Framework di protezione dei dati con i criteri di protezione delle app

Man mano che più organizzazioni implementano strategie di dispositivi mobili per l'accesso ai dati aziendali o dell'istituto di istruzione, la protezione dalla perdita di dati diventa fondamentale. la soluzione di gestione delle applicazioni mobili di Intune per la protezione dalla perdita di dati è l'APP (App Protection Policies). APP sono regole che garantiscono che i dati di un'organizzazione rimangano al sicuro o contenuti in un'app gestita, indipendentemente dal fatto che il dispositivo sia registrato. Per altre informazioni, vedere Panoramica dei criteri di Protezione di app.

Quando si configurano i criteri di protezione delle app, il numero di varie impostazioni e opzioni consente alle organizzazioni di personalizzare la protezione in base alle proprie esigenze specifiche. A causa di questa flessibilità, potrebbe non essere ovvio quale permutazione delle impostazioni dei criteri è necessaria per implementare uno scenario completo. Per aiutare le organizzazioni a dare priorità agli sforzi di protezione avanzata degli endpoint client, Microsoft ha introdotto una nuova tassonomia per le configurazioni di sicurezza in Windows 10 e Intune usa una tassonomia simile per il framework di protezione dei dati app per la gestione delle app per dispositivi mobili.

Il framework di configurazione della protezione dei dati app è organizzato in tre scenari di configurazione distinti:

  • Protezione dei dati di base aziendale di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.

  • Protezione dei dati avanzata aziendale di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni sensibili o riservate. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.

  • Protezione dei dati elevata aziendale di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Un'organizzazione che probabilmente sarà presa di mira da avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.

Metodologia di distribuzione di APP Data Protection Framework

Come per qualsiasi distribuzione di nuovi software, funzionalità o impostazioni, Microsoft consiglia di investire in una metodologia ad anello per testare la convalida prima di distribuire il framework di protezione dei dati app. La definizione degli anelli di distribuzione è in genere un evento occasionale (o almeno poco frequente), ma l'IT deve rivedere questi gruppi per assicurarsi che la sequenziazione sia ancora corretta.

Microsoft consiglia il seguente approccio di anello di distribuzione per il framework di protezione dei dati app:

Anello di distribuzione Tenant Team di valutazione Output Sequenza temporale
Controllo di qualità Tenant di preproduzione Proprietari della capacità mobile, sicurezza, valutazione dei rischi, privacy, esperienza utente Convalida dello scenario funzionale, bozza della documentazione Da 0 a 30 giorni
Anteprima Tenant di produzione Proprietari della capacità mobile, esperienza utente Convalida dello scenario per utenti finali, documentazione per l'utente Da 7 a 14 giorni, dopo Controllo di qualità
Produzione Tenant di produzione Proprietari della capacità mobile, help desk IT N/D Da 7 giorni a diverse settimane, dopo Anteprima

Come indicato nella tabella precedente, tutte le modifiche ai criteri di protezione delle app devono essere eseguite prima in un ambiente di preproduzione per comprendere le implicazioni dell'impostazione dei criteri. Al termine dei test, le modifiche possono essere spostate nell'ambiente di produzione e applicate a un subset di utenti di produzione, in genere, al reparto IT e ad altri gruppi applicabili. Infine, l'implementazione può essere completata nel resto della community degli utenti per dispositivi mobili. L'implementazione nell'ambiente di produzione può richiedere più tempo a seconda della scala di impatto relativa alla modifica. Se non si verifica alcun impatto sull'utente, la modifica dovrebbe essere implementata rapidamente, mentre, se la modifica comporta un impatto sull'utente, l'implementazione potrebbe dover essere più lenta a causa della necessità di comunicare le modifiche al popolamento degli utenti.

Quando si testano le modifiche a un'APP, tenere presente la tempistica di recapito. Lo stato del recapito dell'APP per un determinato utente può essere monitorato. Per altre informazioni, vedere Come monitorare i criteri di protezione delle app.

Le singole impostazioni DELL'APP per ogni app possono essere convalidate nei dispositivi usando Microsoft Edge e l'URL about:Intunehelp. Per altre informazioni, vedere Esaminare i log di protezione delle app client e Usare Microsoft Edge per iOS e Android per accedere ai log delle app gestite.

Impostazioni di APP Data Protection Framework

Le impostazioni dei criteri di protezione delle app seguenti devono essere abilitate per le app applicabili e assegnate a tutti gli utenti di dispositivi mobili. Per altre informazioni su ogni impostazione di criterio, vedere Impostazioni dei criteri di protezione delle app iOS e Impostazioni dei criteri di protezione delle app Android.

Microsoft consiglia di esaminare e classificare gli scenari di utilizzo e quindi di configurare gli utenti usando le indicazioni prescrittive per tale livello. Come per qualsiasi framework, potrebbe essere necessario modificare le impostazioni all'interno di un livello corrispondente in base alle esigenze dell'organizzazione in quanto la protezione dei dati deve valutare l'ambiente delle minacce, la propensione al rischio e l'impatto sull'usabilità.

Gli amministratori possono incorporare i livelli di configurazione seguenti all'interno della metodologia di distribuzione circolare per l'uso di test e produzione importando i modelli JSON di esempio Intune Framework di configurazione dei criteri di protezione delle app con gli script di PowerShell di Intune.

Nota

Quando si usa MAM per Windows, vedere impostazioni dei criteri di Protezione di app per Windows.

Criteri di accesso condizionale

Per garantire che solo le app che supportano i criteri di protezione delle app accedono ai dati dell'account aziendale o dell'istituto di istruzione, sono necessari criteri di accesso condizionale Microsoft Entra. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.

Vedere Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app per i passaggi per implementare i criteri specifici. Implementare infine i passaggi descritti in Bloccare l'autenticazione legacy per bloccare le app iOS e Android con supporto per l'autenticazione legacy.

Nota

Questi criteri sfruttano i controlli di concessione Richiedi app client approvate e Richiedi criteri di protezione delle app.

App da includere nei criteri di protezione delle app

Per ogni criterio di protezione delle app, viene assegnato il gruppo core Microsoft Apps, che include le app seguenti:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

I criteri devono includere altre app Microsoft in base alle esigenze aziendali, altre app pubbliche di terze parti che hanno integrato l'SDK Intune usato all'interno dell'organizzazione, nonché app line-of-business che hanno integrato l'SDK Intune (o sono state incluse).

Protezione dei dati di base aziendale di livello 1

Il livello 1 è la configurazione minima di protezione dei dati per un dispositivo mobile aziendale. Questa configurazione sostituisce la necessità di criteri di base per l'accesso ai dispositivi Exchange Online richiedendo un PIN per accedere ai dati aziendali o dell'istituto di istruzione, crittografando i dati dell'account aziendale o dell'istituto di istruzione e fornendo la possibilità di cancellare selettivamente i dati dell'istituto di istruzione o dell'istituto di istruzione. Tuttavia, a differenza di Exchange Online criteri di accesso ai dispositivi, le impostazioni dei criteri di protezione delle app seguenti si applicano a tutte le app selezionate nei criteri, assicurando in tal modo che l'accesso ai dati sia protetto oltre gli scenari di messaggistica mobile.

I criteri di livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti e rispecchiano le impostazioni predefinite per la protezione dei dati e i requisiti di accesso durante la creazione di criteri di protezione delle app all'interno di Microsoft Intune.

Protezione dei dati

Impostazione Descrizione dell'impostazione Valore Piattaforma
Trasferimento dati Eseguire il backup dei dati dell'organizzazione in... Consenti iOS/iPadOS, Android
Trasferimento dati Inviare dati dell'organizzazione ad altre app Tutte le app iOS/iPadOS, Android
Trasferimento dati Inviare i dati dell'organizzazione a Tutte le destinazioni Windows
Trasferimento dati Ricevere dati da altre app Tutte le app iOS/iPadOS, Android
Trasferimento dati Ricevere dati da Tutte le origini Windows
Trasferimento dati Limitare taglia, copia e incolla tra app Qualsiasi app iOS/iPadOS, Android
Trasferimento dati Consenti taglia, copia e incolla per Qualsiasi destinazione e origine Windows
Trasferimento dati Tastiere di terze parti Consenti iOS/iPadOS
Trasferimento dati Tastiere approvate Non richiesto Android
Trasferimento dati Acquisizione dello schermo e Google Assistant Consenti Android
Crittografia Crittografare i dati dell'organizzazione Richiedere iOS/iPadOS, Android
Crittografia Crittografare i dati dell'organizzazione nei dispositivi registrati Richiedere Android
Funzionalità Sincronizzare l'app con l'app contatti nativa Consenti iOS/iPadOS, Android
Funzionalità Stampa dei dati dell'organizzazione Consenti iOS/iPadOS, Android, Windows
Funzionalità Limitare il trasferimento di contenuto Web con altre app Qualsiasi app iOS/iPadOS, Android
Funzionalità Notifiche dei dati dell'organizzazione Consenti iOS/iPadOS, Android

Requisiti di accesso

Impostazione Valore Piattaforma Note
PIN per l'accesso Richiedere iOS/iPadOS, Android
Tipo DI PIN Numerico iOS/iPadOS, Android
PIN semplice Consenti iOS/iPadOS, Android
Selezionare Lunghezza minima PIN 4 iOS/iPadOS, Android
Touch ID anziché PIN per l'accesso (iOS 8+/iPadOS) Consenti iOS/iPadOS
Eseguire l'override della biometria con PIN dopo il timeout Richiedere iOS/iPadOS, Android
Timeout (minuti di attività) 1440 iOS/iPadOS, Android
Face ID anziché PIN per l'accesso (iOS 11+/iPadOS) Consenti iOS/iPadOS
Biometrico anziché PIN per l'accesso Consenti iOS/iPadOS, Android
Reimpostazione del PIN dopo il numero di giorni No iOS/iPadOS, Android
Selezionare il numero di valori PIN precedenti da gestire 0 Android
PIN dell'app quando è impostato il PIN del dispositivo Richiedere iOS/iPadOS, Android Se il dispositivo è registrato in Intune, gli amministratori possono prendere in considerazione l'impostazione "Non obbligatorio" se applicano un PIN del dispositivo sicuro tramite criteri di conformità del dispositivo.
Credenziali dell'account aziendale o dell'istituto di istruzione per l'accesso Non richiesto iOS/iPadOS, Android
Ricontrollare i requisiti di accesso dopo (minuti di inattività) 30 iOS/iPadOS, Android

Avvio condizionale

Impostazione Descrizione dell'impostazione Valore/azione Piattaforma Note
Condizioni dell'app Numero massimo di tentativi di PIN 5 /Reimposta PIN iOS/iPadOS, Android
Condizioni dell'app Periodo di prova offline 10080 /Blocca l'accesso (minuti) iOS/iPadOS, Android, Windows
Condizioni dell'app Periodo di prova offline 90 / Cancellare i dati (giorni) iOS/iPadOS, Android, Windows
Condizioni del dispositivo Dispositivi jailbroken/rooted N/D/Blocca accesso iOS/iPadOS, Android
Condizioni del dispositivo Attestazione del dispositivo SafetyNet Integrità di base e dispositivi certificati/Blocca accesso Android

Questa impostazione configura il controllo dell'integrità del dispositivo di Google Play nei dispositivi degli utenti finali. L'integrità di base convalida l'integrità del dispositivo. I dispositivi rooted, gli emulatori, i dispositivi virtuali e i dispositivi con segni di manomissione non riescono a garantire l'integrità di base.

L'integrità di base e i dispositivi certificati convalidano la compatibilità del dispositivo con i servizi google. Solo i dispositivi non modificati che sono stati certificati da Google possono superare questo controllo.

Condizioni del dispositivo Richiedere l'analisi delle minacce nelle app N/D/Blocca accesso Android Questa impostazione garantisce che l'analisi verifica app di Google sia attivata per i dispositivi degli utenti finali. Se configurato, all'utente finale verrà impedito l'accesso fino a quando non attiva l'analisi delle app di Google nel dispositivo Android.
Condizioni del dispositivo Livello massimo di minaccia consentito per il dispositivo Accesso basso/blocca Windows
Condizioni del dispositivo Richiedi blocco del dispositivo Bassa/Avvisa Android Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password.

Nota

Le impostazioni di avvio condizionale di Windows sono etichettate come controlli di integrità.

Protezione dei dati avanzata dell'organizzazione di livello 2

Il livello 2 è la configurazione di protezione dei dati consigliata come standard per i dispositivi in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste raccomandazioni non presuppongono un elevato personale di professionisti della sicurezza altamente qualificati e pertanto devono essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione si espande in base alla configurazione nel livello 1 limitando gli scenari di trasferimento dei dati e richiedendo una versione minima del sistema operativo.

Importante

Le impostazioni dei criteri applicate nel livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1. Tuttavia, il livello 2 elenca solo le impostazioni aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 1. Anche se queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni, applicano un livello di protezione dei dati più adeguato ai rischi per gli utenti con accesso a informazioni sensibili sui dispositivi mobili.

Protezione dei dati

Impostazione Descrizione dell'impostazione Valore Piattaforma Note
Trasferimento dati Eseguire il backup dei dati dell'organizzazione in... Blocca iOS/iPadOS, Android
Trasferimento dati Inviare dati dell'organizzazione ad altre app App gestite da criteri iOS/iPadOS, Android

Con iOS/iPadOS, gli amministratori possono configurare questo valore in modo che sia "App gestite da criteri", "App gestite da criteri con condivisione del sistema operativo" o "App gestite da criteri con filtro Open-In/Share".

Le app gestite da criteri con condivisione del sistema operativo sono disponibili quando anche il dispositivo viene registrato con Intune. Questa impostazione consente il trasferimento dei dati ad altre app gestite da criteri e il trasferimento di file ad altre app gestite da Intune.

Le app gestite da criteri con filtro Open-In/Share filtrano le finestre di dialogo Open-in/Share del sistema operativo per visualizzare solo le app gestite da criteri.

Per altre informazioni, vedere Impostazioni dei criteri di protezione delle app iOS.

Trasferimento dati Inviare o dati a Nessuna destinazione Windows
Trasferimento dati Ricevere dati da Nessuna origine Windows
Trasferimento dati Selezionare le app da escludere Impostazione predefinita/skype; impostazioni dell'app; calshow; itms; itmss; itms-apps; itms-appss; itms-services; iOS/iPadOS
Trasferimento dati Salvare copie dei dati dell'organizzazione Blocca iOS/iPadOS, Android
Trasferimento dati Consentire agli utenti di salvare copie in servizi selezionati OneDrive for Business, SharePoint Online, Raccolta foto iOS/iPadOS, Android
Trasferimento dati Trasferire i dati delle telecomunicazioni a Qualsiasi app dialer iOS/iPadOS, Android
Trasferimento dati Limitare taglia, copia e incolla tra app App gestite da criteri con incolla in iOS/iPadOS, Android
Trasferimento dati Consenti taglia, copia e incolla per Nessuna destinazione o origine Windows
Trasferimento dati Acquisizione dello schermo e Google Assistant Blocca Android
Funzionalità Limitare il trasferimento di contenuto Web con altre app Microsoft Edge iOS/iPadOS, Android
Funzionalità Notifiche dei dati dell'organizzazione Bloccare i dati dell'organizzazione iOS/iPadOS, Android Per un elenco delle app che supportano questa impostazione, vedere Impostazioni dei criteri di protezione delle app iOS e Impostazioni dei criteri di protezione delle app Android.

Avvio condizionale

Impostazione Descrizione dell'impostazione Valore/azione Piattaforma Note
Condizioni dell'app Account disabilitato N/D/Blocca accesso iOS/iPadOS, Android, Windows
Condizioni del dispositivo Versione minima del sistema operativo Formato: Major.Minor.Build
Esempio: 14.8
/Blocca l'accesso
iOS/iPadOS Microsoft consiglia di configurare la versione principale minima di iOS in modo che corrisponda alle versioni iOS supportate per le app Microsoft. Le app Microsoft supportano un approccio N-1 in cui N è la versione principale di iOS corrente. Per i valori delle versioni secondarie e di compilazione, Microsoft consiglia di garantire che i dispositivi siano aggiornati con i rispettivi aggiornamenti della sicurezza. Vedere gli aggiornamenti della sicurezza apple per le raccomandazioni più recenti di Apple
Condizioni del dispositivo Versione minima del sistema operativo Formato: Major.Minor
Esempio: 9.0
/Blocca l'accesso
Android Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Vedere i requisiti consigliati di Android Enterprise per le raccomandazioni più recenti di Android
Condizioni del dispositivo Versione minima del sistema operativo Formato: Compilazione
Esempio: 10.0.22621.2506
/Blocca l'accesso
Windows Microsoft consiglia di configurare la build minima di Windows in modo che corrisponda alle versioni di Windows supportate per le app Microsoft. Attualmente, Microsoft consiglia quanto segue:
Condizioni del dispositivo Versione minima patch Formato: AAAA-MM-GG
Esempio: 2020-01-01
/Blocca l'accesso
Android I dispositivi Android possono ricevere patch di sicurezza mensili, ma la versione dipende dagli OEM e/o dagli operatori. Le organizzazioni devono assicurarsi che i dispositivi Android distribuiti ricevano gli aggiornamenti della sicurezza prima di implementare questa impostazione. Per le versioni più recenti delle patch, vedere i bollettini sulla sicurezza di Android .
Condizioni del dispositivo Tipo di valutazione SafetyNet obbligatorio Chiave supportata dall'hardware Android L'attestazione supportata dall'hardware migliora il controllo del servizio integrità play di Google esistente applicando un nuovo tipo di valutazione denominato Hardware Backed, fornendo un rilevamento radice più affidabile in risposta a nuovi tipi di strumenti e metodi di rooting che non sempre possono essere rilevati in modo affidabile da una soluzione solo software.

Come suggerisce il nome, l'attestazione basata su hardware usa un componente basato su hardware, fornito con dispositivi installati con Android 8.1 e versioni successive. È improbabile che i dispositivi aggiornati da una versione precedente di Android ad Android 8.1 abbiano i componenti basati su hardware necessari per l'attestazione basata su hardware. Anche se questa impostazione deve essere ampiamente supportata a partire dai dispositivi forniti con Android 8.1, Microsoft consiglia vivamente di testare i dispositivi singolarmente prima di abilitare questa impostazione di criteri su larga scala.

Condizioni del dispositivo Richiedi blocco del dispositivo Accesso medio/bloccato Android Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password.
Condizioni del dispositivo Attestazione del dispositivo Samsung Knox Blocca accesso Android Microsoft consiglia di configurare l'impostazione di attestazione del dispositivo Samsung Knox su Blocca l'accesso per garantire che all'account utente venga impedito l'accesso se il dispositivo non soddisfa la verifica dell'integrità del dispositivo basata sull'hardware Knox di Samsung. Questa impostazione verifica tutte le Intune risposte client MAM al servizio Intune sono state inviate da un dispositivo integro.

Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.

Condizioni dell'app Periodo di prova offline 30 / Cancellare i dati (giorni) iOS/iPadOS, Android, Windows

Nota

Le impostazioni di avvio condizionale di Windows sono etichettate come controlli di integrità.

Livello 3 protezione elevata dei dati aziendali

Il livello 3 è la configurazione di protezione dei dati consigliata come standard per le organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate o per utenti e gruppi specifici che saranno assegnati in modo univoco dagli avversari. Tali organizzazioni sono in genere mirate da antagonisti ben finanziati e sofisticati e, di conseguenza, meritano i vincoli e i controlli aggiuntivi descritti. Questa configurazione si espande in base alla configurazione nel livello 2 limitando altri scenari di trasferimento dei dati, aumentando la complessità della configurazione del PIN e aggiungendo il rilevamento delle minacce per dispositivi mobili.

Importante

Le impostazioni dei criteri applicate al livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2, ma elenca solo le impostazioni seguenti che sono state aggiunte o modificate per implementare più controlli e una configurazione più sofisticata rispetto al livello 2. Queste impostazioni dei criteri possono avere un impatto potenzialmente significativo per gli utenti o per le applicazioni, applicando un livello di sicurezza commisurato ai rischi per le organizzazioni di destinazione.

Protezione dei dati

Impostazione Descrizione dell'impostazione Valore Piattaforma Note
Trasferimento dati Trasferire i dati delle telecomunicazioni a Qualsiasi app dialer gestita da criteri Android Gli amministratori possono anche configurare questa impostazione per usare un'app dialer che non supporta i criteri di protezione delle app selezionando Un'app dialer specifica e specificando i valori ID pacchetto app dialer e Nome app dialer .
Trasferimento dati Trasferire i dati delle telecomunicazioni a Un'app dialer specifica iOS/iPadOS
Trasferimento dati Schema URL dell'app Dialer replace_with_dialer_app_url_scheme iOS/iPadOS In iOS/iPadOS questo valore deve essere sostituito con lo schema URL per l'app dialer personalizzata in uso. Se lo schema URL non è noto, contattare lo sviluppatore dell'app per altre informazioni. Per altre informazioni sugli schemi URL, vedere Definizione di uno schema URL personalizzato per l'app.
Trasferimento dei dati Ricevere dati da altre app App gestite da criteri iOS/iPadOS, Android
Trasferimento dei dati Aprire i dati nei documenti dell'organizzazione Blocca iOS/iPadOS, Android
Trasferimento dei dati Consentire agli utenti di aprire i dati dai servizi selezionati OneDrive for Business, SharePoint, Fotocamera, Raccolta foto iOS/iPadOS, Android Per informazioni correlate, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Trasferimento dei dati Tastiere di terze parti Blocca iOS/iPadOS In iOS/iPadOS questo impedisce a tutte le tastiere di terze parti di funzionare all'interno dell'app.
Trasferimento dei dati Tastiere approvate Richiedere Android
Trasferimento dei dati Selezionare le tastiere da approvare aggiungere/rimuovere tastiere Android Con Android, le tastiere devono essere selezionate per poter essere usate in base ai dispositivi Android distribuiti.
Funzionalità Stampare i dati dell'organizzazione Blocca iOS/iPadOS, Android, Windows

Requisiti di accesso

Impostazione Valore Piattaforma
PIN semplice Blocca iOS/iPadOS, Android
Selezionare Lunghezza minima PIN 6 iOS/iPadOS, Android
Reimpostazione del PIN dopo il numero di giorni iOS/iPadOS, Android
Numero di giorni 365 iOS/iPadOS, Android
Biometria di classe 3 (Android 9.0+) Richiedere Android
Eseguire l'override della biometria con PIN dopo gli aggiornamenti biometrici Richiedere Android

Avvio condizionale

Impostazione Descrizione dell'impostazione Valore/azione Piattaforma Note
Condizioni del dispositivo Richiedi blocco del dispositivo Accesso elevato/bloccato Android Questa impostazione garantisce che i dispositivi Android dispongano di una password del dispositivo che soddisfi i requisiti minimi per la password.
Condizioni del dispositivo Livello massimo di minaccia consentito per il dispositivo Accesso protetto/bloccato Windows
Condizioni del dispositivo Dispositivi jailbroken/rooted N/D/Cancella dati iOS/iPadOS, Android
Condizioni del dispositivo Livello massimo di minaccia consentito Accesso protetto/bloccato iOS/iPadOS, Android

I dispositivi non registrazione possono essere controllati per individuare le minacce tramite Mobile Threat Defense. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi non registrazione.

Se il dispositivo è registrato, questa impostazione può essere ignorata a favore della distribuzione di Mobile Threat Defense per i dispositivi registrati. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi registrati.

Condizioni del dispositivo Versione massima del sistema operativo Formato: Major.Minor
Esempio: 11.0
/Blocca l'accesso
Android Microsoft consiglia di configurare la versione principale massima di Android per assicurarsi che non vengano usate versioni beta o non supportate del sistema operativo. Vedere i requisiti consigliati di Android Enterprise per le raccomandazioni più recenti di Android
Condizioni del dispositivo Versione massima del sistema operativo Formato: Major.Minor.Build
Esempio: 15.0
/Blocca l'accesso
iOS/iPadOS Microsoft consiglia di configurare la versione principale massima di iOS/iPadOS per garantire che non vengano usate versioni beta o non supportate del sistema operativo. Vedere gli aggiornamenti della sicurezza apple per le raccomandazioni più recenti di Apple
Condizioni del dispositivo Versione massima del sistema operativo Formato: Major.Minor
Esempio: 22631.
/Blocca l'accesso
Windows Microsoft consiglia di configurare la versione principale massima di Windows per garantire che non vengano usate versioni beta o non supportate del sistema operativo.
Condizioni del dispositivo Attestazione del dispositivo Samsung Knox Cancella i dati Android Microsoft consiglia di configurare l'impostazione di attestazione del dispositivo Samsung Knox per cancellare i dati per assicurarsi che i dati dell'organizzazione vengano rimossi se il dispositivo non soddisfa la verifica dell'integrità del dispositivo basata sull'hardware Knox di Samsung. Questa impostazione verifica tutte le Intune risposte client MAM al servizio Intune sono state inviate da un dispositivo integro.

Questa impostazione si applica a tutti i dispositivi di destinazione. Per applicare questa impostazione solo ai dispositivi Samsung, è possibile usare i filtri di assegnazione "App gestite". Per altre informazioni sui filtri di assegnazione, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.

Condizioni dell'app Periodo di prova offline 30 /Blocca l'accesso (giorni) iOS/iPadOS, Android, Windows

Passaggi successivi

Gli amministratori possono incorporare i livelli di configurazione precedenti all'interno della metodologia di distribuzione ad anello per l'uso di test e produzione importando i modelli JSON del framework di configurazione dei criteri di protezione delle app Intune di esempio con gli script di PowerShell di Intune.

Vedere anche