L'integrazione di Workspace ONE UEM con i criteri di protezione dell'app Microsoft Intune® rimuove la gestione dei criteri di prevenzione della perdita dati (DLP) per i criteri di protezione dell'app Microsoft Intune in due console.

È possibile configurare i criteri DLP dell'applicazione per la protezione dell'app Microsoft Intune in Workspace ONE UEM. Dopo aver integrato i due sistemi, è possibile gestire i criteri dell'applicazione DLP in Workspace ONE UEM Console in modo da mantenere aggiornata l'integrazione.

La maggior parte dei Criteri di protezione app Microsoft Intune è disponibile per le piattaforme Android e iOS.

Gestire i criteri in Workspace ONE UEM Console per mantenere la sincronizzazione

Dopo aver integrato i due sistemi, è possibile gestire i criteri dell'applicazione DLP in Workspace ONE UEM Console in modo da mantenere aggiornata l'integrazione. Workspace ONE UEM non riceve le modifiche apportate in altre aree dell'integrazione. I criteri dell'applicazione DLP o le assegnazioni dei gruppi di sicurezza potrebbero non essere sincronizzati.

Esperienza utente su Android e iOS

La prima volta che gli utenti accedono alle app dopo la corretta integrazione con Intune, le piattaforme iOS e Android presentano esperienze utente diverse ma simili.

Esperienza su iOS

Se l'utente esegue l'autenticazione nelle applicazioni Microsoft Office 365 da un dispositivo iOS e il profilo viene inviato correttamente, viene visualizzato un pop-up per segnalare che l'applicazione è gestita dall'organizzazione. La configurazione non richiede ulteriori passaggi.

Esperienza su Android

Per gestire i dispositivi Android e Android Enterprise, gli utenti devono installare l'applicazione dal portale aziendale di Intune. Tale applicazione opera come broker per Intune App SDK, esattamente come Workspace ONE Intelligent Hub opera come broker per le applicazioni di Workspace ONE UEM.

Esperienza comune a iOS e Android

Per le piattaforme, è necessario impostare Intune come autorità MDM sul dispositivo. Tale impostazione può essere configurata sul dispositivo in Tenant Azure > Tutte le risorse > Intune. Abilitare Intune MDM Authority dalla notifica Guida introduttiva.

Operazioni da eseguire in Azure per integrare Microsoft Intune

Per l'integrazione, creare un account utente e assegnare a tale utente le licenze Microsoft elencate.

Negli ambienti in cui l'integrazione di Azure AD non è disponibile nei servizi directory di Workspace ONE UEM Console, è necessario aggiungere l'app AirWatch by VMware in Azure. Per ulteriori informazioni, accedere a Configurare Workspace ONE UEM per l'uso di Azure AD come servizio di identità.

Importante:

Se la configurazione guidata (OOBE) è stata completata con un provider MDM diverso da Workspace ONE UEM, aggiungere AirWatch by VMware evitando di immettere o modificare altre impostazioni in Azure. Se si immettono o si modificano le configurazioni, si rischia di compromettere il processo di registrazione esistente.

  • Creare un account di servizio (utente) in Azure e assegnare i ruoli appropriati a tale utente.
    Nota:

    Questa è la procedura generale. Per informazioni dettagliate sulla configurazione di Azure, vedere la documentazione Microsoft.

    1. Accedere al portale Azure immettendo l'indirizzo portal.azure.com nel browser.
    2. Creare o sincronizzare un utente con il servizio Active Directory locale.

      Disattivare l'autenticazione multifattore per il dominio dell'utente in questione.

    3. Assegnare all'utente i ruoli elencati di seguito.
      • Amministratore Intune
      • Amministratore applicazione
      • Lettore directory
      • Scrittore directory
  • Se è stato creato un utente in Azure AD, utilizzare tale account per accedere ad Azure all'indirizzo portal.azure.com. Assicurarsi che la password sia valida e che non richieda un aggiornamento.
  • È necessario assegnare all'utente le licenze elencate in Azure.
    • Criteri di protezione app Microsoft Intune
    • Microsoft Enterprise Mobility + Security E3 o E5

Configurare le impostazioni di Intune

In Workspace ONE UEM Console, configurare e applicare i criteri delle applicazioni di prevenzione della perdita dati (DLP) alle applicazioni e ai dati di protezione delle app di Microsoft Intune®. Configurare innanzitutto la scheda Autenticazione in modo che i sistemi possano comunicare. Configurare quindi le impostazioni DLP e assegnarle ai gruppi.

Workspace ONE UEM non impone direttamente i criteri alle applicazioni. I criteri vengono controllati e applicati da Microsoft SDK.
Nota:

L'avviso modifica la versione del sistema operativo e la versione dell'app. La versione della patch per Android notifica all'utente solo un messaggio di avviso. Gli avvisi non impediscono tuttavia agli utenti finali di utilizzare l'app.

Prerequisiti

Per configurare e applicare i criteri dell'applicazione DLP alle applicazioni Intune, è necessario disporre dei privilegi necessari per configurare i criteri dell'app in Intune.

Procedura

  1. Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Criteri di protezione app di Microsoft Intune®.

  2. Selezionare la scheda Autenticazione, quindi immettere il nome utente e la password dell'amministratore di Azure.

    Gli amministratori possono utilizzare i criteri delle applicazioni di Office 365 DLP per proteggere le app e i dati di Office 365 con le API di Microsoft Graph. Per configurare i criteri di Office 365 DLP, è necessario disporre delle credenziali di amministratore al fine di connettere il tenant a Workspace ONE UEM.

    Impostazione Descrizione
    Nome utente Immettere il nome utente utilizzato per configurare il tenant di Workspace ONE UEM.
    Password Immettere la password utilizzata per configurare il tenant di Workspace ONE UEM.

    Workspace ONE UEM utilizza queste credenziali per cercare e assegnare i criteri dell'applicazione DLP ai gruppi di sicurezza Microsoft.

  3. Selezionare la scheda Prevenzione della perdita dati e configurare i criteri delle applicazioni DLP preferiti per Criteri di protezione app Microsoft Intune. Configurare i criteri dell'app DLP per le applicazioni e i dati gestiti da Criteri di protezione app Microsoft Intune.
    Impostazioni per il trasferimento dei dati Descrizione
    Impedisci backup Impedisce agli utenti di eseguire il backup dei dati dalle proprie applicazioni gestite.
    Consenti alle app di trasferire dati ad altre app

    • Tutte - Gli utenti possono inviare dati dalle applicazioni gestite a qualsiasi applicazione.

    • Con restrizioni - Gli utenti possono inviare dati dalle applicazioni gestite ad altre applicazioni gestite.

    • Nessuna - Impedisce agli utenti di inviare dati dalle applicazioni gestite a qualsiasi applicazione.
    Consenti alle app di ricevere dati da altre app

    • Tutte - Gli utenti possono ricevere nelle applicazioni gestite dati provenienti da altre applicazioni.

    • Con restrizioni - Gli utenti possono ricevere nelle applicazioni gestite dati provenienti da altre applicazioni gestite.

    • Nessuna - Impedisce agli utenti di ricevere nelle applicazioni gestite dati provenienti da qualsiasi applicazione.
    Impedisci "Salva con nome" Impedisce agli utenti di salvare i dati delle applicazioni di Criteri di protezione app Microsoft Intune in un altro sistema o area di archiviazione.
    Limita funzioni Taglia, Copia e Incolla con altre app

    • Qualsiasi app - Gli utenti possono tagliare, copiare e incollare dati fra le applicazioni gestite e qualsiasi altra applicazione.

    • Blocca - Impedisce agli utenti di tagliare, copiare e incollare dati fra un'applicazione gestita e tutte le altre applicazioni.

    • App gestite da criteri - Gli utenti possono tagliare, copiare e incollare i dati tra le applicazioni gestite da Criteri di protezione app Microsoft Intune.

    • Applicazioni gestite da criteri con Incolla in - Gli utenti possono tagliare e copiare i dati dalle applicazioni gestite e incollarli in altre applicazioni gestite.

      Gli utenti possono anche tagliare e copiare nelle proprie applicazioni gestite i dati provenienti da qualsiasi applicazione.
    Limita la visualizzazione dei contenuti Web nel browser gestito Impone che i link contenuti nelle applicazioni gestite vengano aperti in un browser gestito.
    Crittografa dati app Crittografa i dati relativi alle applicazioni gestite quando il dispositivo si trova nello stato selezionato. Il sistema crittografa i dati archiviati ovunque, incluse le unità di archiviazione esterne e le schede SIM.
    Disattiva sincronizzazione contenuti Impedisce alle applicazioni gestite di salvare i contatti nella rubrica nativa.
    Disattiva stampa Impedisce agli utenti di stampare i dati associati alle applicazioni gestite.
    Posizioni di archiviazione dati consentite Gli amministratori possono controllare le posizioni utilizzabili dagli utenti per archiviare i dati delle applicazioni gestite.
    Impostazioni di accesso Descrizione
    Richiedi PIN per l'accesso

    Richiede agli utenti di inserire un PIN per accedere alle applicazioni gestite.

    Gli utenti devono creare il PIN in occasione del loro primo accesso.
    Numero di tentativi prima della reimpostazione del PIN Imposta il numero di tentativi che gli utenti possono effettuare prima che il sistema reimposti il PIN.
    Consenti PIN semplice Gli utenti possono creare PIN di quattro cifre con caratteri ripetuti.
    Lunghezza PIN Consente di specificare il numero dei caratteri che devono essere contenuti nei PIN impostati dagli utenti.
    Caratteri PIN consentiti Consente di specificare i caratteri che devono essere presenti nei PIN configurati dagli utenti.
    Consenti impronta digitale anziché PIN Gli utenti possono utilizzare le proprie impronte digitali anziché il PIN per accedere alle applicazioni gestite.
    Richiedi credenziali aziendali per l'accesso Gli utenti possono utilizzare le proprie credenziali aziendali per accedere alle applicazioni gestite.
    Impedisci esecuzione di app gestite su dispositivi jailbroken o rooted Impedisce agli utenti di accedere alle applicazioni gestite sui dispositivi compromessi.
    Ricontrolla i requisiti di accesso dopo (minuti)

    Imposta il sistema in modo da convalidare le informazioni relative a PIN, impronte digitali o credenziali di accesso quando la sessione di accesso raggiunge uno degli intervalli di tempo.

    • Timeout - Numero di minuti di inattività delle sessioni di accesso per le applicazioni gestite.

    • Periodo di tolleranza offline - Numero di minuti per cui i dispositivi con applicazioni gestite vengono utilizzati offline.
    Intervallo offline (giorni) prima di cancellare i dati delle app Imposta il sistema in modo da rimuovere i dati delle applicazioni gestite dai dispositivi quando questi ultimi rimangono offline per un determinato numero di giorni.
    Impostazioni per Android Descrizione
    Blocca Cattura schermo e Android Assistant Se si seleziona , quando si utilizza un'app di Office non è possibile accedere alle schermate acquisite e alla scansioni eseguite con l'app Android Assistant.
    Versione minima del sistema operativo richiesta Immettere il numero di versione minimo del sistema operativo Android che un utente deve utilizzare per ottenere l'accesso sicuro all'app.
    Versione minima del sistema operativo richiesta (solo avviso) Immettere il numero di versione minimo del sistema operativo Android che un utente deve utilizzare per ottenere l'accesso sicuro all'app.
    Versione minima dell'app richiesta Immettere il numero di versione minimo dell'app che l'utente deve utilizzare per ottenere l'accesso sicuro all'app.
    Versione minima minima dell'app richiesta (solo avviso) Immettere il numero minimo di versione dell'app che un utente deve utilizzare per ottenere l'accesso sicuro all'app.
    Versione minima della patch Android richiesta Immettere il livello della patch di sicurezza Android meno recente che un utente può utilizzare per ottenere l'accesso sicuro all'app.
    Versione minima della patch Android richiesta (solo avviso) Immettere il livello della patch di sicurezza Android meno recente che un utente può utilizzare per ottenere l'accesso sicuro all'app.
  4. Selezionare la scheda Gruppi assegnati e assegnare i criteri dell'applicazione DLP ai Gruppi di sicurezza Microsoft. I gruppi di sicurezza devono essere configurati precedentemente in Azure.
    Impostazione Descrizione
    Tutti i gruppi di sicurezza

    Immettere il nome del gruppo di sicurezza e assegnarlo ai criteri dell'app DLP. Selezionare una voce dall'elenco visualizzato dal sistema dopo l'immissione.

    Selezionare Aggiungi gruppo e assegnare i criteri dell'app DLP al gruppo di sicurezza.
    Gruppi di sicurezza assegnati ai criteri di O365

    Elenca i gruppi di sicurezza assegnati ai criteri dell'app DLP.

    Selezionare Rimuovi gruppo, quindi rimuovere l'assegnazione dal gruppo di sicurezza.

Messaggi di avviso per i criteri eliminati e modificati

Dopo il caricamento dei criteri di protezione delle app di Microsoft Intune, Workspace ONE UEM Console verifica nel portale di Azure se i criteri di Intune sono stati modificati o eliminati. È possibile che i criteri gestiti vengano sincronizzati con i criteri distribuiti. Per segnalare agli amministratori le possibili eliminazioni e modifiche, Workspace ONE UEM Console visualizza messaggi di avviso in base allo scenario.

  • Nel portale Microsoft Intune è stato eliminato un criterio. Fare clic su Elimina impostazioni per eliminare le impostazioni dei criteri da UEM.

    Il simbolo Workspace ONE UEM Console visualizza questo messaggio dopo che un utente ha eliminato uno o entrambi i criteri iOS e Android distribuiti in Intune. Selezionando Elimina impostazioni, si rimuovono le impostazioni di entrambi i criteri da Workspace ONE UEM Console senza modificare nulla sul lato Azure. La pagina della console non viene aggiornata automaticamente.

    Gli utenti possono distribuire i nuovi criteri iOS e Android in Azure senza errori.

    Nota: Se in Azure viene eliminato solo uno dei criteri, iOS o Android, l'altro criterio viene comunque mantenuto in Azure. Gli utenti che scelgono di non mantenere le impostazioni precedenti devono eliminare manualmente l'altro criterio. 
  • Le impostazioni dei criteri sono state aggiornate nel portale Microsoft Intune e non sono sincronizzate con Workspace ONE UEM. Fare clic su Impostazioni di sincronizzazione per aggiornare questo criterio in UEM.
    Il simbolo Workspace ONE UEM Console visualizza questo messaggio dopo che un utente ha modificato entrambi i criteri iOS e Android di Intune nel portale Azure, se le impostazioni dei due criteri corrispondono ancora. Se si seleziona Sincronizza impostazioni, le impostazioni di entrambi i criteri in Workspace ONE UEM vengono aggiornate in modo da corrispondere a quelle estratte dai criteri in Azure. La pagina della console non viene aggiornata automaticamente.
    Nota: Questo documento esclude le impostazioni specifiche di iOS o Android, come le impostazioni di iOS SDK e Android Assistant. 
  • Il criterio "Ricevi dati tra altre app" impostato per il criterio Android è diverso dal criterio iOS nel portale Azure. Workspace ONE UEM sincronizza i criteri per Android e iOS solo se questa impostazione è configurata nello stesso modo. Contattare l'amministratore IT per risolvere il problema.
    I criteri "Ricevi dati tra altre app" e "Invia dati organizzazione ad altre app" impostati per il criterio Android sono diversi dai criteri iOS nel portale Azure. Queste impostazioni devono coincidere, per consentire a Workspace ONE UEM di sincronizzare i criteri di Android e iOS. Contattare l'amministratore IT per risolvere il problema.
    I criteri "Impedisci backup", "Ricevi dati tra altre app" e "Invia dati dell'organizzazione ad altre app" impostati per il criterio Android sono diversi dai criteri iOS nel portale Azure. Queste impostazioni devono coincidere, per consentire a Workspace ONE UEM di sincronizzare i criteri di Android e iOS. Contattare l'amministratore IT per risolvere il problema.

    Workspace ONE UEM Console visualizza questo messaggio dopo che un utente ha modificato entrambi i criteri di Intune nel portale Azure, se le impostazioni dei due criteri corrispondono ancora. Nei messaggi sono elencate le discrepanze tra le impostazioni specificate per i due criteri in Azure. Vengono inoltre indicati i nomi dei criteri elencati in Azure, anziché quelli utilizzati da Workspace ONE UEM Console.

    Risolvere i conflitti elencati nei messaggi prima di utilizzare la voce di menu Sincronizza impostazioni in Workspace ONE UEM Console.

    Nota: Questo documento esclude le impostazioni specifiche di iOS o Android, come le impostazioni di iOS SDK e Android Assistant.

Le voci di menu Elimina impostazioni e Sincronizza impostazioni non modificano alcuna impostazione di Intune nel portale di Azure.