Come gestire il trasferimento dei dati tra app iOS in Microsoft Intune

Per proteggere i dati aziendali, limitare i trasferimenti di file solo alle app gestite. È possibile gestire le app iOS nei modi seguenti:

  • Proteggere i dati dell'organizzazione per gli account aziendali o dell'istituto di istruzione configurando criteri di protezione delle app per le app. che chiamiamo app gestite da criteri. Vedere App protette di Microsoft Intune.

  • Distribuire e gestire le app tramite la gestione dei dispositivi iOS, che richiede la registrazione dei dispositivi in una soluzione MDM (Mobile Device Management). Le app distribuite possono essere app gestite da criteri o altre app gestite da iOS.

La funzionalità di gestione Open-in per i dispositivi iOS registrati può limitare i trasferimenti di file tra app gestite da iOS. Impostare le restrizioni di gestione open-in usando un criterio di protezione delle app che imposta Invia dati dell'organizzazione ad altre app alle app gestite da criteri con il valore di filtro Open-In/Share e quindi distribuire i criteri usando Intune. Quando un utente installa l'app distribuita, le restrizioni impostate vengono applicate in base ai criteri assegnati.

Usare la gestione open-in per proteggere i dati e le app iOS

Usare i criteri di protezione delle app con la funzionalità di gestione open-in di iOS per proteggere i dati aziendali nei modi seguenti:

  • Dispositivi non gestiti da alcuna soluzione MDM: È possibile impostare le impostazioni dei criteri di protezione delle app per controllare la condivisione dei dati con altre applicazioni tramite le estensioniOpen-in o Share. A tale scopo, configurare l'impostazione Invia dati dell'organizzazione ad altre app in App gestite da criteri con il valore di filtro Open-In/Share . Il comportamento Open-in/Sharenell'app gestita da criteri presenta solo altre app gestite da criteri come opzioni per la condivisione. Per informazioni correlate, vedere Criteri di protezione delle app per app iOS/iPadOS e Android, Trasferimento dati ed estensione condivisione iOS.

  • Dispositivi gestiti da soluzioni MDM: per i dispositivi registrati in Soluzioni MDM di Intune o di terze parti, la condivisione dei dati tra app con criteri di protezione delle app e altre app iOS gestite distribuite tramite MDM è controllata dai criteri app di Intune e dalla funzionalità di gestione open-in di iOS. Per assicurarsi che le app distribuite con una soluzione MDM siano associate anche ai criteri di protezione delle app di Intune, configurare l'impostazione UPN utente come descritto nella sezione seguente Configurare l'impostazione UPN utente. Per specificare come consentire il trasferimento dei dati ad altre app gestite da criteri e app gestite da iOS, configurare l'impostazione Invia dati dell'organizzazione ad altre app in App gestite da criteri con condivisione del sistema operativo. Per specificare come consentire a un'app di ricevere dati da altre app, abilitare Ricevi dati da altre app e quindi scegliere il livello preferito di ricezione dei dati. Per altre informazioni sulla ricezione e la condivisione dei dati dell'app, vedere Impostazioni di rilocazione dei dati.

Configurare l'impostazione UPN utente per Microsoft Intune o EMM di terze parti

La configurazione dell'impostazione UPN utente è necessaria per i dispositivi gestiti da Intune o da una soluzione EMM di terze parti per identificare l'account utente registrato per l'app gestita dai criteri di invio durante il trasferimento dei dati a un'app gestita per iOS. La configurazione UPN funziona con i criteri di protezione delle app distribuiti da Intune. La procedura seguente è un flusso generale su come configurare l'impostazione UPN e l'esperienza utente risultante:

  1. Nell'interfaccia di amministrazione di Microsoft Intunecreare e assegnare criteri di protezione delle app per iOS/iPadOS. Configurare le impostazioni dei criteri in base ai requisiti aziendali e selezionare le app iOS che devono avere questo criterio.

  2. Distribuire le app e il profilo di posta elettronica che si vuole gestire tramite Intune o la soluzione MDM di terze parti usando i passaggi generalizzati seguenti. Questa esperienza è illustrata anche nell'esempio 1.

  3. Distribuire l'app con le impostazioni di configurazione dell'app seguenti nel dispositivo gestito:

    key = IntuneMAMUPN, value = username@company.com

    Esempio: ['IntuneMAMUPN', 'janellecraig@contoso.com']

    Nota

    In Intune il tipo di registrazione dei criteri di Configurazione app deve essere impostato su Dispositivi gestiti. Inoltre, l'app deve essere installata dal portale aziendale di Intune (se impostata come disponibile) o pushata come richiesto nel dispositivo.

    Nota

    Distribuire le impostazioni di configurazione dell'app IntuneMAMUPN nell'app gestita di destinazione che invia i dati. L'aggiunta della chiave di configurazione dell'app all'app ricevente è facoltativa.

    Nota

    Attualmente, non è disponibile alcun supporto per la registrazione con un utente diverso in un'app se nello stesso dispositivo è presente un account registrato MDM.

  4. Distribuire i criteri di gestione Open-in usando Intune o il provider MDM di terze parti nei dispositivi registrati.

Esempio 1: Esperienza di amministratore nella console MDM di Intune o di terze parti

  1. Passare all'interfaccia di amministrazione di Microsoft Intune o al provider MDM di terze parti. Passare alla sezione dell'interfaccia di amministrazione in cui si distribuiscono le impostazioni di configurazione dell'applicazione nei dispositivi iOS registrati.

  2. Nella sezione Configurazione applicazione immettere l'impostazione seguente per ogni app gestita da criteri che trasferirà i dati nelle app gestite da iOS:

    key = IntuneMAMUPN, value = username@company.com

    La sintassi esatta della coppia chiave/valore può essere diversa in base al provider MDM di terze parti. La tabella seguente mostra esempi di provider MDM di terze parti e i valori esatti da immettere per la coppia chiave/valore.

    Provider MDM di terze parti Chiave di configurazione Tipo valore Valore di configurazione
    Microsoft Intune IntuneMAMUPN Stringa {{userprincipalname}}
    Microsoft Intune IntuneMAMOID Stringa {{idutente}}
    VMware AirWatch IntuneMAMUPN Stringa {UserPrincipalName}
    MobileIron IntuneMAMUPN Stringa ${userUPN} o ${userEmailAddress}
    Citrix Endpoint Management IntuneMAMUPN Stringa ${user.userprincipalname}
    ManageEngine Mobile Device Manager IntuneMAMUPN Stringa %upn%

Nota

Per Outlook per iOS/iPadOS, se si distribuiscono criteri di configurazione delle app per dispositivi gestiti con l'opzione "Uso della finestra di progettazione configurazione" e si abilita Consenti solo account aziendali o dell'istituto di istruzione, la chiave di configurazione IntuneMAMUPN viene configurata automaticamente dietro le quinte per i criteri. Altri dettagli sono disponibili nella sezione Domande frequenti in Nuova esperienza dei criteri di configurazione delle app di Outlook per iOS e Android - Configurazione generale delle app.

Esempio 2: Esperienza utente finale

Condivisione da un'app gestita da criteri ad altre applicazioni con condivisione del sistema operativo

  1. Un utente apre l'app Microsoft OneDrive in un dispositivo iOS registrato e accede al proprio account aziendale. L'account immesso dall'utente deve corrispondere all'UPN dell'account specificato nelle impostazioni di configurazione dell'app per l'app Microsoft OneDrive.

  2. Dopo l'accesso, le impostazioni dell'APP configurate dall'amministratore si applicano all'account utente in Microsoft OneDrive. Ciò include la configurazione dell'impostazione Invia dati dell'organizzazione ad altre app per le app gestite da criteri con il valore di condivisione del sistema operativo .

  3. L'utente visualizza in anteprima un file di lavoro e tenta di condividerlo tramite l'accesso aperto all'app gestita per iOS.

  4. Il trasferimento dei dati ha esito positivo e i dati sono ora protetti dalla gestione open-in nell'app gestita per iOS. L'APP di Intune non si applica alle applicazioni che non sono app gestite da criteri.

Condivisione da un'app gestita di iOS a un'app gestita da criteri con i dati dell'organizzazione in ingresso

  1. Un utente apre posta elettronica nativa in un dispositivo iOS registrato con un profilo di posta elettronica gestito.

  2. L'utente apre un allegato del documento di lavoro da Posta nativa a Microsoft Word.

  3. All'avvio dell'app Word, si verifica una delle due esperienze seguenti:

    1. I dati sono protetti dall'APP di Intune quando:
      • L'utente ha eseguito l'accesso al proprio account aziendale che corrisponde all'UPN dell'account specificato nelle impostazioni di configurazione dell'app per l'app Microsoft Word.
      • Le impostazioni dell'APP configurate dall'amministratore si applicano all'account utente in Microsoft Word. Ciò include la configurazione dell'impostazione Ricezione dati da altre app sul valore Tutte le app con dati dell'organizzazione in ingresso .
      • Il trasferimento dei dati ha esito positivo e il documento viene contrassegnato con l'identità di lavoro nell'app. L'APP di Intune protegge le azioni utente per il documento.
    2. I dati non sono protetti dall'APP di Intune quando:
      • L'utente non ha eseguito l'accesso al proprio account aziendale.
      • Le impostazioni configurate dall'amministratore non vengono applicate a Microsoft Word perché l'utente non ha eseguito l'accesso.
      • Il trasferimento dei dati ha esito positivo e il documento non è contrassegnato con l'identità di lavoro nell'app. L'APP di Intune non protegge le azioni utente per il documento perché non è attivo.

    Nota

    L'utente può aggiungere e usare i propri account personali con Word. I criteri di protezione delle app non si applicano quando l'utente usa Word all'esterno di un contesto di lavoro.

Convalidare l'impostazione UPN dell'utente per EMM di terze parti

Dopo aver configurato l'impostazione UPN utente, convalidare la capacità dell'app iOS di ricevere e rispettare i criteri di protezione delle app di Intune.

Ad esempio, l'impostazione del criterio Richiedi PIN dell'app è facile da testare. Quando l'impostazione dei criteri è impostata su Richiedi, l'utente dovrebbe visualizzare una richiesta di impostazione o immissione di un PIN prima di poter accedere ai dati aziendali.

Prima di tutto, creare e assegnare un criterio di protezione delle app all'app iOS. Per altre informazioni su come testare i criteri di protezione delle app, vedere Convalidare i criteri di protezione delle app.

Vedere anche

Che cos'è il criterio di protezione delle app di Intune