• Articolo

Proteggere i dati con Cancellazione remota, Blocco remoto o Reimpostazione passcode usando Configuration Manager

 

Si applica a: System Center 2012 SP1, Microsoft Intune, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager include funzionalità per la cancellazione remota, la cancellazione selettiva, il blocco remoto e la reimpostazione del passcode. I dispositivi mobili possono memorizzare i dati aziendali riservati e consentire l'accesso a numerose risorse aziendali. Per proteggere i dispositivi è possibile eseguire:

A partire da System Center 2012 R2 Configuration Manager:

  • Una cancellazione completa per ripristinare le impostazioni di fabbrica del dispositivo.

  • Una cancellazione selettiva per rimuovere solo i dati aziendali.

A partire da System Center 2012 Configuration Manager SP2:

  • Un blocco remoto per proteggere un dispositivo che potrebbe andare perso.

  • Reimpostare il passcode del dispositivo.

Questo argomento include:

  • Cancellazione

  • Reimpostazione del passcode

  • Blocco remoto

I dispositivi mobili che vengono gestiti mediante Configuration Manager R2 con Microsoft Intune possono cancellare o ritirare i dispositivi gestiti.

Cancellazione

È possibile eseguire un comando di cancellazione del dispositivo se è necessario proteggere un dispositivo perso o se si ritira un dispositivo.

Impartire un comando di cancellazione completa di un dispositivo per ripristinarne le impostazioni di fabbrica. Questo comando rimuove i dati e le impostazioni aziendali e dell'utente. È possibile eseguire una cancellazione completa nei dispositivi Windows Phone, iOS e Android.

Eseguire una cancellazione selettiva per rimuovere solo i dati aziendali presenti sul dispositivo. Nella tabella seguente sono descritti i dati che vengono rimossi in base al tipo di piattaforma e l'effetto sui dati che rimangono sul dispositivo dopo la cancellazione selettiva.

Contenuti rimossi quando si disattiva un dispositivo

Windows 8,1 e Windows RT 8.1 (le informazioni potrebbero essere in lingua inglese)

Windows RT

Windows Phone 8 e Windows Phone 8.1

iOS

Android

Samsung KNOX

App aziendali e dati associati installati usando Configuration Manager e Intune.

Le app vengono disinstallate e le chiavi di trasferimento locale vengono rimosse. Alle app che usano la cancellazione selettiva di Windows verrà revocata la chiave di crittografia e i dati non saranno più accessibili.

Le chiavi di trasferimento locale vengono rimosse ma le applicazioni rimangono installate.

Le app vengono disinstallate e vengono rimossi i dati dell'app aziendale.

Le app vengono disinstallate e vengono rimossi i dati dell'app aziendale.

Le app e i dati rimangono installati.

Le app vengono disinstallate

Profili VPN e Wi-Fi

Rimosso.

Non applicabile.

Rimosso per Windows Phone 8.1.

Rimosso.

Rimosso.

Rimosso.

Certificati

Rimossi e revocati.

Non applicabile.

Rimosso per Windows Phone 8.1.

Rimossi e revocati.

Revocati.

Revocati.

Impostazioni

Requisiti rimossi.

Requisiti rimossi.

Vengono rimosse le impostazioni seguenti (solo Windows Phone 8.1):

  • Richiedi una password per sbloccare i dispositivi mobili

  • Consenti password semplici

  • Lunghezza minima password

  • Tipo di password richiesto

  • Scadenza password (giorni)

  • Ricorda cronologia password

  • Numero di errori di accesso ripetuti consentiti prima della cancellazione del dispositivo

  • Minuti di inattività prima che venga richiesta la password

  • Tipo di password richiesto - numero minimo di set di caratteri

  • Consenti dispositivo foto/video

  • Richiedi crittografia sui dispositivi mobili

  • Consenti archivi rimovibili

  • Consenti browser Web

  • Consenti archivio applicazioni

  • Consenti acquisizione schermo

  • Consenti georilevazione

  • Consenti account Microsoft

  • Consenti copia e incolla

  • Consenti tethering Wi-Fi

  • Consenti connessione automatica agli hotspot Wi-Fi gratuiti

  • Consenti creazione report degli hotspot Wi-Fi

  • Consenti ripristino impostazioni predefinite

  • Consenti Bluetooth

  • Consenti NFC

  • Consenti Wi-Fi

Rimosso, tranne per:

  • Consenti roaming vocale

  • Consenti dati in roaming

  • Consenti sincronizzazione automatica durante il roaming

Requisiti rimossi.

Requisiti rimossi.

Agente di gestione

Non applicabile. L'agente di gestione è incorporato.

Non applicabile. L'agente di gestione è incorporato.

Non applicabile. L'agente di gestione è incorporato.

Il profilo di gestione viene rimosso.

Il privilegio di amministratore del dispositivo viene revocato.

Il privilegio di amministratore del dispositivo viene revocato.

Profili di posta elettronica

Rimuove le applicazioni di posta elettronica abilitate per EFS, tra cui i messaggi e gli allegati dell'applicazione Windows Mail.

Non applicabile.

Rimosso (solo Windows Phone 8.1)

Per i profili di posta elettronica di cui viene effettuato il provisioning da Microsoft Intune, vengono rimossi l'account e l'indirizzo di posta elettronica.

Non applicabile.

Per i profili di posta elettronica di cui viene effettuato il provisioning da Microsoft Intune, vengono rimossi l'account e l'indirizzo di posta elettronica.

Per avviare una cancellazione remota dalla console di Configuration Manager

  1. Nella console di Configuration Manager fare clic su Asset e conformità e selezionare Dispositivi. In alternativa, è possibile fare clic su Raccolte dispositivi e selezionare una raccolta.

  2. Selezionare il dispositivo che si desidera ritirare/cancellare.

  3. Fare clic su Azioni dispositivo remoto nel gruppo di dispositivi e quindi selezionare Disattiva/Cancella.

Cancellazione dei contenuti abilitati EFS

La cancellazione selettiva dei contenuti crittografati con EFS è supportata da Windows 8.1 e Windows RT 8.1. Quanto descritto di seguito si applica alla cancellazione selettiva di contenuti abilitati EFS:

  • Solo le app e i dati protetti da EFS che usano lo stesso dominio Internet come account Intune vengono cancellati in modo selettivo. Per altre informazioni, vedere Cancellazione selettiva di Windows per la gestione di dati del dispositivo.

  • In caso di modifiche al dominio associato con EFS, potranno essere necessarie fino a 48 ore prima che le app e i dati che usano il nuovo dominio siano cancellati in modo selettivo.

  • Ogni dominio registrato con Intune corrisponde al dominio che verrà cancellato.

I dati e le app che sono attualmente supportati dalla cancellazione selettiva EFS sono:

Procedure consigliate per la cancellazione selettiva

  • Per cancellare correttamente i messaggi di posta elettronica, effettuare il provisioning dei profili di posta elettronica ai dispositivi iOS e Windows Phone 8.1.

  • Per cancellare correttamente le app, assicurarsi che le app vengano distribuite con la gestione delle app per dispositivi mobili. Per altre informazioni, vedere Come creare e distribuire applicazioni per dispositivi mobili in Configuration Manager 

  • Per iOS, configurare l'impostazione "Consenti backup in iCloud" su "Non consentire" in modo che gli utenti non possano ripristinare il contenuto con iCloud.

  • Se un account è stato disattivato, dopo un anno l'account verrà ritirato da Intune e verrà eseguita una cancellazione selettiva.

Reimpostazione del passcode

Se un utente dimentica il passcode, è possibile aiutarlo rimuovendo il passcode da un dispositivo oppure forzando l'uso di un nuovo passcode temporaneo su un dispositivo. Nella tabella seguente è illustrato il funzionamento della reimpostazione del passcode su diverse piattaforme per dispositivi mobili.

Piattaforma

Reimpostazione del passcode

iOS

Funzionalità supportata per cancellare il passcode da un dispositivo. Non implica la creazione di un nuovo passcode temporaneo.

Android

Funzionalità supportata; implica la creazione di un passcode temporaneo.

Windows Phone 8 e Windows Phone 8.1

Supportato

Windows RT 8.1 e Windows RT (le informazioni potrebbero essere in lingua inglese)

Non supportato

Windows 8.1

Non supportato

Per reimpostare il passcode su un dispositivo mobile in modalità remota in Configuration Manager

  1. Nella console di Configuration Manager fare clic su Asset e conformità e selezionare Dispositivi. In alternativa, è possibile fare clic su Raccolte dispositivi e selezionare una raccolta.

  2. Selezionare il dispositivo o i dispositivi per cui si desidera reimpostare il passcode.

  3. Fare clic su Azioni dispositivo remoto nel gruppo di dispositivi e quindi selezionare Reimpostazione passcode.

Per mostrare lo stato della reimpostazione del passcode

  1. Nella console di Configuration Manager fare clic su Asset e conformità e selezionare Dispositivi. In alternativa, è possibile fare clic su Raccolte dispositivi e selezionare una raccolta.

  2. Selezionare il dispositivo o i dispositivi per cui si desidera mostrare lo stato della reimpostazione del passcode.

  3. Fare clic su Azioni dispositivo remoto nel gruppo di dispositivi, quindi selezionare Mostra stato passcode.

Blocco remoto

Se un utente perde il dispositivo, è possibile bloccare il dispositivo in modalità remota. Nella tabella seguente è illustrato il funzionamento del blocco remoto su diverse piattaforme per dispositivi mobili.

Piattaforma

Blocco remoto

iOS

Supportato

Android

Supportato

Windows Phone 8 e Windows Phone 8.1

Supportato

Windows RT 8.1 e Windows RT (le informazioni potrebbero essere in lingua inglese)

Funzionalità supportata se l'utente corrente del dispositivo è lo stesso utente che ha registrato il dispositivo.

Windows 8.1

Funzionalità supportata se l'utente corrente del dispositivo è lo stesso utente che ha registrato il dispositivo.

Per bloccare un dispositivo mobile in modalità remota tramite la console di Configuration Manager

  1. Nella console di Configuration Manager fare clic su Asset e conformità e selezionare Dispositivi. In alternativa, è possibile fare clic su Raccolte dispositivi e selezionare una raccolta.

  2. Selezionare il dispositivo o i dispositivi da bloccare.

  3. Fare clic su Azioni dispositivo remoto nel gruppo di dispositivi e quindi selezionare Blocco remoto.

Per mostrare lo stato del blocco remoto

  1. Nella console di Configuration Manager fare clic su Asset e conformità e selezionare Dispositivi. In alternativa, è possibile fare clic su Raccolte dispositivi e selezionare una raccolta.

  2. Selezionare il dispositivo per cui si desidera mostrare lo stato del blocco remoto.

  3. Fare clic su Azioni dispositivo remoto nel gruppo di dispositivi e quindi selezionare Mostra stato blocco remoto.