositivo iOS/iPadOS o Android. Questo criterio impedisce l'uso dei client Exchange ActiveSync usando l'autenticazione di base nei dispositivi mobili. Questo criterio funziona in combinazione con un criterio di protezione delle app creato in Microsoft Intune.
Le organizzazioni possono scegliere di distribuire questo criterio usando la procedura seguente o i modelli di accesso condizionale.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale.
- Selezionare Crea nuovo criterio.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Includi selezionare Tutti gli utenti.
- In Escludi, selezionare Utenti e gruppi ed escludere almeno un account per evitare che l'utente venga bloccato. Se non si escludono account, non è possibile creare i criteri.
- In Risorse>di destinazione (in precedenza app cloud)>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
- In Condizioni>Piattaforme del dispositivo, impostare ConfigurasuSì.
- In Includere scegliere Seleziona piattaforme del dispositivo.
- Scegliere Android e iOS.
- Selezionare Fatto.
- In Controlli di accesso>Concedi selezionare Concedi accesso.
- Selezionare Richiedi app client approvata o Richiedi criteri di protezione delle app
- Per più controlli selezionare Richiedi uno dei controlli selezionati
- Confermare le impostazioni e impostare Attiva criterio su Solo report.
- Selezionare Crea per creare e abilitare il criterio.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.
Suggerimento
Le organizzazioni devono anche distribuire un criterio che blocchi l'accesso da piattaforme di dispositivi non supportate o sconosciute insieme a questo criterio.
Bloccare Exchange ActiveSync in tutti i dispositivi
Questo criterio impedisce a tutti i client Exchange ActiveSync di connettersi a Exchange Online tramite l'autenticazione di base.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale.
- Selezionare Crea nuovo criterio.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Includi selezionare Tutti gli utenti.
- In Escludi, selezionare Utenti e gruppi ed escludere almeno un account per evitare che l'utente venga bloccato. Se non si escludono account, non è possibile creare i criteri.
- Selezionare Fatto.
- In Risorse di destinazione>(in precedenza app cloud)>Includi selezionare Seleziona risorse.
- Selezionare Office 365 Exchange Online.
- Selezionare Seleziona.
- In Condizioni>App client impostare Configura su Sì.
- Deselezionare tutte le opzioni ad eccezione dei client Exchange ActiveSync.
- Selezionare Fatto.
- In Controlli di accesso>Concedi selezionare Concedi accesso.
- Selezionare Richiedi criteri di protezione delle app
- Confermare le impostazioni e impostare Attiva criterio su Solo report.
- Selezionare Crea per creare e abilitare il criterio.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.