Aggiungere criteri di Configurazione app per dispositivi Android Enterprise gestiti

I criteri di configurazione delle app in Microsoft Intune forniscono le impostazioni alle app Google Play gestite e alle app line-of-business (LOB) distribuite direttamente nei dispositivi Android Enterprise gestiti. Lo sviluppatore dell'app espone le impostazioni di configurazione dell'app gestite da Android. Intune usa queste impostazioni esposte per consentire all'amministratore di configurare le funzionalità per l'app. I criteri di configurazione dell'app vengono assegnati ai gruppi di utenti. Le impostazioni dei criteri di configurazione vengono usate quando l'app verifica la presenza di queste impostazioni, in genere la prima volta che l'app viene eseguita.

Importante

Quando un'app line-of-business Android distribuita direttamente in Intune viene aggiornata a una nuova versione, i criteri di configurazione delle app esistenti associati alla versione precedente non vengono applicati automaticamente all'app aggiornata. È necessario creare e assegnare un nuovo criterio di configurazione dell'app destinato alla nuova versione dell'app per assicurarsi che vengano applicate le impostazioni di configurazione.

Nota

I criteri di configurazione delle app per le app LOB Android distribuite direttamente sono supportati nei dispositivi Android Enterprise completamente gestiti (COBO) e dedicati (COSU). I dispositivi COPE (Profilo di lavoro di proprietà personale) e COPE (Corporate Owned Work Profile) non supportano la distribuzione diretta di app LOB o la configurazione delle app per le app line-of-business dirette.

Non tutte le app supportano la configurazione dell'app. Rivolgersi allo sviluppatore dell'app per verificare se l'app supporta i criteri di configurazione dell'app.

Nota

Questo requisito non si applica ai dispositivi Android di Microsoft Teams poiché questi dispositivi continueranno a essere supportati.

Per Intune criteri di protezione delle app e la configurazione dell'app forniti tramite i criteri di configurazione delle app gestite, Intune richiede Android 10.0 o versione successiva.

App di posta elettronica

Android Enterprise ha diversi metodi di registrazione. Il tipo di registrazione dipende dalla configurazione della posta elettronica nel dispositivo:

  • Sui profili di lavoro Android Enterprise completamente gestiti, dedicati e di proprietà dell'azienda, utilizzare un criterio di configurazione delle app e i passaggi riportati in questo articolo. I criteri di configurazione delle app supportano le app di posta elettronica Gmail e Nine Work.
  • Nei dispositivi Android Enterprise di proprietà personale con un profilo di lavoro creare un profilo di configurazione del dispositivo di posta elettronica Android Enterprise. Quando si crea il profilo, è possibile configurare le impostazioni per i client di posta elettronica che supportano i criteri di configurazione delle app. Quando si usa progettazione configurazione, Intune include impostazioni di posta elettronica specifiche per le app Gmail e Nine Work.

Creare criteri di configurazione delle app

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Scegliere Configurazione app>>Crea>dispositivi gestiti. È possibile scegliere tra Dispositivi gestiti e App gestite. Per altre informazioni, vedere App che supportano la configurazione delle app.

  3. Nella pagina Informazioni di base impostare i dettagli seguenti:

    • Nome: nome del profilo visualizzato nel portale.
    • Descrizione: descrizione del profilo visualizzato nel portale.
    • Tipo di registrazione del dispositivo: questa impostazione è impostata su Dispositivi gestiti.

  4. Selezionare Android Enterprise come Piattaforma.

  5. Selezionare Seleziona app accanto a App di destinazione. Viene visualizzato il riquadro App associata.

  6. Nel riquadro App associata scegliere l'app gestita da associare ai criteri di configurazione e selezionare OK.

  7. Selezionare Avanti per visualizzare la pagina Impostazioni .

  8. Selezionare Aggiungi per visualizzare il riquadro Aggiungi autorizzazioni .

  9. Selezionare le autorizzazioni di cui si vuole eseguire l'override. Le autorizzazioni concesse sostituiscono il criterio "Autorizzazioni app predefinite" per le app selezionate.

  10. Impostare lo Stato autorizzazione per ogni autorizzazione. È possibile scegliere tra Prompt, Concessione automatica o Rifiuto automatico.

    Nota

    A partire da Android 12, la configurazione della concessione automatica per le autorizzazioni seguenti non è supportata per il profilo di lavoro di proprietà dell'azienda o per i dispositivi dedicati di proprietà dell'azienda.

    • SMS (lettura)
    • Accesso alla posizione (coarse)
    • Accesso alla posizione (fine)
    • Accesso alla posizione (in background)
    • Fotocamera
    • Registrare audio
    • Consenti i dati del sensore del corpo

    Nota

    A partire da Android 16, la configurazione della concessione automatica per le autorizzazioni nel gruppo di autorizzazioni INTEGRITÀ non è più supportata.

  11. Se l'app gestita supporta le Impostazioni di configurazione, la casella a discesa Formato impostazioni di configurazione è visibile. Selezionare uno dei metodi seguenti per aggiungere informazioni di configurazione:

    • Usare Progettazione configurazione
    • Immettere i dati JSON

    Per informazioni dettagliate sull'uso di Progettazione configurazione, vedere Usare di progettazione configurazione. Per informazioni dettagliate sull'immissione di dati XML, vedere Immettere dati JSON.

  12. Se è necessario consentire agli utenti di collegare l'app mirata sia al profilo aziendale che a quello personale, selezionare Abilitato accanto a App collegate.

    Screenshot dei criteri di configurazione - Impostazioni

    Nota

    Questa impostazione funziona solo per i dispositivi con profilo di lavoro personale e aziendale.

    Se si imposta App connesse su Non configurato, i criteri di configurazione non verranno rimossi dal dispositivo. Per rimuovere la funzionalità App connesse da un dispositivo, è necessario annullare l'assegnazione dei criteri di configurazione correlati.

  13. Per consentire alle app specifiche di fungere da provider di credenziali di sistema, selezionare Provider di credenziali. Per impostazione predefinita, Android impedisce ai provider di credenziali di terze parti di fornire le credenziali. Per altre informazioni, vedere Consentire a un'app di essere un provider di credenziali.

  14. Selezionare Avanti per visualizzare la pagina Tag ambito .

  15. [Facoltativo] È possibile configurare i tag di ambito per i criteri di configurazione dell'app. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  16. Selezionare Avanti per visualizzare la pagina Assegnazioni .

  17. Nella casella a discesa accanto a Assegna a selezionare Aggiungi gruppi, Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi per assegnare i criteri di configurazione dell'app. Dopo aver selezionato un gruppo di assegnazioni, è possibile selezionare un filtro per perfezionare l'ambito di assegnazione durante la distribuzione dei criteri di configurazione dell'app per i dispositivi gestiti.

    Screenshot delle assegnazioni di criteri - Assegnazioni

  18. Selezionare Tutti gli utenti nella casella a discesa.

    Screenshot delle assegnazioni dei criteri - Tutti gli utenti Opzione a discesa

  19. [Facoltativo] selezionare Modifica filtro per aggiungere un filtro e perfezionare l'ambito di assegnazione.

    Screenshot delle assegnazioni di criteri - Modifica filtro

  20. Selezionare Seleziona gruppi da escludere per visualizzare il riquadro correlato.

  21. Scegliere i gruppi da escludere e quindi selezionare Seleziona.

    Nota

    Quando si aggiunge un gruppo, se un altro gruppo è già incluso per un determinato tipo di assegnazione, è preselezionato e non modificabile per altri tipi di assegnazione di inclusione. Pertanto, un gruppo già usato non può essere selezionato come gruppo escluso.

  22. Selezionare Avanti per visualizzare la pagina Rivedi e crea .

  23. Selezionare Crea per aggiungere i criteri di configurazione dell'app a Intune.

Usare progettazione configurazione

È possibile utilizzare il designer di configurazione per le app Google Play gestite quando l'app è progettata per supportare le impostazioni di configurazione. La configurazione si applica ai dispositivi registrati in Intune. La finestra di progettazione consente di configurare valori di configurazione specifici per le impostazioni esposte dall'app.

  1. Selezionare Aggiungi. Scegliere l'elenco delle impostazioni di configurazione da immettere per l'app.

    Se si utilizzano le app di posta elettronica Gmail o Nine Work, le Impostazioni del dispositivo Android Enterprise per configurare la posta elettronica contengono ulteriori informazioni su queste impostazioni specifiche.

  2. Per ogni chiave e valore della configurazione, impostare:

    • Tipo di valore: tipo di dati del valore di configurazione. Per i tipi di valore String, è possibile scegliere come tipo di valore una variabile o un profilo di certificato. Dopo aver creato il criterio, questi tipi di valore vengono visualizzati come stringa.
    • Valore di configurazione: valore per la configurazione. Se si seleziona variabile o certificato per il Tipo di valore, scegliere da un elenco di variabili o profili di certificati. Se si sceglie un certificato, l'alias del certificato distribuito sul dispositivo viene popolato in fase di esecuzione.

Variabili supportate per i valori di configurazione

È possibile scegliere le opzioni seguenti se si sceglie variabile come tipo di valore:

Opzione Esempio
ID dispositivo Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
IMEI 123456789012345
ID dispositivo di Intune b9841cd9-9843-405f-be28-b2265c59ef97
Posta john@contoso.com
UPN parziale john
ID utente 3ec2c00f-b125-4519-acf0-302ac3761822
Nome utente John Doe
Nome dell'entità utente john@contoso.com
Account name (Nome account) Contoso
Nome dispositivo John_AndroidEnterprise_1/2/2025_12:00 PM
ID dipendente 123456
MEID 12345678901234
Numero di serie 1A2B3C4D5E6F7G
Ultime quattro cifre di numero di serie 6F7G

Consenti solo gli account dell'organizzazione configurati nelle app

In qualità di amministratore di Microsoft Intune, è possibile controllare quali account aziendali o dell'istituto di istruzione vengono aggiunti alle app Microsoft sui dispositivi gestiti. È possibile limitare l'accesso ai soli account utente autorizzati dell'organizzazione e bloccare gli account personali sui dispositivi registrati. Per i dispositivi Android, utilizzare le seguenti coppie chiave/valore in un criterio di configurazione dell'applicazione Dispositivi gestiti:

Chiave com.microsoft.intune.mam.AllowedAccountUPNs
Valori
  • Uno o più UPN delimitati ;.
  • Sono consentiti solo gli account utente gestiti definiti da questa chiave.
  • Per Intune dispositivi registrati, il {{userprincipalname}} token può essere usato per rappresentare l'account utente registrato.

Nota

Le app seguenti elaborano la configurazione precedente dell'app e consentono solo gli account dell'organizzazione:

  • Copilot per Android (28.1.420328045 e versioni successive)
  • Edge per Android (42.0.4.4048 e versioni successive)
  • Office, Word, Excel, PowerPoint per Android (16.0.9327.1000 e versioni successive)
  • OneDrive per Android (5.28 e versioni successive)
  • OneNote per Android (16.0.13231.20222 o versione successiva)
  • Outlook per Android (2.2.222 e versioni successive)
  • Teams per Android (1416/1.0.0.2020073101 e versioni successive)

Immettere i dati JSON

Alcune impostazioni di configurazione delle app (ad esempio le app con tipi di Bundle) non possono essere configurate con la finestra di progettazione di configurazione. Usare l'editor JSON per tali valori. Le impostazioni vengono fornite automaticamente alle app quando l'app viene installata.

  1. Per Formato delle impostazioni di configurazione selezionare Immettere l'editor JSON.
  2. Nell'editor è possibile definire valori JSON per le impostazioni di configurazione. È possibile scegliere Scarica modello JSON per scaricare un file di esempio che è quindi possibile configurare.
  3. Scegli OK e quindi Aggiungi.

Il criterio viene visualizzato anche nell'elenco dei profili.

Quando l'app assegnata viene eseguita su un dispositivo, viene eseguita con le impostazioni configurate nel criterio di configurazione dell'app.

Abilitare le app connesse

Si applica a:
Android 11+

Gli utenti del profilo aziendale personale devono avere il Portale aziendale versione 5.0.5291.0 o più recente. Gli utenti del profilo di lavoro di proprietà dell'azienda non hanno bisogno di una versione specifica dell'app Microsoft Intune per il supporto.

È possibile consentire agli utenti che utilizzano profili di lavoro Android di proprietà personale e aziendale di attivare l'esperienza delle app connesse per le app supportate. Questa impostazione di configurazione dell'app consente alle app di connettersi e integrare i dati dell'app tra le istanze dell'app aziendali e quelle personali.

Per fornire questa esperienza, un'app deve integrarsi con l'SDK delle app connesse di Google, quindi solo alcune app la supportano. È possibile attivare l'impostazione delle app connesse in modo proattivo e, quando le app aggiungono supporto, gli utenti sono in grado di abilitare l'esperienza delle app connesse.

Se si imposta App connesse su Non configurato, i criteri di configurazione non verranno rimossi dal dispositivo. Per rimuovere la funzionalità App connesse da un dispositivo, è necessario annullare l'assegnazione dei criteri di configurazione correlati.

Avviso

Se si abilita la funzionalità delle app connesse per un'app, i dati aziendali nelle app personali non verranno protetti da criteri di protezione delle app.

Inoltre, indipendentemente dalla configurazione delle app connesse, alcuni OEM potrebbero connettere automaticamente determinate app o richiedere l'approvazione dell'utente per connettere le app non configurate. Un esempio di applicazione in questo caso potrebbe essere l'applicazione della tastiera dell'OEM.

Dopo aver abilitato l'impostazione delle app connesse, gli utenti possono connettere app aziendali e personali in due modi:

  1. Un'app supportata potrebbe scegliere di richiedere a un utente di approvare la connessione tra i profili.
  2. Gli utenti possono aprire l'app Impostazioni e passare alla sezione Attività connesse & app personali, in cui vengono elencate tutte le app supportate.

Importante

Se più criteri di configurazione dell'app sono destinati allo stesso dispositivo e uno imposta App Enabledconnesse su mentre un altro non lo fa, la configurazione dell'app segnala un conflitto. Il dispositivo non consente quindi le app connesse.

Consentire a un'app di essere un provider di credenziali

Si applica a:

  • Dispositivi Android Enterprise completamente gestiti (COBO)
  • Dispositivi dedicati Android Enterprise (COSU)
  • Dispositivi android enterprise di proprietà dell'azienda con un profilo di lavoro (COPE)
  • Dispositivi BYOD (Work Profile Devices) di proprietà personale Android Enterprise, dopo la migrazione all'API di gestione Android (API AM)

La funzionalità Provider di credenziali di Android consente di controllare quali applicazioni possono fungere da provider di credenziali a livello di sistema, responsabili del riempimento automatico delle password e dell'archiviazione passkey nei dispositivi Android Enterprise gestiti, sia i dispositivi di proprietà dell'azienda che i dispositivi BYOD (Personal Owned Work Profile).

Per impostazione predefinita, Android impedisce alle app del provider di credenziali di terze parti di fornire le credenziali. Usare l'impostazione del provider di credenziali per consentire ad app specifiche, ad esempio un gestore password di terze parti, di fungere da provider di credenziali di sistema. Microsoft Authenticator è consentito automaticamente.

Per configurare le autorizzazioni del provider di credenziali, passare aConfigurazione>app>Creare>dispositivi gestiti e scegliere Android Enterprise come piattaforma. Selezionare Provider di credenziali nelle impostazioni per consentire alle app specifiche di fungere da provider di credenziali.

Questa impostazione consente di:

  • Consentire alle app specifiche di fungere da provider di credenziali
  • Abilitare l'accesso basato su passkey tra dispositivi Android Enterprise gestiti
  • Mantenere il controllo sulle origini delle credenziali attendibili nei dispositivi aziendali e di proprietà personale

Nota

Per i dispositivi BYOD (Personal Owned Work Profile), il provider di credenziali è supportato solo dopo il passaggio dei dispositivi di proprietà personale con un profilo di lavoro all'API di gestione Android (AM).

Importante

Google Password Manager non è autorizzato a fungere da provider di credenziali nei dispositivi del profilo di lavoro di proprietà dell'azienda e nei dispositivi di proprietà personale con un profilo di lavoro. È bloccato nel dispositivo dell'utente finale. Usare un'app per le credenziali diversa come soluzione alternativa.

Prima di eseguire la migrazione dei dispositivi di proprietà personale all'API AM

Quando si esegue la migrazione di dispositivi BYOD (Personal Owned Work Profile) all'API di gestione Android (AM), è necessario creare criteri di configurazione delle app per tutte le app del provider di credenziali su cui gli utenti si basano prima di avviare la migrazione o scegliere la registrazione basata sul Web. Le app del provider di credenziali comuni includono:

  • Microsoft Authenticator (consentito automaticamente, non sono necessari criteri di configurazione dell'app)
  • Lastpass
  • 1Password
  • Okta
  • Bitwarden
  • Dashlane
  • Protone
  • Callpod
  • Nordpass
  • Roboform

Se i criteri di configurazione dell'app non sono presenti prima della migrazione per i provider di credenziali di terze parti:

  • Il riempimento automatico potrebbe non funzionare come previsto per gli utenti nei dispositivi Android 14 e versioni successive.
  • L'accesso basato su passkey potrebbe non essere disponibile nei dispositivi Android 14 e versioni successive.

La migrazione dal profilo di lavoro di proprietà personale all'API AM non può essere invertita. Se si procede senza i criteri di configurazione dell'app necessari, è comunque possibile crearli al termine della migrazione per ripristinare la funzionalità del provider di credenziali per gli utenti.

Preconfigurare lo stato di concessione dei permessi per le app

È inoltre possibile preconfigurare le autorizzazioni delle app per accedere alle funzionalità del dispositivo Android. Per impostazione predefinita, le app Android che richiedono le autorizzazioni del dispositivo, come l'accesso alla posizione o alla fotocamera del dispositivo, chiedono agli utenti di accettare o negare le autorizzazioni.

Ad esempio, un'app usa il microfono del dispositivo. All'utente viene richiesto di concedere all'app l'autorizzazione per l'uso del microfono.

  1. Nell'interfaccia di amministrazione Microsoft Intune selezionareConfigurazione>app>Crea>dispositivi gestiti.
  2. Aggiungere le proprietà seguenti:
    • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un buon nome di criterio è Criterio per le autorizzazioni rapide di Android Enterprise per l'intera azienda.
    • Descrizione. Immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
    • Tipo di registrazione del dispositivo: questa impostazione è impostata su Dispositivi gestiti.
    • Piattaforma: selezionare Android Enterprise.
  3. Selezionare Tipo di profilo:
  4. Selezionare App di destinazione. Scegliere l'app a cui si vuole associare un criterio di configurazione. Selezionare dall'elenco delle app del profilo di lavoro completamente gestite di Android Enterprise che si approvano e sincronizzate con Intune.
  5. Selezionare Autorizzazioni>Aggiungi. Dall'elenco, selezionare le autorizzazioni dell'app disponibili >OK.
  6. Selezionare un'opzione per ogni autorizzazione da concedere con questo criterio:
    • Richiesta. Richiedere all'utente di accettare o negare.
    • Concessione automatica. Approvare automaticamente senza notificare l'utente.
    • Negazione automaticamente. Nega automaticamente senza notificare all'utente.
  7. Per assegnare i criteri di configurazione dell'app, selezionare il criterio di configurazione dell'app >Assegnazione>Selezionare i gruppi. Scegliere i gruppi di utenti da assegnare e >Selezionare.
  8. Scegliere Salva per assegnare i criteri.

Informazioni aggiuntive

Passaggi successivi

Continuare ad assegnare e monitorare l'app.

  • Last updated on