Aggiungere impostazioni di posta elettronica per i dispositivi iOS e iPadOS in Microsoft Intune

In Microsoft Intune è possibile creare e configurare la posta elettronica per connettersi a un server di posta elettronica di Exchange, scegliere il modo in cui gli utenti eseguono l'autenticazione, usano S/MIME per la crittografia e altro ancora. Il profilo di posta elettronica usa l'app di posta elettronica nativa o predefinita nel dispositivo e consente agli utenti di connettersi alla posta elettronica dell'organizzazione.

Questa funzionalità si applica a:

  • iOS/iPadOS

Questo articolo descrive tutte le impostazioni di posta elettronica disponibili per i dispositivi che eseguono iOS/iPadOS. È possibile creare un profilo di configurazione del dispositivo per eseguire il push o distribuire queste impostazioni di posta elettronica nei dispositivi iOS/iPadOS.

Prima di iniziare

Impostazioni dell'account Exchange ActiveSync

  • Server di posta elettronica: immettere il nome host del server Exchange.

  • Nome account: immettere il nome visualizzato per l'account di posta elettronica. Questo nome viene mostrato agli utenti nei dispositivi.

  • Attributo nome utente dall'ID Microsoft Entra: questo nome è l'attributo ottenuto da Intune da Microsoft Entra ID. Intune genera dinamicamente il nome utente usato da questo profilo. Le opzioni disponibili sono:

    • Nome entità utente: ottiene il nome, ad user1 esempio o user1@contoso.com
    • Indirizzo SMTP primario: ottiene il nome SMTP (Simple Mail Transfer Protocol) in formato indirizzo di posta elettronica, ad esempio user1@contoso.com
    • Nome account sAM: richiede il dominio, ad esempio domain\user1. Immettere anche:
      • Origine del nome di dominio utente: selezionare Microsoft Entra ID (ID Microsoft Entra ) o Custom (Personalizzato):
        • ID Microsoft Entra: ottenere gli attributi da Microsoft Entra ID. Immettere anche:

          • Attributo del nome di dominio utente dall'ID Microsoft Entra: scegliere di ottenere l'attributo Nome dominio completo (contoso.com) o Nome NetBIOS (contoso) dell'utente.
        • Personalizzato: ottenere gli attributi da un nome di dominio personalizzato. Immettere anche:

          • Nome di dominio personalizzato da usare: immettere un valore usato da Intune per il nome di dominio, ad contoso.com esempio o contoso.
  • Attributo indirizzo di posta elettronica dall'ID Microsoft Entra: scegliere come viene generato l'indirizzo di posta elettronica per l'utente. Assicurarsi che gli utenti abbiano indirizzi di posta elettronica corrispondenti all'attributo selezionato. Le opzioni disponibili sono:

    • Nome entità utente: usare il nome dell'entità completa come indirizzo di posta elettronica, ad user1@contoso.com esempio o user1.
    • Indirizzo SMTP primario: usare l'indirizzo SMTP primario che accede a Exchange, ad esempio user1@contoso.com.
  • Metodo di autenticazione: scegliere la modalità di autenticazione degli utenti al server di posta elettronica. Le opzioni disponibili sono:

    • Certificato: selezionare un profilo certificato SCEP o PKCS client creato in precedenza per autenticare la connessione di Exchange. Questa opzione offre l'esperienza più sicura e migliore per gli utenti.
    • Nome utente e password: agli utenti viene richiesto di immettere il nome utente e la password.
    • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

    Nota

    L'autenticazione a più fattori di Azure non è supportata.

  • SSL: Abilita usa la comunicazione SSL (Secure Sockets Layer) durante l'invio di messaggi di posta elettronica, la ricezione di messaggi di posta elettronica e la comunicazione con il server Exchange. Disabilita usa la comunicazione SSL (Secure Sockets Layer).

  • OAuth: Abilita usa la comunicazione OAuth (Open Authorization) durante l'invio di messaggi di posta elettronica, la ricezione di messaggi di posta elettronica e la comunicazione con Exchange. Se il server OAuth usa l'autenticazione del certificato, scegliere Certificato come metodo di autenticazione e includere il certificato con il profilo. In caso contrario, scegliere Nome utente e password come metodo di autenticazione. Quando si usa OAuth, assicurarsi di:

    • Verificare che la soluzione di posta elettronica supporti OAuth prima di assegnare questo profilo agli utenti. Microsoft 365 Exchange Online supporta OAuth. Exchange locale e altre soluzioni partner o non Microsoft potrebbero non supportare OAuth. Exchange locale può essere configurato per l'autenticazione moderna. Per altre informazioni, vedere Panoramica dell'autenticazione moderna ibrida e prerequisiti per i server Skype for Business ed Exchange locali.

      Se il profilo di posta elettronica usa Oauth e il servizio di posta elettronica non lo supporta, l'opzione Re-Enter password viene interrotta. Ad esempio, non accade nulla quando l'utente seleziona Re-Enter password nelle impostazioni del dispositivo Apple.

    • Quando OAuth è abilitato, gli utenti finali hanno un'esperienza di accesso alla posta elettronica "Autenticazione moderna" diversa che supporta l'autenticazione a più fattori (MFA).

    • Alcune organizzazioni disabilitano la capacità dell'utente finale di eseguire l'accesso alle applicazioni self-service. In questo scenario, l'accesso all'autenticazione moderna può non riuscire fino a quando un amministratore non crea l'app aziendale "account iOS" e concede agli utenti l'accesso all'app nell'ID Microsoft Entra.

      L'azione predefinita consiste nell'aggiungere un'applicazione usando la funzionalità Aggiungi app del pannello di accesso alle applicazioni senza approvazione aziendale. Per altre informazioni, vedere Assegnare gli utenti alle applicazioni.

    Nota

    Quando si abilita OAuth, si verifica quanto segue:

    1. Ai dispositivi già destinati viene rilasciato un nuovo profilo.
    2. Agli utenti finali viene richiesto di immettere di nuovo le credenziali.

Configurazione del profilo di Exchange ActiveSync

La configurazione di queste impostazioni consente di distribuire un nuovo profilo nel dispositivo, anche quando viene aggiornato un profilo di posta elettronica esistente per includere queste impostazioni. Agli utenti viene richiesto di immettere la password dell'account Exchange ActiveSync. Queste impostazioni diventano effettive quando viene immessa la password.

  • Dati di Exchange da sincronizzare: quando si usa Exchange ActiveSync, scegliere i servizi di Exchange sincronizzati nel dispositivo: Calendario, Contatti, Promemoria, Note e Posta elettronica. Le opzioni disponibili sono:

    • Tutti i dati (impostazione predefinita): la sincronizzazione è abilitata per tutti i servizi.
    • Solo posta elettronica: la sincronizzazione è abilitata solo per la posta elettronica. La sincronizzazione è disabilitata per gli altri servizi.
    • Solo calendario: la sincronizzazione è abilitata solo per il calendario. La sincronizzazione è disabilitata per gli altri servizi.
    • Solo calendario e contatti: la sincronizzazione è abilitata solo per calendario e contatti. La sincronizzazione è disabilitata per gli altri servizi.
    • Solo contatti: la sincronizzazione è abilitata solo per i contatti. La sincronizzazione è disabilitata per gli altri servizi.

    Questa funzionalità si applica a:

    • iOS 13.0 e versioni successive
    • iPadOS 13.0 e versioni successive
  • Consenti agli utenti di modificare le impostazioni di sincronizzazione: scegliere se gli utenti possono modificare le impostazioni di Exchange ActiveSync per i servizi exchange nel dispositivo: Calendario, Contatti, Promemoria, Note e Posta elettronica. Le opzioni disponibili sono:

    • (impostazione predefinita): gli utenti possono modificare il comportamento di sincronizzazione di tutti i servizi. La scelta di consente di apportare modifiche a tutti i servizi.
    • No: gli utenti non possono modificare le impostazioni di sincronizzazione di tutti i servizi. La scelta di No blocca le modifiche a tutti i servizi.

    Consiglio

    Se i dati di Exchange sono stati configurati per la sincronizzazione per sincronizzare solo alcuni servizi, è consigliabile selezionare No per questa impostazione. La scelta di No impedisce agli utenti di modificare il servizio Exchange sincronizzato.

    Questa funzionalità si applica a:

    • iOS 13.0 e versioni successive
    • iPadOS 13.0 e versioni successive

Impostazioni di posta elettronica di Exchange ActiveSync

  • S/MIME: S/MIME usa certificati di posta elettronica che offrono maggiore sicurezza alle comunicazioni di posta elettronica firmando, crittografando e decrittografando. Quando si usa S/MIME con un messaggio di posta elettronica, si conferma l'autenticità del mittente e l'integrità e la riservatezza del messaggio.

    Le opzioni disponibili sono:

    • Disabilita S/MIME (impostazione predefinita): non usa un certificato di posta elettronica S/MIME per firmare, crittografare o decrittografare i messaggi di posta elettronica.

    • Abilita S/MIME: consente agli utenti di firmare e/o crittografare la posta elettronica nell'applicazione di posta elettronica nativa iOS/iPadOS. Immettere anche:

      • Firma S/MIME abilitata: disabilita (impostazione predefinita) non consente agli utenti di firmare digitalmente il messaggio. Abilita consente agli utenti di firmare digitalmente la posta elettronica in uscita per l'account immesso. La firma consente agli utenti che ricevono messaggi di essere certi che il messaggio provenga dal mittente specifico e non da qualcuno che finge di essere il mittente.

        • Consenti all'utente di modificare l'impostazione: Abilita consente agli utenti di modificare le opzioni di firma. Disabilita (impostazione predefinita) impedisce agli utenti di modificare la firma e impone agli utenti di usare la firma configurata.

        • Tipo di certificato di firma: opzioni:

          • Non configurato: Intune non aggiorna o modifica questa impostazione.
          • Nessuno: gli amministratori non forzano un certificato specifico. Selezionare questa opzione in modo che gli utenti possano scegliere il proprio certificato.
          • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.
          • Certificati: selezionare un profilo certificato SCEP o PKCS esistente che firma i messaggi di posta elettronica.
        • Consenti all'utente di modificare l'impostazione: Abilita consente agli utenti di modificare il certificato di firma. Disabilita (impostazione predefinita) impedisce agli utenti di modificare il certificato di firma e impone agli utenti di usare il certificato configurato.

          Questa funzionalità si applica a:

          • iOS 12 e versioni successive
          • iPadOS 12 e versioni successive
      • Crittografa per impostazione predefinita: abilita crittografa tutti i messaggi come comportamento predefinito. Disabilita (impostazione predefinita) non crittografa tutti i messaggi come comportamento predefinito.

        • Consenti all'utente di modificare l'impostazione: Abilita consente agli utenti di modificare il comportamento di crittografia predefinito. Disabilita impedisce agli utenti di modificare il comportamento predefinito della crittografia e impone agli utenti di usare la crittografia configurata.

          Questa funzionalità si applica a:

          • iOS 12 e versioni successive
          • iPadOS 12 e versioni successive
      • Forza crittografia per messaggio: la crittografia per messaggio consente agli utenti di scegliere quali messaggi di posta elettronica vengono crittografati prima di essere inviati.

        Abilita mostra l'opzione di crittografia per messaggio durante la creazione di un nuovo messaggio di posta elettronica. Gli utenti possono quindi scegliere di acconsentire esplicitamente o rifiutare esplicitamente la crittografia per messaggio. Se è abilitata anche l'impostazione Crittografa per impostazione predefinita , l'abilitazione della crittografia per messaggio consente agli utenti di rifiutare esplicitamente la crittografia per ogni messaggio.

        Disabilita (impostazione predefinita) impedisce la visualizzazione dell'opzione di crittografia per messaggio. Se anche l'impostazione Crittografa per impostazione predefinita è disabilitata, l'abilitazione della crittografia per messaggio consente agli utenti di acconsentire esplicitamente alla crittografia per ogni messaggio.

        • Tipo di certificato di crittografia: opzioni:

          • Non configurato: Intune non aggiorna o modifica questa impostazione.
          • Nessuno: gli amministratori non forzano un certificato specifico. Selezionare questa opzione in modo che gli utenti possano scegliere il proprio certificato.
          • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.
          • Certificati: selezionare un profilo certificato SCEP o PKCS esistente che firma i messaggi di posta elettronica.
        • Consenti all'utente di modificare l'impostazione: consente agli utenti di modificare il certificato di crittografia. Disabilita (impostazione predefinita) impedisce agli utenti di modificare il certificato di crittografia e impone agli utenti di usare il certificato configurato.

          Questa funzionalità si applica a:

          • iOS 12 e versioni successive
          • iPadOS 12 e versioni successive
  • Quantità di posta elettronica da sincronizzare: scegliere il numero di giorni di posta elettronica da sincronizzare. In alternativa, selezionare Illimitato per sincronizzare tutti i messaggi di posta elettronica disponibili.

  • Consenti lo spostamento dei messaggi in altri account di posta elettronica: abilita (impostazione predefinita) consente agli utenti di spostare i messaggi di posta elettronica tra account diversi configurati dagli utenti nei dispositivi. Disabilita impedisce agli utenti di spostare i messaggi di posta elettronica.

  • Consenti l'invio di messaggi di posta elettronica da applicazioni di terze parti: Abilita (impostazione predefinita) consente agli utenti di selezionare questo profilo come account predefinito per l'invio di posta elettronica. Consente alle applicazioni non Microsoft e partner di aprire la posta elettronica nell'app di posta elettronica nativa, ad esempio allegare file alla posta elettronica. Disabilita impedisce questa funzionalità.

  • Sincronizza gli indirizzi di posta elettronica usati di recente: Abilita (impostazione predefinita) consente agli utenti di sincronizzare l'elenco di indirizzi di posta elettronica usati di recente nel dispositivo con il server. Disabilita impedisce questa funzionalità.

  • Profilo VPN per vpn per account: a partire da iOS/iPadOS 14, il traffico di posta elettronica per l'app Mail nativa può essere instradato tramite una VPN in base all'account usato dall'utente. Se impostato su Nessuno, Intune non abilita la VPN per account per questo profilo di posta elettronica.

    Le connessioni VPN per app create vengono visualizzate in questo elenco. Se si seleziona un profilo VPN dall'elenco, qualsiasi messaggio di posta elettronica inviato a e da questo account nell'app Mail usa il tunnel VPN. La connessione VPN per app viene attivata automaticamente quando gli utenti usano l'account dell'organizzazione nell'app Mail.

    Questa funzionalità si applica a:

    • iOS 14 e versioni successive
    • iPadOS 14 e versioni successive