Gestione applicazioni per Windows - VMware Workspace ONE UEM

Pagina creata da Elisa Gori

Finanza

Italiano

Piace
Condividi
Incorpora
Schermo intero
Diapositive
Scarica HTML
Scarica PDF
Abuso

←

CONTINUA A LEGGERE

→

Trascrizione del contenuto della pagina

Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù

Gestione applicazioni per
Windows
VMware Workspace ONE UEM

Gestione applicazioni per Windows

È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo:

https://docs.vmware.com/it/

VMware, Inc.                                         VMware, Inc.
3401 Hillview Ave.                                   Centro Leoni Palazzo A
Palo Alto, CA 94304                                  Via Spadolini 5
www.vmware.com                                       Ground Floor
                                                     Milan, MI 20121
                                                     tel: +39 02 30412700
                                                     fax: +39 02 30412701
                                                     www.vmware.com/it

               ©
Copyright          2021 VMware, Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi

VMware, Inc.                                                                                                   2

Sommario

     1 Gestione di app per Windows in Workspace ONE UEM 4

     2 Gestire applicazioni con Microsoft Store per le aziende 6

     3 Integrazione di Flexera Software Vulnerability Manager 12

     4 Integrazione di Criteri di protezione app Microsoft Intune 14

VMware, Inc.                                                           3

Gestione di app per Windows in
Workspace ONE UEM                                                                               1
Workspace ONE UEM powered by AirWatch consente di eseguire il push delle app di Windows
ai dispositivi Windows Desktop (Windows 10). Visualizzare i tipi di file supportati dal sistema per
ciascun tipo di app.

Tipi di applicazioni e piattaforme supportati per Windows
Workspace ONE UEM classifica le applicazioni come interne, pubbliche e Web. Il caricamento
delle applicazioni dipende dal tipo. In questo argomento sono descritte le piattaforme e la
distribuzione supportate per ciascun tipo di applicazione.

VMware, Inc.                                                                                          4

Gestione applicazioni per Windows

Tabella 1-1. Tipi di applicazioni e piattaforme supportati per Windows

 Tipo di applicazione                             Piattaforme supportate

 Interne                                          Windows Desktop (Windows 10)
                                                  n   APPX

                                                  Nota Caricare un file APPX, che può essere x86,
                                                  x64 o ARM. Tuttavia, il file APPX può essere installato
                                                  solo su dispositivi che utilizzano la stessa architettura.
                                                  Ad esempio, se si utilizza ARM, Workspace ONE UEM
                                                  non inserisce in coda un comando di installazione
                                                  per le architetture x64 e x86. Non esegue il push
                                                  dell'applicazione sui dispositivi che utilizzano architetture
                                                  x64 o x86.

                                                  n   EXE: Caricare un pacchetto EXE delle applicazioni
                                                      Win32 per Windows 10.
                                                  n   MSI: Il file MSI, anche noto come Windows Installer,
                                                      è un pacchetto contenente tutto il necessario per
                                                      installare, mantenere e rimuovere il software.
                                                  n   ZIP: Caricare un pacchetto ZIP delle applicazioni
                                                      Win32 per Windows 10.

 Pubbliche (gratuite e a pagamento)               Microsoft Store per le aziende di Microsoft consente
                                                  di acquisire, gestire e distribuire applicazioni in massa.
                                                  Se per la gestione dei dispositivi Windows 10 si utilizza
                                                  Workspace ONE UEM, è possibile integrare i due sistemi.
                                                  Dopo l'integrazione, acquisire le applicazioni da Microsoft
                                                  Store per le aziende e utilizzare Workspace ONE UEM per
                                                  distribuirle e per gestire le versioni aggiornate
                                                  È possibile assegnare applicazioni pubbliche importate da
                                                  Microsoft Store per le aziende per applicarle ai dispositivi
                                                  con la funzionalità di distribuzione flessibile. È inoltre
                                                  possibile assegnare le licenze online e offline in base alla
                                                  strategia di gestione delle licenze in uso.

 Web Links                                        Workspace ONE UEM Console supporta Windows
                                                  Desktop (Windows 10) per eseguire il push e la gestione
                                                  delle applicazioni tramite link Web. La configurazione di
                                                  un profilo web clip consente di eseguire il push degli URL
                                                  verso i dispositivi degli utenti finali, per l'accesso agevole
                                                  ai siti Web più importanti.
                                                  È possibile aggiungere applicazioni Web Links utilizzando
                                                  due metodi.
                                                  n   Come applicazione nella sezione Risorse di
                                                      Workspace ONE UEM console.
                                                  n   Come un profilo di dispositivo Web clip nella sezione
                                                      Dispositivi della console UEM.

VMware, Inc.                                                                                                       5

Gestire applicazioni con Microsoft
Store per le aziende 2
Microsoft Store per le aziende di Microsoft consente di acquisire, gestire e distribuire applicazioni
in massa. Se si utilizza Workspace ONE UEM per la gestione di dispositivi Windows 10 o
versioni successive, è possibile integrare i due sistemi. Dopo l'integrazione, è possibile acquisire
le applicazioni da Microsoft Store per le aziende, distribuirle e gestire le versioni aggiornate
con Workspace ONE UEM. Per informazioni sui processi di Microsoft Store per le aziende, fare
riferimento a https://technet.microsoft.com/itpro/windows/manage/windows-store-for-business.

Requisiti comuni per i modelli di licenza offline e online
n Dispositivi Windows 10 o versioni successive - Utilizzare Windows Desktop (dispositivi
Windows 10) per l'assegnazione delle applicazioni. Il gruppo selezionato deve essere di tipo
cliente.

n Servizi Active Directory Azure - Configurare servizi di Active Directory Azure in Workspace
ONE UEM per consentire la comunicazione tra i sistemi. Questa configurazione consente a
Workspace ONE UEM di gestire i dispositivi Windows e le applicazioni su tali dispositivi.

Non è necessario disporre di un account Azure AD Premium da integrare in Microsoft Store
per le aziende. Si tratta di un processo separato dalla registrazione automatica in MDM.

Importante L'integrazione funziona solo quando il gruppo di destinazione è un gruppo di
tipo cliente in cui è stato configurato Azure Active Directory Services.

n Account amministratore di Microsoft Store per le aziende con autorizzazioni globali -
Acquisire le applicazioni con un account di amministratore di Microsoft Store per le aziende.
Le autorizzazioni globali consentono all'amministratore di accedere a tutti i sistemi per
acquisire, gestire e distribuire le applicazioni.

n L'archiviazione file è abilitata affinché Workspace ONE UEM in locale memorizzi le applicazioni
Microsoft Store per le aziende su un sistema di archiviazione file sicuro. Gli ambienti on-
premise devono abilitare questa funzione nella console Workspace ONE UEM Console
aggiungendo l'identificatore e il nome del tenant nella pagina dei servizi di directory. Questo
requisito fa parte del processo per la configurazione dei servizi Azure Active Directory.

VMware, Inc. 6

Gestione applicazioni per Windows

Requisiti per il modello di licenza online
Gli utenti dei dispositivi Azure Active Directory devono utilizzare Azure Active Directory per
autenticarsi per i contenuti.

Requisiti per il modello di licenza offline
Workspace ONE UEM importa tutti i pacchetti di applicazioni e disattiva le azioni di assegnazione
mentre è in corso il processo. Quando si reimportano i pacchetti per scopi quali l'aggiornamento,
Workspace ONE UEM scarica solo i pacchetti che sono stati modificati. Se non si limita l'uso
dell'App Store sui dispositivi, gli aggiornamenti delle applicazioni vengono inviati ai dispositivi
da Microsoft Store per le aziende tramite push. Se si limita l'uso dell'App Store sui dispositivi,
è necessario importare le applicazioni aggiornate in Workspace ONE UEM. Quindi, indicare agli
utenti di installare la versione aggiornata di AirWatch Catalog.

Confronto dei modelli di licenza online e offline di Microsoft
Store per le aziende
I modelli online e offline di Microsoft Store per le aziende offrono funzionalità diverse. Selezionare
il modello in base a come si desidera gestire la distribuzione. Le funzioni includono quale sistema
gestisce le licenze, dove sono archiviati i pacchetti delle app e quale sistema si autentica con le
risorse.

Tabella 2-1. Confronto tra i modelli online e offline - Capacità diverse

Funzionalità Modello di licenza online Modello di licenza offline

Controllo licenze Licenze gestite da Microsoft Store Licenze gestite dall'azienda.
per le aziende. Utilizzare il modello di acquisizione
Gli utenti possono ricevere e delle licenze offline per controllare
richiedere le licenze al di fuori della i pacchetti delle applicazioni e gli
distribuzione di Workspace ONE UEM aggiornamenti.
in uso. Questo modello offre flessibilità, ma
richiede attenzione per verificare
che le applicazioni siano sempre
aggiornate e che le licenze vengano
rinnovate.

Hosting pacchetti app Il pacchetto app è ospitato da Il pacchetto app è ospitato
Microsoft Store per le aziende. dall'archivio file di Workspace
ONE UEM per gli ambienti SaaS
Workspace ONE UEM o on-premise.

VMware, Inc. 7

Gestione applicazioni per Windows

Tabella 2-1. Confronto tra i modelli online e offline - Capacità diverse (continua)

Funzionalità Modello di licenza online Modello di licenza offline

Azure Active Directory Per autenticarsi, è necessario che i Per autenticarsi, non è necessario che
dispositivi utilizzino il sistema Azure i dispositivi utilizzino il sistema Azure
Active Directory. Active Directory.
Attivare il sistema Azure Active Tuttavia, sarà necessario attivare
Directory in modo che Workspace il sistema Azure Active Directory
ONE UEM e Microsoft Store per le affinché Workspace ONE UEM e
aziende possano comunicare. Microsoft Store per le aziende
possano comunicare.

Imporre limitazioni per l'app store I dispositivi non possono installare I dispositivi possono comunque
le applicazioni poiché la restrizione installare le applicazioni, poiché
impedisce l'installazione di Microsoft i pacchetti di app sono ospitati
Store per le aziende sul dispositivo. nell'ambiente di Workspace ONE
UEM.

Tabella 2-2. Confronto tra i modelli online e offline - Stesse capacità

Funzionalità Modello di licenza online Modello di licenza offline

Livello in cui sono richiamate le Le licenze richieste da Workspace Le licenze richieste da Workspace
licenze ONE UEM per l'applicazione al livello ONE UEM per l'applicazione al livello
di utente. di utente.

Riutilizzo delle licenze Gli amministratori possono revocare Gli amministratori possono revocare
le licenze attraverso Workspace ONE le licenze attraverso Workspace ONE
UEM e riutilizzarle. UEM e riutilizzarle.

Importare applicazioni pubbliche acquisite da Microsoft
Store per le aziende
È possibile importare le applicazioni pubbliche acquisite da Windows Store per le aziende in
Workspace ONE UEM console. Il processo è lo stesso sia per il modello di licenza online,
sia per quello offline. Per il modello di licenza offline, si consiglia di pianificare l'importazione
delle applicazioni quando la rete aziendale non è occupata. A causa del numero di applicazioni
interessate, il processo di importazione può richiedere più larghezza di banda rispetto ad altri
sistemi Workspace ONE UEM.

1 Passare al gruppo in cui sono stati configurati i servizi Azure Active Directory.

2 Selezionare Risorse > Applicazioni > Native > Pubbliche e scegliere Aggiungi applicazione.

3 Selezionare la piattaforma.

4 Selezionare Importa da BSP e scegliere Avanti.

5 Visualizzare un elenco delle applicazioni che Workspace ONE UEM importa dall'account
Microsoft Store per le aziende. Non è possibile modificare questo elenco in Workspace ONE
UEM console.

VMware, Inc. 8

Gestione applicazioni per Windows

6 Selezionare Completa.

n Modello di licenza offline: il sistema scarica le applicazioni nell'archivio di file remoto.

n Modello di licenza online: il sistema archivia le applicazioni in Microsoft Store per le
aziende, in attesa dell'installazione.

Distribuire applicazioni pubbliche acquisite da Microsoft
Store per le aziende
È possibile assegnare applicazioni pubbliche acquisite da Microsoft Store per le aziende e
applicarle ai dispositivi con la funzionalità di distribuzione flessibile. È inoltre possibile assegnare
le licenze online e offline in base alla strategia di gestione delle licenze in uso.

1 Selezionare Risorse > App > Native > Pubbliche.

2 Selezionare l'applicazione e scegliere Assegna.

3 Compilare l'opzione Aggiungi assegnazione per aggiungere una regola.

Impostazione Descrizione

Assegnazione - Assegnare i gruppi all'applicazione utilizzando le licenze online.
licenze Online Se i dispositivi fanno parte del sistema Azure Active Directory e la distribuzione dispone
di licenze online, i dispositivi riceveranno l'applicazione.
Se al gruppo si assegnano licenze online e offline, il sistema dà la priorità alle licenze
online.

Assegnazione - Assegnare i gruppi all'applicazione utilizzando le licenze offline.
licenze Offline Se la distribuzione dispone di licenze offline, i dispositivi riceveranno l'applicazione.
Se al gruppo si assegnano licenze online e offline, il sistema dà la priorità alle licenze
online.

Distribuzione - Visualizza il metodo di distribuzione. Il metodo Su richiesta distribuisce i contenuti a un
Metodo di agente di distribuzione e permette all'utente del dispositivo di scegliere se e quando
distribuzione app installarli.

Distribuzione - DLP Configurare un profilo dispositivo con un profilo Limitazioni per impostare i criteri di Data
Loss Prevention per l'applicazione.
Selezionare Configura. Il sistema passa all'area Profili. Selezionare Aggiungi > Aggiungi
profilo > Windows > Windows Desktop > Profilo dispositivo > Limitazioni. Abilitare le
opzioni da applicare ai dati che si desidera proteggere

4 Selezionare Aggiungi e specificare le priorità delle assegnazioni, se sono presenti più regole
di assegnazione.

5 Distribuire l'applicazione utilizzando Salva e pubblica.

VMware, Inc. 9

Gestione applicazioni per Windows

Recuperare e riassegnare la licenza dell'applicazione
Quando si assegnano le applicazioni Microsoft Store per le aziende ai dispositivi, il processo
di assegnazione richiama le licenze corrispondenti prima che il sistema avvii l'installazione
dell'applicazione. La visualizzazione dettagli fornisce l'elenco dei dispositivi utente e le licenze
richieste associate. È inoltre possibile eliminare l'assegnazione dell'applicazione per recuperare
e riassegnare le licenze. La sincronizzazione delle licenze offline e online nella visualizzazione
dettagli dell'applicazione fornisce gli utenti che corrispondono alle licenze.

È possibile selezionare Risorse > Applicazioni > Visualizzazione elenco > Pubbliche e scegliere
l'applicazione Microsoft Store per le aziende. Questa azione consente di visualizzare la
visualizzazione dettagli. In questa visualizzazione, utilizzare Sincronizza licenze per importare
l'elenco di utenti corrispondenti alle licenze richiamate. Per visualizzare le licenze richiamate,
selezionare la scheda Licenze.

Nota Workspace ONE UEM importa anche le associazioni di licenza quando si seleziona
l'opzione Importa da BSP durante l'importazione iniziale delle applicazioni Microsoft Store per le
aziende. Questa sincronizzazione non viene eseguita contemporaneamente alla sincronizzazione
del pacchetto.

È possibile richiamare e riutilizzare le licenze visualizzate nella scheda Licenze eliminando
l'assegnazione dell'applicazione per il dispositivo dell'utente. Workspace ONE UEM offre svariati
metodi per eliminare le assegnazioni. L'eliminazione comporta la rimozione dell'applicazione dal
dispositivo.

Tabella 2-3. Metodi per richiamare le licenze

Metodo Descrizione

Visualizzazione dettagli Selezionare la funzione Elimina applicazione nella visualizzazione dettagli dell'applicazione.
Questa azione rimuove l'applicazione dai dispositivi nei gruppi assegnati all'applicazione.

Dispositivo Eliminare il dispositivo applicabile dalla console.

Gruppo Eliminare il gruppo. Questa azione influisce su tutti gli asset e i dispositivi nel gruppo.

Gruppo di assegnazione Eliminare il gruppo smart o il gruppo utente assegnato all'applicazione. Questa azione
influisce su tutti i dispositivi del gruppo.

Utente Eliminare l'account utente applicabile dalla console.

VMware, Inc. 10

Gestione applicazioni per Windows

Configurare l'integrazione di Azure AD
Per configurare Azure AD, utilizzare un account amministratore di Azure per accedere allo store e
attivare lo strumento di gestione di Workspace ONE UEM.

1 Creare un account amministratore di Azure per Workspace ONE UEM. Configurare un
account amministratore con ruoli di amministratore globali nella directory predefinita in
Microsoft Azure. Utilizzare questo account per acquisire applicazioni in Microsoft Store per
le aziende. Non è necessario disporre di un account Azure Premium per creare un account
amministratore di Microsoft Store per le aziende.

a In Azure, passare ad Azure Active Directory dell'utente.

b Selezionare Utenti e gruppi e + Nuovo utente.

c Configurare il Ruolo directory come Amministratore globale.

d Creare una password temporanea per accedere a Microsoft Store per le aziende.

2 Attivare Workspace ONE UEM in Microsoft Store per le aziende e acquisire le app. Attivare
lo strumento di gestione di Workspace ONE UEM in Microsoft Store per le aziende con le
credenziali dell'account amministratore di Azure. Se si utilizzano le licenze offline, attivare
l'acquisizione di applicazioni con licenza offline.

a Passare a Microsoft Store per le aziende e accedere con l'account amministratore di
Azure.

b Selezionare Gestisci > Impostazioni > Distribuisci > Strumenti di gestione e attivare
Workspace ONE UEM dallo strumento VMware.

c Per le licenze offline, selezionare Gestisci > Impostazioni > Negozio > Esperienza di
acquisto e abilitare l'opzione Mostra app concesse in licenza offline a chi effettua
acquisti in negozio.

d In Store per le aziende, aggiungere le applicazioni al proprio inventario. È possibile
aggiungere applicazioni con licenza offline e online, a seconda della strategia di gestione
delle licenze impiegata.

VMware, Inc. 11

Integrazione di Flexera Software
Vulnerability Manager 3
Flexera Software Vulnerability Manager (talvolta abbreviato come SVM) include molte
funzionalità, una delle quali fornisce un elenco accurato di patch per migliaia di app, insieme
ai relativi punteggi di vulnerabilità. In Workspace ONE UEM è possibile visualizzare, convalidare
e assegnare le app gestite di Windows 10 in base al punteggio riportato da Flexera Software
Vulnerability Manager.

Requisiti
n Utilizzare Flexera Software Vulnerability Manager v7.6.1.16 o 2021 R1.

n Utilizzare Workspace ONE UEM Console versione 2101 o successiva.

n Utilizzare dispositivi Windows 10 registrati con Workspace ONE UEM e che eseguono l'agente
Flexera Software Vulnerability Manager.

n Utilizzare SVM Patch Daemon versione 5.0.381 o successiva.

Come si configura l'integrazione?
Configurare VM Patch Daemon e utilizzare le app desiderate in Workspace ONE UEM.

1 Configurare VM Patch Daemon con le proprie credenziali di Workspace ONE UEM.

a Avviare SVM Patch Daemon e selezionare la scheda Workspace ONE.

b Immettere le credenziali dell'istanza di Workspace ONE UEM.

c Selezionare il tipo di autenticazione.

d Specificare la chiave dell'API REST per la gerarchia di tenant in cui si desidera pubblicare
le patch.

SVM Patch Daemon mostra un elenco di gruppi di Workspace ONE UEM.

e Selezionare il gruppo di Workspace ONE UEM applicabile per l'integrazione.

f Testare la connessione e convalidare il livello di registrazione nella scheda SVM.

2 Identificare le vulnerabilità e pubblicarle in Software Vulnerability Manager.

a In Software Vulnerability Manager, esaminare le patch critiche nella sezione SPS o nel
modulo Patch del vendor.

VMware, Inc. 12

Gestione applicazioni per Windows

b Identificare la patch corrispondente a ogni singola vulnerabilità e fare clic con il pulsante
destro del mouse sulla selezione per creare un pacchetto.

c Configurare la vulnerabilità associata al pacchetto con la relativa procedura guidata.
Selezionare Patch Daemon come modalità di pubblicazione.

d Pubblicare il pacchetto e monitorarne lo stato nella pagina Stato distribuzione patch.

e Confermare i dettagli relativi all'ambiente Workspace ONE.

3 Visualizzare, convalidare e assegnare le app in Workspace ONE UEM.

Nota È consigliabile eseguire il push a un gruppo di dispositivi di test, prima di inviare
l'integrazione ai dispositivi di produzione.

a In Workspace ONE UEM Console, passare a Risorse > App > Native e selezionare il tipo di
app per mostrare la Visualizzazione elenco delle app.

b Filtrare la Visualizzazione elenco utilizzando l'attributo Flexera SVM per visualizzare l'app
con la criticità assegnata (punteggio di vulnerabilità).

c Convalidare i metadati per l'app. I metadati includono le contingenze di installazione
e i criteri di rilevamento convertiti dalle regole di applicabilità dell'app in Software
Vulnerability Manager.

d Aggiungere le assegnazioni di distribuzione flessibili all'app per eseguire il push ai
dispositivi. L'integrazione installa l'app Flexera SVM solo nei dispositivi che corrispondono
ai metadati (regole di applicabilità convertite).

VMware, Inc. 13

Integrazione di Criteri di
protezione app Microsoft Intune 4
®
VMware Workspace ONE , basato sull'integrazione di AirWatch con Criteri di protezione app
Microsoft Intune®, rimuove la gestione dei criteri DLP per i criteri di protezione delle app di
Microsoft Intune in due console.

I criteri dell'applicazione Prevenzione perdita dati (DLP) per la protezione delle app di Microsoft
Intune possono essere configurati in Workspace ONE UEM. Dopo aver integrato i due sistemi,
è possibile gestire i criteri dell'applicazione DLP in Workspace ONE UEM Console in modo da
mantenere aggiornata l'integrazione.

La maggior parte dei Criteri di protezione app Microsoft Intune è disponibile per le piattaforme
Android e iOS.

Gestire i criteri in Workspace ONE UEM Console per
mantenere la sincronizzazione
Dopo aver integrato i due sistemi, è possibile gestire i criteri dell'applicazione DLP in Workspace
ONE UEM Console in modo da mantenere aggiornata l'integrazione. Workspace ONE UEM non
riceve le modifiche apportate in altre aree dell'integrazione. I criteri dell'applicazione DLP o le
assegnazioni dei gruppi di sicurezza potrebbero non essere sincronizzati.

Esperienza utente su Android e iOS
La prima volta che gli utenti accedono alle app dopo la corretta integrazione con Intune, le
piattaforme iOS e Android presentano esperienze utente diverse ma simili.

Esperienza su iOS
Se l'utente esegue l'autenticazione nelle applicazioni Microsoft Office 365 da un dispositivo
iOS e il profilo viene inviato correttamente, viene visualizzato un pop-up per segnalare che
l'applicazione è gestita dall'organizzazione. La configurazione non richiede ulteriori passaggi.

VMware, Inc. 14

Gestione applicazioni per Windows

Esperienza su Android
Per gestire i dispositivi Android e Android Enterprise, gli utenti devono installare l'applicazione
dal portale aziendale di Intune. Tale applicazione opera come broker per Intune App SDK,
esattamente come Workspace ONE Intelligent Hub opera come broker per le applicazioni di
Workspace ONE UEM.

Esperienza comune a iOS e Android
Per le piattaforme, è necessario impostare Intune come autorità MDM sul dispositivo. Tale
impostazione può essere configurata sul dispositivo in Tenant Azure > Tutte le risorse > Intune.
Abilitare Intune MDM Authority dalla notifica Guida introduttiva.

Operazioni da eseguire in Azure per integrare Microsoft
Intune
Per l'integrazione, creare un account utente e assegnare a tale utente le licenze Microsoft
elencate.

Negli ambienti in cui l'integrazione di Azure AD non è disponibile nei servizi directory di
Workspace ONE UEM Console, è necessario aggiungere l'app AirWatch by VMware in Azure.
Per ulteriori informazioni, accedere a Configurare Workspace ONE UEM per l'uso di Azure AD
come servizio di identità.

Importante Se la configurazione guidata (OOBE) è stata completata con un provider MDM
diverso da Workspace ONE UEM, aggiungere AirWatch by VMware evitando di immettere o
modificare altre impostazioni in Azure. Se si immettono o si modificano le configurazioni, si rischia
di compromettere il processo di registrazione esistente.

n Creare un account di servizio (utente) in Azure e assegnare i ruoli appropriati a tale utente.

Nota Questa è la procedura generale. Per informazioni dettagliate sulla configurazione di
Azure, vedere la documentazione Microsoft.

a Accedere al portale Azure immettendo l'indirizzo portal.azure.com nel browser.

b Creare o sincronizzare un utente con il servizio Active Directory locale.

Disabilitare l'autenticazione multifattore per il dominio dell'utente in questione.

c Assegnare all'utente i ruoli elencati di seguito.

n Amministratore Intune

n Amministratore applicazione

n Lettore directory

n Scrittore directory

VMware, Inc. 15

Gestione applicazioni per Windows

n Se è stato creato un utente in Azure AD, utilizzare tale account per accedere ad Azure
all'indirizzo portal.azure.com. Assicurarsi che la password sia valida e che non richieda un
aggiornamento.

n È necessario assegnare all'utente le licenze elencate in Azure.

n Criteri di protezione app Microsoft Intune

n Microsoft Enterprise Mobility + Security E3 o E5

Configurare le impostazioni di Intune
In Workspace ONE UEM Console, configurare e applicare i criteri delle applicazioni di prevenzione
della perdita dati (DLP) alle applicazioni e ai dati di protezione delle app di Microsoft Intune®.
Configurare innanzitutto la scheda Autenticazione in modo che i sistemi possano comunicare.
Configurare quindi le impostazioni DLP e assegnarle ai gruppi.

Workspace ONE UEM non impone direttamente i criteri alle applicazioni. I criteri vengono
controllati e applicati da Microsoft SDK.

Nota L'avviso modifica la versione del sistema operativo e la versione dell'app. La versione
della patch per Android notifica all'utente solo un messaggio di avviso. Gli avvisi non impediscono
tuttavia agli utenti finali di utilizzare l'app.

Prerequisiti

Per configurare e applicare i criteri dell'applicazione DLP alle applicazioni Intune, è necessario
disporre dei privilegi necessari per configurare i criteri dell'app in Intune.

Procedura

1 Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Criteri di protezione app di
Microsoft Intune®.

2 Selezionare la scheda Autenticazione, quindi immettere il nome utente e la password
dell'amministratore di Azure.

Gli amministratori possono utilizzare i criteri delle applicazioni di Office 365 DLP per
proteggere le app e i dati di Office 365 con le API di Microsoft Graph. Per configurare i
criteri di Office 365 DLP, è necessario disporre delle credenziali di amministratore al fine di
connettere il tenant a Workspace ONE UEM.

Impostazione Descrizione

Nome utente Immettere il nome utente utilizzato per configurare il tenant di Workspace ONE UEM.

Password Immettere la password utilizzata per configurare il tenant di Workspace ONE UEM.

Workspace ONE UEM utilizza queste credenziali per cercare e assegnare i criteri
dell'applicazione DLP ai gruppi di sicurezza Microsoft.

VMware, Inc. 16

Gestione applicazioni per Windows

3 Selezionare la scheda Prevenzione della perdita dati e configurare i criteri delle applicazioni
DLP preferiti per Criteri di protezione app Microsoft Intune. Configurare i criteri dell'app DLP
per le applicazioni e i dati gestiti da Criteri di protezione app Microsoft Intune.

Impostazioni per il
trasferimento dei dati Descrizione

Impedisci backup Impedisce agli utenti di eseguire il backup dei dati dalle proprie applicazioni
gestite.

Consenti alle app di n Tutte - Gli utenti possono inviare dati dalle applicazioni gestite a qualsiasi
trasferire dati ad altre app applicazione.
n Con restrizioni - Gli utenti possono inviare dati dalle applicazioni gestite ad
altre applicazioni gestite.
n Nessuna - Impedisce agli utenti di inviare dati dalle applicazioni gestite a
qualsiasi applicazione.

Consenti alle app di ricevere n Tutte - Gli utenti possono ricevere nelle applicazioni gestite dati provenienti da
dati da altre app altre applicazioni.
n Con restrizioni - Gli utenti possono ricevere nelle applicazioni gestite dati
provenienti da altre applicazioni gestite.
n Nessuna - Impedisce agli utenti di ricevere nelle applicazioni gestite dati
provenienti da qualsiasi applicazione.

Impedisci "Salva con nome" Impedisce agli utenti di salvare i dati delle applicazioni di Criteri di protezione app
Microsoft Intune in un altro sistema o area di archiviazione.

Limita funzioni Taglia, Copia n Qualsiasi app - Gli utenti possono tagliare, copiare e incollare dati fra le
e Incolla con altre app applicazioni gestite e qualsiasi altra applicazione.
n Blocca - Impedisce agli utenti di tagliare, copiare e incollare dati fra
un'applicazione gestita e tutte le altre applicazioni.
n App gestite da criteri - Gli utenti possono tagliare, copiare e incollare i dati tra
le applicazioni gestite da Criteri di protezione app Microsoft Intune.
n Applicazioni gestite da criteri con Incolla in - Gli utenti possono tagliare e
copiare i dati dalle applicazioni gestite e incollarli in altre applicazioni gestite.

Gli utenti possono anche tagliare e copiare nelle proprie applicazioni gestite i
dati provenienti da qualsiasi applicazione.

Limita la visualizzazione dei Impone che i link contenuti nelle applicazioni gestite vengano aperti in un browser
contenuti Web nel browser gestito.
gestito

Crittografa dati app Crittografa i dati relativi alle applicazioni gestite quando il dispositivo si trova nello
stato selezionato. Il sistema crittografa i dati archiviati ovunque, incluse le unità di
archiviazione esterne e le schede SIM.

Disattiva sincronizzazione Impedisce alle applicazioni gestite di salvare i contatti nella rubrica nativa.
contenuti

Disattiva stampa Impedisce agli utenti di stampare i dati associati alle applicazioni gestite.

Posizioni di archiviazione dati Gli amministratori possono controllare le posizioni utilizzabili dagli utenti per
consentite archiviare i dati delle applicazioni gestite.

VMware, Inc. 17

Gestione applicazioni per Windows

      Impostazioni di accesso                Descrizione

      Richiedi PIN per l'accesso             Richiede agli utenti di inserire un PIN per accedere alle applicazioni gestite.
                                             Gli utenti devono creare il PIN in occasione del loro primo accesso.

      Numero di tentativi prima della        Imposta il numero di tentativi che gli utenti possono effettuare prima che il
      reimpostazione del PIN                 sistema reimposti il PIN.

      Consenti PIN semplice                  Gli utenti possono creare PIN di quattro cifre con caratteri ripetuti.

      Lunghezza PIN                          Consente di specificare il numero dei caratteri che devono essere contenuti
                                             nei PIN impostati dagli utenti.

      Caratteri PIN consentiti               Consente di specificare i caratteri che devono essere presenti nei PIN
                                             configurati dagli utenti.

      Consenti impronta digitale             Gli utenti possono utilizzare le proprie impronte digitali anziché il PIN per
      anziché PIN                            accedere alle applicazioni gestite.

      Richiedi credenziali aziendali per     Gli utenti possono utilizzare le proprie credenziali aziendali per accedere alle
      l'accesso                              applicazioni gestite.

      Impedisci esecuzione di app            Impedisce agli utenti di accedere alle applicazioni gestite sui dispositivi
      gestite su dispositivi jailbroken o    compromessi.
      rooted

      Ricontrolla i requisiti di accesso     Imposta il sistema in modo da convalidare le informazioni relative a PIN,
      dopo (minuti)                          impronte digitali o credenziali di accesso quando la sessione di accesso
                                             raggiunge uno degli intervalli di tempo.
                                             n    Timeout - Numero di minuti di inattività delle sessioni di accesso per le
                                                  applicazioni gestite.
                                             n    Periodo di tolleranza offline - Numero di minuti per cui i dispositivi con
                                                  applicazioni gestite vengono utilizzati offline.

      Intervallo offline (giorni) prima di   Imposta il sistema in modo da rimuovere i dati delle applicazioni gestite dai
      cancellare i dati delle app            dispositivi quando questi ultimi rimangono offline per un determinato numero
                                             di giorni.

      Impostazioni per Android                   Descrizione

      Blocca Cattura schermo e Android           Se si seleziona Sì, quando si utilizza un'app di Office non è possibile
      Assistant                                  accedere alle schermate acquisite e alla scansioni eseguite con l'app
                                                 Android Assistant.

      Versione minima del sistema                Immettere il numero di versione minimo del sistema operativo Android che
      operativo richiesta                        un utente deve utilizzare per ottenere l'accesso sicuro all'app.

      Versione minima del sistema                Immettere il numero di versione minimo del sistema operativo Android che
      operativo richiesta (solo avviso)          un utente deve utilizzare per ottenere l'accesso sicuro all'app.

      Versione minima dell'app richiesta         Immettere il numero di versione minimo dell'app che l'utente deve utilizzare
                                                 per ottenere l'accesso sicuro all'app.

      Versione minima minima dell'app            Immettere il numero minimo di versione dell'app che un utente deve
      richiesta (solo avviso)                    utilizzare per ottenere l'accesso sicuro all'app.

VMware, Inc.                                                                                                                    18

Gestione applicazioni per Windows

Impostazioni per Android Descrizione

Versione minima della patch Immettere il livello della patch di sicurezza Android meno recente che un
Android richiesta utente può utilizzare per ottenere l'accesso sicuro all'app.

Versione minima della patch Immettere il livello della patch di sicurezza Android meno recente che un
Android richiesta (solo avviso) utente può utilizzare per ottenere l'accesso sicuro all'app.

4 Selezionare la scheda Gruppi assegnati e assegnare i criteri dell'applicazione DLP ai Gruppi
di sicurezza Microsoft. I gruppi di sicurezza devono essere configurati precedentemente in
Azure.

Impostazione Descrizione

Tutti i gruppi di sicurezza Immettere il nome del gruppo di sicurezza e assegnarlo ai criteri dell'app DLP.
Selezionare una voce dall'elenco visualizzato dal sistema dopo l'immissione.
Selezionare Aggiungi gruppo e assegnare i criteri dell'app DLP al gruppo di
sicurezza.

Gruppi di sicurezza assegnati Elenca i gruppi di sicurezza assegnati ai criteri dell'app DLP.
ai criteri di O365 Selezionare Rimuovi gruppo, quindi rimuovere l'assegnazione dal gruppo di
sicurezza.

Messaggi di avviso per i criteri eliminati e modificati
Dopo il caricamento dei criteri di protezione delle app di Microsoft Intune, Workspace ONE
UEM Console verifica nel portale di Azure se i criteri di Intune sono stati modificati o eliminati.
È possibile che i criteri gestiti vengano sincronizzati con i criteri distribuiti. Per segnalare agli
amministratori le possibili eliminazioni e modifiche, Workspace ONE UEM Console visualizza
messaggi di avviso in base allo scenario.

n Nel portale Microsoft Intune è stato eliminato un criterio. Fare clic su Elimina
impostazioni per eliminare le impostazioni dei criteri da UEM.

Il simbolo Workspace ONE UEM Console visualizza questo messaggio dopo che un utente
ha eliminato uno o entrambi i criteri iOS e Android distribuiti in Intune. Selezionando Elimina
impostazioni, si rimuovono le impostazioni di entrambi i criteri da Workspace ONE UEM
Console senza modificare nulla sul lato Azure. La pagina della console non viene aggiornata
automaticamente.

Gli utenti possono distribuire i nuovi criteri iOS e Android in Azure senza errori.

Nota Se in Azure viene eliminato solo uno dei criteri, iOS o Android, l'altro criterio viene
comunque mantenuto in Azure. Gli utenti che scelgono di non mantenere le impostazioni
precedenti devono eliminare manualmente l'altro criterio.

n Le impostazioni dei criteri sono state aggiornate nel portale Microsoft Intune e non sono
sincronizzate con Workspace ONE UEM. Fare clic su Impostazioni di sincronizzazione per
aggiornare questo criterio in UEM.

VMware, Inc. 19

Gestione applicazioni per Windows

Il simbolo Workspace ONE UEM Console visualizza questo messaggio dopo che un utente ha
modificato entrambi i criteri iOS e Android di Intune nel portale Azure, se le impostazioni dei
due criteri corrispondono ancora. Se si seleziona Sincronizza impostazioni, le impostazioni di
entrambi i criteri in Workspace ONE UEM vengono aggiornate in modo da corrispondere
a quelle estratte dai criteri in Azure. La pagina della console non viene aggiornata
automaticamente.

Nota Questo documento esclude le impostazioni specifiche di iOS o Android, come le
impostazioni di iOS SDK e Android Assistant.

n Il criterio "Ricevi dati tra altre app" impostato per il criterio Android è diverso dal
criterio iOS nel portale Azure. Workspace ONE UEM sincronizza i criteri per Android e iOS
solo se questa impostazione è configurata nello stesso modo. Contattare l'amministratore
IT per risolvere il problema.

I criteri "Ricevi dati tra altre app" e "Invia dati organizzazione ad altre app"
impostati per il criterio Android sono diversi dai criteri iOS nel portale Azure. Queste
impostazioni devono coincidere, per consentire a Workspace ONE UEM di sincronizzare i
criteri di Android e iOS. Contattare l'amministratore IT per risolvere il problema.

I criteri "Impedisci backup", "Ricevi dati tra altre app" e "Invia dati
dell'organizzazione ad altre app" impostati per il criterio Android sono diversi dai
criteri iOS nel portale Azure. Queste impostazioni devono coincidere, per consentire a
Workspace ONE UEM di sincronizzare i criteri di Android e iOS. Contattare l'amministratore
IT per risolvere il problema.

Workspace ONE UEM Console visualizza questo messaggio dopo che un utente ha
modificato entrambi i criteri di Intune nel portale Azure, se le impostazioni dei due criteri
corrispondono ancora. Nei messaggi sono elencate le discrepanze tra le impostazioni
specificate per i due criteri in Azure. Vengono inoltre indicati i nomi dei criteri elencati in
Azure, anziché quelli utilizzati da Workspace ONE UEM Console.

Risolvere i conflitti elencati nei messaggi prima di utilizzare la voce di menu Sincronizza
impostazioni in Workspace ONE UEM Console.

Nota Questo documento esclude le impostazioni specifiche di iOS o Android, come le
impostazioni di iOS SDK e Android Assistant.

Le voci di menu Elimina impostazioni e Sincronizza impostazioni non modificano alcuna
impostazione di Intune nel portale di Azure.

VMware, Inc. 20

Puoi anche leggere