Microsoft Intune supporta due modelli principali di gestione della sicurezza degli endpoint e delle applicazioni:
- Gestione dei dispositivi mobili (MDM): Un approccio a livello di dispositivo che richiede l’iscrizione completa a Intune.
- Gestione delle applicazioni mobili (MAM): Un approccio a livello di app che protegge i dati aziendali senza richiedere la registrazione del dispositivo.
Intune utilizza le App Protection Policies (APP) per definire e applicare le regole di sicurezza delle applicazioni. Ciò include la crittografia dei dati, i controlli di copia/incolla e salvataggio, l’avvio condizionato delle app e i requisiti di autenticazione dell’utente per applicazioni specifiche (principalmente le app di Microsoft 365).
Questa guida illustra i passaggi per la configurazione e l’applicazione di Intune App Protection Policy per i dispositivi MAM-only (BYOD) e MDM (di proprietà aziendale). Inoltre, troverai spiegato il modo in cui Intune supporta la coesistenza di entrambi, un singolo dispositivo può essere gestito sia da MDM che da MAM per consentire l’applicazione dei criteri a più livelli.
📌 Strategie di implementazione consigliate:
Guida ai criteri di protezione delle applicazioni (APP) di Microsoft Intune
Questa guida spiega come applicare i criteri di protezione delle app (APP) in Microsoft Intune per gli scenari di MAM-only e MDM. Illustra inoltre l’integrazione dell’accesso condizionato, i metodi di convalida e le principali considerazioni sull’implementazione.
📌 Prerequisiti generali:
- Licenze Microsoft Intune e Azure AD Premium P1
- Le applicazioni devono supportare Intune SDK (ad esempio, Outlook, Teams, OneDrive).
- Per MAM: Non è richiesta la registrazione del dispositivo.
- Per MDM: Il dispositivo deve essere registrato ad Intune.
- Accesso a Microsoft Endpoint Manager Admin Center
- Gli utenti devono essere assegnati ai gruppi di sicurezza di Azure AD interessati dal criterio.
Applicazione dei criteri di protezione delle applicazioni: MAM-only (per BYOD)
I criteri MAM-only proteggono i dati organizzativi all’interno delle app senza registrate il dispositivo all’MDM.
📌 Casi d’uso: È l’ideale per gli utenti BYOD (Bring Your Own Device), dove le aziende vogliono proteggere i dati aziendali all’interno delle applicazioni senza gestire l’intero dispositivo.
📌 Prerequisiti:
- I dispositivi devono supportare Intune SDK o essere stati racchiusi utilizzando Intune App Wrapping Tool.
- Gli utenti devono avere una licenza per Intune + Azure AD Premium P1/P2.
Guida passo per passo:
- Apri Microsoft Intune admin center.
- Vai su Applicazioni > Criteri di protezione delle applicazioni > Crea un criterio
- Scegli la piattaforma: iOS/iPadOS/Android/Windows
- In Applicazioni da selezionare, seleziona Microsoft e le applicazioni di terze parti supportate.
- Fai clic su Avanti, quindi configura le impostazioni di protezione delle app:
- Protezione dei dati: Imposta il modo con cui gli utenti possono interagire con i dati nelle app (tra cui tagliare/copiare/incollare/salvare e criptare i dati).
- Requisiti di accesso: Imposta i requisiti che gli utenti devono soddisfare per accedere alle app (compresi PIN, biometria o avvio condizionato).
- Lancio condizionato: Imposta i requisiti di sicurezza per il criterio di protezione dell’accesso che vuoi implementare (compreso il blocco dell’accesso o la cancellazione dei dati dopo un intervallo di tempo offline).
- Fai clic su Avanti, quindi assegna il criterio ai gruppi di utenti (non ai dispositivi) nella pagina Assegnazioni . (Leggi il n.1 di ⚠️ Cose da tenere d’occhio)
- Fai clic su Avanti, controlla le impostazioni, quindi clicca su Crea.
- Monitora su Monitor > Stato di protezione dell’applicazione.
Questo criterio si applica anche se il dispositivo non è gestito (scenario MAM senza registrazione o MAM-WE).
Applicazione dei criteri di protezione delle applicazioni: Dispositivi iscritti all’MDM
L’applicazione dei criteri di protezione delle app sui dispositivi iscritti all’MDM prevede gli stessi passaggi elencati sopra, ma in genere è combinata con:
- Criteri di conformità
- Profili di configurazione del dispositivo
- Criteri di accesso condizionato
Questo fornisce un ulteriore livello di protezione oltre a quello delle configurazioni a livello di dispositivo.
📌 Casi d’uso: Ideale per i dispositivi aziendali con gestione completa.
📌 Prerequisiti:
- I dispositivi devono essere registrati in Intune MDM
- Gli utenti devono avere una licenza per Microsoft Intune
- Le applicazioni mirate devono supportare i criteri di Intune App Protection
Guida passo per passo:
- Apri Microsoft Intune admin center.
- Vai su Applicazioni > Criteri di protezione delle applicazioni > Crea un criterio.
- Scegli la piattaforma: iOS/iPadOS/Android/Windows
- Nella pagina Applicazioni , seleziona le applicazioni Microsoft e quelle di terze parti supportate.
- Fai clic su Avanti, quindi configura le impostazioni di protezione delle app:
- Protezione dei dati: Imposta il modo in cui gli utenti possono interagire con i dati nelle app (tra cui tagliare/copiare/incollare/salvare e criptare i dati delle app).
- Requisiti di accesso: Imposta i requisiti che gli utenti devono soddisfare per accedere alle app (compresi PIN, biometria o avvio condizionato).
- Lancio condizionato: Imposta i requisiti di sicurezza per il criterio di protezione dell’accesso che vuoi implementare (compreso il blocco dell’accesso o la cancellazione dei dati dopo un intervallo di tempo offline).
- Fai clic su Avanti, quindi assegna il criterio ai gruppi di utenti con dispositivi iscritti a MDM. (Leggi il n.1 di ⚠️ Cose da tenere d’occhio)
- Fai clic su Avanti, rivedi tutte le impostazioni e clicca su Crea per distribuire il criterio.
- Monitora su Monitor > Stato di protezione dell’applicazione.
Qual è la differenza tra MDM e MAM?
I criteri MDM controllano lo stato di conformità del dispositivo. Mentre, i criteri MAM proteggono ulteriormente i dati a livello di app all’interno delle applicazioni gestite.
💡 Nota: Intune dà priorità alla protezione MDM quando sono presenti entrambi.
Applicazione del controllo degli accessi basato sulla protezione delle app
Le organizzazioni possono applicare criteri di accesso condizionato (CA) basati sulle app per garantire che solo le app protette possano accedere ai dati aziendali.
📌 Casi d’uso: Utilizzalo per:
- Bloccare l’accesso da app o dispositivi non gestiti
- Applicazione della conformità dei dati a livello di app (MAM-only o ibrido)
- Implementare la sicurezza Zero Trust.
📌 Prerequisiti:
- Licenze Intune e Azure AD Premium P1/P2
- Licenza utente Microsoft 365 valida
- Le applicazioni devono essere protette da un criterio di protezione delle app esistente
Guida passo per passo: (Leggi il n. 2 di ⚠️ Cose da tenere d’occhio)
- Accedi a Microsoft Entra Admin Center (Azure AD).
- Vai su: Entra ID > Protezione > Accesso condizionato > Criteri > Nuovo criterio.
- In Assegnazioni, seleziona gli utenti o i gruppi interessati. (Leggi il n. 1 di ⚠️ Cose da tenere d’occhio)
- Scegli le applicazioni di destinazione (ad esempio, Exchange Online, SharePoint).
- In Controlli di accesso > Garantisci:
- Seleziona il criterio Richiedi protezione app.
- Opzionale: Richiedi un’applicazione approvata e richiedere l’MFA
- Attiva il criterio e fa clic su Crea.
Questi criteri funzionano in tandem con le App Protection Policies (APP) di Intune.
💡 Ti consigliamo di leggere anche Come configurare i criteri di accesso condizionato in Azure AD.
Metodo di convalida 1: Usare PowerShell per verificare la conformità di utenti e app
PowerShell può essere utilizzato con Graph API per recuperare le assegnazioni dei criteri e valutare lo stato di applicazione su dispositivi e app.
📌 Casi d’uso: Utilizzarlo per:
- Convalidare le assegnazioni di APP tra gli utenti del tenant
- Verificare di quali dispositivi o utenti sono gestiti con MAM
- Generare rapporti di conformità per ambienti MSP o aziendali
📌 Prerequisiti:
- Diritti di amministratore con i ruoli di Intune Admin, Global Admin, or Security Reader
- È necessario installare il Microsoft Graph PowerShell SDK.
Ecco come procedere:
- Installa l’SDK Graph (se non lo hai già):
Installa il modulo Microsoft.Graph -Scope CurrentUser
- Collegati a Microsoft Graph:
Connect-MgGraph -Scopes "DeviceManagementApps.Read.All", "Policy.Read.All"
Ti verrà richiesto di accedere con un account di amministratore.
- Elenca tutti i criteri di protezione delle applicazioni e le relative assegnazioni:
Get-MgDeviceAppManagementTargetedManagedAppPolicy
- Esegui una query per l’assegnazione di un utente specifico:
Get-MgDeviceAppManagementManagedAppRegistration -UserId <[email protected]>
💡 Nota: Puoi esportare i risultati in CSV utilizzando | Export-Csv-Path “filename.csv” per la creazione di report.
Metodo di convalida 2: Utilizzare il registro di Windows per determinare l’agente MAM rispetto a quello MDM
Questo metodo aiuta a determinare se un dispositivo è gestito tramite MDM o MAM. Se si tratta di entrambi, l’obiettivo è identificare quale agente sta applicando attivamente i criteri.
📌 Casi d’uso: Utilizzarlo per:
- Risoluzione dei conflitti di iscrizione
- Confermare lo stato MDM o MAM sugli endpoint durante la migrazione
- Differenziare la configurazione BYOD rispetto a quella aziendale
📌 Prerequisiti:
- È necessario aver effettuato l’accesso come amministratore.
- I dispositivi devono essere registrati o uniti ad Azure AD e devono avere configurato MAM o MDM.
⚠️ Attenzione: La modifica del registro può causare problemi al sistema. Crea un backup prima di procedere. (Leggi il n. 3 di ⚠️ Cose da tenere d’occhio)
Ecco come procedere:
- Premi la combinazione di tasti Win + R, digita regedit e clicca su Invio.
- Fai clic su Sì se richiesto da UAC.
- Per verificare la presenza di chiavi di iscrizione MDM, vai su:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments
Controllo:
- EnrollmentType (0 = MDM, 6 = MDM+EAS)
- ProviderName
- UPN
- Per verificare la registrazione MAM, vai su:
HKEY_CURRENT_USER\Software\Microsoft\MSEnrollment\EnrollmentEntries
Chiavi di revisione per:
- ADDTenantID
- AzureADDeviceID
- UPN
- Vai al seguente percorso per controllare il WIP MAM legacy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\
Chiavi di revisione per:
- SystemSecurity
- DataProtection
- WindowsInformationProtection (WIP = MAM legacy per Windows)
Su Android/iOS, i criteri MAM vengono applicati tramite SDK e non possono essere verificati tramite l’accesso al registro locale.
Metodo di convalida 3: Usare CMD per convalidare lo stato di iscrizione a MDM
Questo metodo fornisce una rapida istantanea dello stato di registrazione MDM e di adesione ad Azure AD.
📌 Casi d’uso: Utilizzarlo per:
- Confermare la corretta iscrizione di un dispositivo in Intune MDM
- Risoluzione dei problemi di iscrizione automatica
- Convalidare i prerequisiti per l’applicazione delle APP
📌 Prerequisiti:
- È necessario aver effettuato l’accesso come amministratore.
Ecco come procedere:
- Premi Win + X e seleziona Prompt dei comandi (Admin) o Terminale di Windows (Admin).
- Esegui questo comando per verificare la registrazione MDM del dispositivo:
dsregcmd /status
Cerca:
- MDMUrl: Conferma l’endpoint MDM
- DeviceCompliancePolicyReceived: YES
- WIPAbilitato: YES (solo se utilizzi Windows Information Protection)
L’utilità CMD non fornisce indicatori MAM diretti, ma aiuta a convalidare i prerequisiti MDM.
Gestisci la coesistenza di Criteri di gruppo e Intune MDM
Questa configurazione viene utilizzata in ambienti ibridi in cui alcune gestioni provengono dai Criteri di gruppo e altre da Intune MDM.
📌 Casi d’uso: Utilizzalo per:
- Abilitare l’iscrizione automatica all’MDM per i dispositivi ibridi collegati ad Azure AD
- Evitare i conflitti tra le configurazioni GPO e Intune
📌 Prerequisiti:
- I dispositivi devono essere collegati al dominio e registrati in Azure AD o collegati in modo ibrido.
- Accesso Admin alla Console Gestione Criteri di Gruppo (GPMC) o a gpedit.msc locale.
Guida passo per passo:
- Premi Win + R, digita gpedit.msc e clicca su Invio.
- Vai su:
Configurazione del computer > Modelli amministrativi > Componenti di Windows > MDM
- Enable (abilitare):
- Abilitare l’iscrizione automatica a MDM utilizzando le credenziali predefinite di Azure AD
- Impostare la credenziale utente come tipo di iscrizione (per l’unione ibrida)
- Applicare il criterio e riavviare il dispositivo.
Ciò garantisce che un dispositivo sia idoneo per l’applicazione guidata da MDM, consentendo la separazione della gestione MDM e MAM, se necessario.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| 1. Assegnazione di una APP a un gruppo di utenti non corretto | Gli utenti possono essere bloccati dall’accesso alle app aziendali o costretti a restrizioni non necessarie. | Rimuovi il gruppo dalle assegnazioni dei criteri in Intune e distribuisci nuovamente il gruppo di destinazione corretto. |
| 2. Accesso condizionato mal configurato | Gli utenti possono accedere ai dati da applicazioni non gestite o non protette | Aggiorna il criterio Accesso condizionato per includere il criterio Richiedi protezione app e ripeti il test. |
| 3. Modifica del registro senza backup | Ciò può causare un comportamento errato del dispositivo, un fallimento dell’iscrizione o la perdita della connessione MDM. | Esegui il backup del registro prima di apportare le modifiche, utilizza un dispositivo di prova e, se necessario, ripristina le chiavi di registro precedenti. |
Ulteriori considerazioni
Conosci alcune limitazioni della piattaforma, i requisiti degli utenti e il modo in cui MAM e Accesso condizionato funzionano in tandem quando applichi l’APP con Intune:
Applicazioni supportate
I criteri di Mobile Application Management (MAM) si applicano solo alle applicazioni supportate:
- Applicazioni che sono state integrate con Intune App SDK
- Applicazioni che sono state racchiuse utilizzando lo strumento Intune App Wrapping Tool
Gestione basata sugli utenti
Il MAM è basato sull’utente, non sul dispositivo. Ciò significa che gli utenti devono avere una licenza Intune assegnata al proprio account Microsoft Entra ID.
Limitazioni di Windows
Il supporto MAM su Windows è attualmente limitato a Microsoft Edge. Per un controllo completo dei dispositivi e delle app, l’utente deve iscriversi al programma MDM tramite Intune.
Controllo degli accessi
I criteri di accesso condizionato (CA) devono essere stratificati per limitare l’accesso in base allo stato e alla protezione dell’applicazione. Senza CA, gli utenti possono aggirare le protezioni accedendo ai dati aziendali attraverso app non gestite.
Risoluzione dei problemi
Ecco i problemi e le soluzioni più comuni che si possono incontrare con le App Protection Policies (APP) di Microsoft Intune negli scenari MAM e MDM:
Criterio non applicabile
Verifica se l’utente fa parte del gruppo di destinazione e se utilizza un’applicazione supportata.
- Apri Intune Admin Center > Apps > Criteri di protezione delle app.
- Apri il criterio interessato e vai su Assegnazioni.
- Conferma che l’utente fa parte di un gruppo Azure AD incluso.
💡 Suggerimento: Puoi fare riferimento all’elenco delle applicazioni protette di Microsoft Intune per confermare la compatibilità delle app.
App non protetta
Controlla se l’applicazione è stata creata o se è supportata dall’SDK. Come?
- Per le app pubbliche, puoi fare riferimento all’elenco delle app protette di Microsoft Intune e cercare il nome dell’app.
- Per le applicazioni LOB (Line-of-Business) personalizzate, chiedi al tuo team dev se è stato aggiunto l’SDK Intune App.
- Controlla se l’applicazione è stata elaborata con Intune App Wrapping Tool.
(💡 Leggi Racchiudere le app Android con Intune Wrapping Tool. )
MAM-WE fallisce
Controlla la licenza di Intune e che il dispositivo non sia iscritto a un MDM.
- Apri Microsoft 365 Admin Center > Utenti > Seleziona utente > Licenze.
- Controlla se all’utente è assegnata una licenza Intune.
- Per verificare se il dispositivo non è iscritto a MDM:
- Premi Win + I per aprire Impostazioni > Account > Accedi all’azienda o all’istituto di isctruzione.
- Se il dispositivo è elencato come connesso ad Azure AD, è gestito dall’MDM. L’account può essere rimosso e inserito nuovamente con l’intento di essere solo MAM.
Errori di accesso negato
Esamina l’accesso condizionato e lo stato di conformità nei registri di Azure:
- Accedi ad Azure Portal > Entra ID > Sicurezza > Accesso condizionale > Analisi e report. Quindi, filtra in base all’utente interessato, all’applicazione e all’errore.
Per verificare lo stato di conformità:
- Accedi a Intune Admin Center > Dispositivi > Seleziona il dispositivo > Conformità del dispositivo.
- Controlla lo stato di conformità e l’ora dell’ultimo check-in.
Diagnostica
Ecco dove trovare i registri:
- Registri della console Intune (iOS/Android)
- Registri del portale aziendale
- Endpoint.microsoft.com > Monitoraggio > Stato di protezione delle app
Servizi NinjaOne
NinjaOne migliora la protezione a livello di app e di dispositivo attraverso:
| NinjaOne service | Come NinjaOne migliora la protezione a livello di app e dispositivi |
| Monitoraggio delle app | Monitora lo stato di installazione e lo stato di salute delle app sui dispositivi iscritti all’MDM |
| Automazione degli script | Automatizza i controlli dei prerequisiti e applica la conformità per le politiche MDM e di protezione delle app |
| Visibilità delle registrazioni | Visualizza dashboard unificate che mostrano l’iscrizione al solo MAM e quella all’MDM completo |
| Etichettatura dei dispositivi | Utilizza campi personalizzati per classificare i dispositivi BYOD, aziendali o ibridi |
| Avvisi di comportamento | Segnala problemi come app non conformi, agenti mancanti ed errori di iscrizione |
Con questi strumenti, gli MSP possono gestire e proteggere diversi parchi di dispositivi, indipendentemente dal tipo di gestione.
Configurazione del criterio di protezione delle applicazioni Intune per gli scenari BYOD e MDM
I criteri di protezione delle app offrono un modo flessibile e potente per proteggere i dati aziendali, indipendentemente dal fatto che il dispositivo sia iscritto o meno a una piattaforma di gestione. Questi criteri consentono agli MSP e ai team IT di applicare una sicurezza coerente a livello di app sui dispositivi sia in ambienti solo MAM (BYOD) sia in ambienti MDM (di proprietà dell’azienda).
Questa guida fornisce passi chiari per la creazione, la configurazione e l’assegnazione delle APP per entrambi gli scenari. Include anche strumenti pratici per convalidare la distribuzione attraverso il registro, CMD e GPO. Inoltre, troverai le best practice per le integrazioni di Compliance Access e il modo in cui NinjaOne supporta gli MSP per ottimizzare l’applicazione dei criteri su scala.
Argomenti correlati:
- MDM vs MAM: 8 differenze chiave
- Esplorare la gestione della mobilità aziendale (EMM)
- Guida completa alla gestione unificata degli endpoint
- Come distribuire le applicazioni utilizzando il centro di amministrazione Microsoft Intune
- Scegli il giusto strumento di distribuzione del software: Intune vs. NinjaOne – Il punto di vista dell’utente
