Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne MDM: gestione dei criteri Android

Argomento

La funzionalità dei criteri Android dipende dalla modalità di registrazione del dispositivo quando viene aggiunto alla console NinjaOne. I criteri hanno il pieno controllo sui dispositivi con tipo di utilizzo esclusivamente lavorativo; se il dispositivo è di proprietà personale, alcune impostazioni dei criteri, come le restrizioni, possono essere limitate. 

Prima di configurare il criterio MDM Android, abilitare l'applicazione MDM Android, se non lo si è ancora fatto.

Se si modifica un criterio (ad esempio, per consentire l'accesso all'app store), gli utenti dovranno riavviare i loro dispositivi per vedere le modifiche. 

Ambiente

Gestione dei dispositivi mobili NinjaOne

Descrizione

 

Tipi di utilizzo: Profilo personale e profilo lavorativo

Dopo aver abilitato la funzionalità MDM e aver registrato l'account Apple/Android, potrai aggiungere i dispositivi mobili a NinjaOne. Quando si aggiunge un dispositivo mobile a NinjaOne, si ha la possibilità di classificare il tipo di utilizzo/iscrizione come "Uso personale" o "Nessun uso personale consentito"

I tipi di utilizzo definiscono le modalità di registrazione di un dispositivo. La differenza tra questi due tipi di utilizzo è illustrata di seguito. 

  • Uso personale: Di proprietà personale Un dispositivo di proprietà personale è tipicamente considerato un'iscrizione BYOD (bring your own device). NinjaOne (o qualsiasi altro software MDM) ha in questo caso un accesso limitato alle informazioni e alle azioni del dispositivo.

    • Il dispositivo deve essere registrato dall'applicazione Android Device Policy o da un link su un dispositivo già configurato (che ha precedentemente completato la procedura guidata di configurazione ed è in uso). In questo modo l'organizzazione potrà gestire le applicazioni e i dati solo all'interno del profilo di lavoro, senza alcuna visibilità o gestione del profilo personale (o genitore).

  • Non è consentito l'uso personale: "Per il lavoro" o "di proprietà dell'azienda" Si tratta in questo caso di un dispositivo di proprietà di un datore di lavoro o di un'azienda ma abilitato personalmente (COPE). Questo tipo di classificazione consente la separazione a livello di piattaforma delle applicazioni di lavoro e dei dati. NinjaOne ha ulteriori informazioni sul dispositivo, compresi i numeri di serie e le informazioni relative alla rete. Le aziende in questo caso hanno il controllo dei dati e dei criteri di sicurezza all'interno del profilo di lavoro. Al di fuori del profilo lavorativo, il dispositivo rimane adatto all'uso personale.
    • I dispositivi Android devono essere vuoti, senza dati, come appena usciti dalla confezione, altrimenti riceverai un messaggio di errore quando proverai ad aggiungere il dispositivo a NinjaOne.
    • Durante il processo di configurazione, all'utente del dispositivo verrà richiesto di aggiungere i propri account e informazioni oltre al profilo di lavoro configurato. L'organizzazione ha un certo controllo sul profilo personale (genitore) per quanto riguarda fotocamere, screenshot e altre politiche di prevenzione della perdita di dati; tuttavia, mantiene una visibilità limitata su tutto ciò che non rientra nel profilo di lavoro.
  • Dispositivo dedicato: "Nessun utente specifico" Questo utilizzo segue la logica del "divieto di utilizzo personale", con l'aggiunta della specifica che il dispositivo non è associato a un singolo utente e quindi non è previsto né l'utilizzo personale né l'autenticazione dell'identità aziendale.
NinjaOne MDM non ha accesso a file o foto personali, sia che il dispositivo sia di proprietà dell'azienda sia che sia di proprietà personale.

 

Creare un nuovo criterio

  1. Nel riquadro di navigazione a sinistra, fare clic su Amministrazione, quindi aprire il menu a tendina Criteri e selezionare Criteri MDM.
  2. Clicca su Crea nuovo criterio.

nuova politica mdm.png
Immagine 1: Creare un nuovo criterio MDM in NinjaOne

Viene visualizzato l'editor modale del creatore di criteri. 

"L'ereditarietà dei criteri è supportata dalle politiche MDM. Il ruolo selezionato determinerà quali criteri possono essere selezionati come criteri genitori. Per creare una relazione di criteri ereditati specifica per MDM, è necessario scegliere un ruolo specifico per MDM. Per ulteriori dettagli, consultare la sezione Dettagli della polizza ereditata

politica_mdm.png
Figura 2: Creare un criterio MDM ereditato in NinjaOne

  1. Inserisci i dettagli del criterio e assicurati che lo switch Criterio abilitato sia su "attivo" nella parte inferiore della finestra, in modo da rendere il criterio attivo. 
  2. Fare clic su Salva per creare il nuovo criterio.

 

Dettagli sui criteri ereditati

L'ereditarietà dei criteri è supportata da NinjaOne per i criteri MDM. Il ruolo selezionato determinerà quali criteri possono essere selezionati come criteri genitori. Per creare una relazione genitore-figlio specifica per MDM devi scegliere un ruolo specifico per MDM.

Se si utilizza l'ereditarietà dei criteri, si vedrà un tag "ereditato" nel nuovo criterio con un'opzione per sovrascrivere le singole impostazioni. Le impostazioni sovrascritte saranno contrassegnate per essere identificate e sarà possibile tornare alle impostazioni ereditate quando si sposta il cursore su di esse. 

sovrascrivere l'eredità.png
Immagine 3: Ripristino di un valore di criterio sovrascritto in NinjaOne

Nella pagina Criteri MDM in Amministrazione, i criteri ereditati mostrano una descrizione sotto il nome del criterio, in modo da poterli identificare facilmente.

descrizione della politica ereditata.png
Immagine 4: Identificare un criterio ereditato in NinjaOne

Note importanti: 
  • Quando un criterio padre include applicazioni, configurazioni Wi-Fi o applicazioni di criteri Android, i criteri ereditati non possono rimuovere tali elementi. Per impedire che uno di questi elementi ereditati venga applicato all'interno del criterio ereditato, è necessario disattivarlo. Puoi disattivare un elemento modificando la configurazione. 
  • La disattivazione cambia la colonna di stato in "Inattivo" e l'etichetta "ereditato" in "Sovrascritto"

Configurare il criterio 

Selezionare una sezione per saperne di più sulle opzioni di configurazione:

 

Passcode

Per ulteriori impostazioni, clicca sulle due schede in alto in questa impostazione.

  • Ambito del dispositivo: Stabilisci i requisiti per la piena proprietà del dispositivo.
  • Ambito del profilo: Imposta i requisiti solo per il profilo di lavoro del dispositivo.

abilitare il criterio del codice di accesso e definire l'ambito.png
Immagine 5: Abilitare le regole per i codici di accesso e definire l'ambito in un criterio NinjaOne Android MDM

  • Qualità della password (spostare il cursore sui suggerimenti per le specifiche). Tieni presente che l'ambito non specificato è stato deprecato e potrebbe essere richiesto di modificare questo valore. 

android policy_passcode tooltip.png
Immagine 6: Descrizione del tooltip

  • Richiede una password per lo sblocco 
  • Lunghezza della cronologia: 100 è il massimo consentito.
  • Maximum Failed Passwords for Wipe-100è il numero massimo consentito di tentativi falliti prima che i dati sul dispositivo vengano cancellati. 
  • Età massima del passcode (giorni)-3.650.000 è il numero massimo di giorni consentito per il passcode. 

Quando le impostazioni del codice di accesso sono configurate, la sezione Sicurezza in Dettagli sulla dashboard del dispositivo indica se il codice di accesso è stato applicato ed è conforme. 

android details_security.png
Immagine 7: Dati di sicurezza nella dashboard del dispositivo per Android 

 

Restrizioni

NinjaOne estrae la maggior parte delle restrizioni dei criteri Android direttamente dall'API di gestione Android; questo riferimento fornisce la rappresentazione JSON e le definizioni. In questa sezione è possibile controllare le seguenti restrizioni: 

  • Funzionalità  
  • Applicazioni 
  • Rete e Internet 
  • Sicurezza e privacy 

Tutte le restrizioni sono visualizzate nella categoria corrispondente; possono essere attivate o disattivate selezionando o deselezionando la casella accanto al nome della restrizione. La configurazione del criterio verrà inviata a tutti i dispositivi gestiti dal criterio. 

Note importanti:
  • Solo i valori modificati rispetto all'impostazione predefinita saranno inviati a un dispositivo. I valori predefiniti di un criterio rappresentano il comportamento di un dispositivo senza alcun criterio MDM attivato.
  • Se il dispositivo è stato registrato con un profilo di lavoro, le restrizioni saranno applicate solo a tale profilo. 

restrizioni android.png
Immagine 8: Gestire le restrizioni per i dispositivi Android

È possibile utilizzare la barra di ricerca per trovare restrizioni specifiche, oppure utilizzare i menu a tendina Categoria e/o Tipo di iscrizione (personale o aziendale) per filtrare i risultati. 

filtri di restrizione.png
Figura 9: Filtri di restrizione per i criteri Android

 

Applicazioni

La sezione Applicazioni del criterio Android presenta tre schede, che illustriamo in questa sezione: Applicazioni gestite, Impostazioni del chiosco, Avanzate. 

android policy_application tabs.png
Figura 10: Schede di applicazione dei criteri Android

  • Nella scheda Applicazione gestita è possibile selezionare applicazioni specifiche da installare o bloccare da un dispositivo mobile. 
  • Nella scheda Impostazioni Kiosk, è possibile attivare l'ambiente nativo Android Kiosk e visualizzare tutte le applicazioni distribuite (e solo quelle distribuite) aggiunte al criterio assegnato.
  • Nella scheda Avanzate è possibile aggiungere configurazioni per la gestione avanzata delle funzionalità. Le configurazioni possono consentire alle attività di applicazioni specifiche di gestire una o più azioni o categorie del sistema. Un esempio può essere l'impostazione di un'applicazione Home/Launcher predefinita.

Per ulteriori informazioni sull'aggiunta e la modifica di queste applicazioni, consultare MDM: gestione delle applicazioni Android.

 

Rete

Innanzitutto, clicca su Aggiungi nuova rete Wi-Fi per configurare l'SSID Wi-Fi e la sicurezza. Quindi, fare clic sul pulsante sotto Impostazioni proxy per impostare manualmente un proxy di rete.

Si noti che l'abilitazione del proxy diretto disabilita qualsiasi rete Wi-Fi stabilita. Queste impostazioni possono essere modificate in qualsiasi momento.

android policy_network.png
Immagine 11: Configurazione di rete dei criteri Android

 

Sicurezza

La sezione Sicurezza consente agli amministratori di sistema di crittografare il dispositivo, gestire le impostazioni degli sviluppatori, definire le modalità di spostamento dei dati per il lavoro e altro ancora.

android policy_security.png
Immagine 12: Configurazione della sicurezza dei criteri Android

Di seguito vengono descritte la maggior parte delle opzioni di configurazione. 

  • Minima versione Android supportata (a livello API) Il livello minimo di API Android consentito.
  • Tempo massimo di blocco Selezionare il numero di secondi che passano prima che il dispositivo venga bloccato e che all'utente venga richiesto di inserire la password. 
  • Criterio di crittografia Abilitare il criterio per richiedere o meno una password. 
  • Personalizzazioni della protezione della tastiera disabilitate Keyguard personalizza gli elementi della schermata di blocco, come i widget, le notifiche, l'accesso alla fotocamera e altri strumenti quando il dispositivo è bloccato.
  • Modalità batteria collegata La modalità di inserimento della batteria per la quale il dispositivo rimane acceso. Questa impostazione obbliga un dispositivo a mantenere lo schermo acceso in condizioni specifiche (ad esempio, collegato all'alimentazione CA, alla ricarica wireless o a una connessione USB).
    • Quando utilizzi questa impostazione, ti consigliamo di deselezionare maximumTimeToLock (tempo massimo dopo il quale bloccare) in modo che il dispositivo non si blocchi mentre rimane acceso.
  • Impostazioni sviluppatore Questa impostazione definisce se le opzioni per gli sviluppatori, come i comportamenti del sistema, le impostazioni rapide e l'avvio sicuro, sono consentite. Per ulteriori informazioni sulle impostazioni sviluppatore Android, consulta Configurazione delle opzioni per gli sviluppatori sul dispositivo  |  Android Studio  | Sviluppatori Android.
  • Metodi di input consentiti: Sui dispositivi Android gestiti, configurare un elenco di nomi di pacchetti per i metodi di input o le app della tastiera.
  • Memory Tagging Extension: Controlla la Memory Tagging Extension (MTE), un'implementazione hardware della memoria con tag. È supportato su Android 14 e successivi. 

  • Invia contenuti alle app di assistenza: Questa funzione consente di fornire contenuti contestuali sullo stato corrente dell'app o dello schermo per assistere applicazioni come Gemini, supportata da Android 15+.

    • Disattivare questa opzione per impedire la condivisione dei contenuti.

  • La protezione del ripristino di fabbrica consente agli account inseriti in allowlist (lista consentiti) di: Digitare tutti gli indirizzi e-mail degli amministratori del dispositivo responsabili della protezione del ripristino di fabbrica (FRP). Quando il dispositivo viene resettato, uno di questi amministratori dovrà accedere con l'e-mail e la password dell'account Google per sbloccarlo. Se non viene specificato alcun amministratore, il dispositivo non fornirà l'FRP.
  • Regole della chiave privata: Configura le regole per le chiavi private con i pacchetti opzionali. Create e gestite regole multiple per le chiavi private definendo modelli di URL, app associate e alias di chiavi private per comunicazioni sicure.
  • Messaggistica personalizzata:  configura il testo da visualizzare su un dispositivo in determinate circostanze. Questi messaggi possono supportare più lingue. 
    • Un breve messaggio di supporto viene visualizzato quando un'azione non è consentita. 
    • Un lungo messaggio di supporto viene visualizzato quando un'azione non è consentital'utente tocca per ulteriori informazioni. 
    • Il messaggio di blocco viene visualizzato sulla schermata di blocco del dispositivo. 
  • Politiche di utilizzo personale: Queste impostazioni sono limitate ai dispositivi con un profilo personale. Esse influiscono solo sul profilo di lavoro. 
  • Criteri tra diversi profili applicati sul dispositivo Consentire o bloccare la possibilità di condividere i dati tra diversi criteri. 
  • Configurazione aggiornamento di sistema È il criterio di aggiornamento del sistema che controlla il modo in cui vengono applicati gli aggiornamenti del sistema operativo. Se il tipo di aggiornamento è "a finestra", la finestra di aggiornamento si applica automaticamente anche agli aggiornamenti delle app del Play Store.
  • Periodi di blocco (si possono impostare più periodi): un periodo di tempo ripetuto annualmente in cui gli aggiornamenti di sistema over-the-air (OTA) vengono posticipati per "congelare" o mantenere la versione del sistema operativo in esecuzione su un dispositivo. Per evitare di congelare lo stato del dispositivo a tempo indeterminato, i periodi di "congelamento" devono essere separati da almeno 60 giorni.
    • Se i periodi di congelamento sono ereditati da un altro criterio, qualsiasi modifica dei periodi di congelamento del criterio figlio sovrascriverà l'intera sezione dei periodi di congelamento
Nota importante: Se imposti il tipo di configurazione dell'aggiornamento del sistema su "Automatico", stai indicando ad Android di scaricare e installare qualsiasi aggiornamento del sistema o di Google Play non appena disponibile. Come parte del processo di aggiornamento, è necessario un riavvio che avverrà automaticamente quando l'aggiornamento sarà disponibile.
È possibile che questi aggiornamenti causino interruzioni; pertanto, NinjaOne consiglia di utilizzare l'opzione "Finestra" (windowed) per impostare un intervallo di tempo specifico (a partire da mezzanotte) che si adatti al tuo programma e al tuo fuso orario. Quattro (4) ore sono di solito il tempo ideale per garantire che gli aggiornamenti vengano installati senza ridurre l'efficacia con un prolungamento eccessivo.

 

Enforcement dei criteri

L'applicazione dei criteri consente di impostare regole che definiscono il comportamento quando un criterio non può essere applicato a un dispositivo. Ad esempio, è possibile bloccare l'accesso a una determinata impostazione su un profilo di lavoro o sull'intero dispositivo per un determinato numero di giorni. Se alcuni aspetti del criterio non vengono applicati correttamente, è disponibile un'ulteriore opzione per cancellare i dati sul dispositivo. 

Per applicare l'applicazione dei criteri, fare clic su Aggiungi in alto a destra nella tabella dei criteri per trovare i criteri di applicazione che si desidera impostare.

android policy_policy enforcement.png
Immagine 13: Configurazione dell'applicazione dei criteri Android

Campo Descrizione
Nome impostazione Seleziona la funzionalità che vuoi bloccare. La tabella seguente illustra ciascuna di queste impostazioni. 
Ambito del blocco Bloccate l'accesso alle app e ai dati su un dispositivo di proprietà dell'azienda o su un profilo di lavoro. Questa azione attiva anche una notifica rivolta all'utente con informazioni (se possibile) su come correggere il problema di conformità. 
Blocca dopo giorni Facoltativamente, impostare una data specifica per il blocco dell'impostazione [#] giorni dopo il salvataggio delle modifiche al criterio. 
Elimina dopo giorni Un'azione per ripristinare un dispositivo di proprietà dell'azienda o eliminare un profilo di lavoro.
Preserva Frp Opzionalmente, conserva la protezione dal ripristino di fabbrica per i profili personali. 

 

Per una descrizione di ciascuna impostazione, consultare la tabella seguente. 

Nome impostazione Descrizione
Applicazioni Impostazioni dei criteri applicate alle app. 
Tastiera disabilitata Schermata di blocco disabilitata per gli schermi primari e/o secondari.
Servizi di accessibilità consentiti Se il campo non è impostato, è possibile utilizzare qualsiasi servizio di accessibilità. Se il campo è impostato, è possibile utilizzare solo i servizi di accessibilità presenti in questo elenco e il servizio di accessibilità integrato nel sistema. E se il campo è impostato su vuoto, è possibile utilizzare solo i servizi di accessibilità integrati nel sistema. Questa opzione può essere impostata sui dispositivi completamente gestiti e sui profili di lavoro. Quando viene applicata a un profilo di lavoro, influisce sia sul profilo personale che su quello di lavoro.
Metodi di input consentiti Se presente, sono ammessi solo i metodi di input forniti dai pacchetti di questo elenco. Se questo campo è presente, ma l'elenco è vuoto, sono ammessi solo i metodi di immissione del sistema.
Livello API minimo Livello minimo consentito di API Android.
Proxy globale consigliato Il proxy HTTP globale indipendente dalla rete. In genere, i proxy devono essere configurati per rete in Configurazione di rete. Tuttavia, per configurazioni insolite come il filtraggio interno generale, può essere utile un proxy HTTP globale. Se il proxy non è accessibile, l'accesso alla rete potrebbe interrompersi. Il proxy globale è solo una raccomandazione e alcune app potrebbero ignorarlo.
Modalità posizione Grado di rilevamento della posizione abilitato.
Pacchetto VPN sempre attivo Specifica se l'app è autorizzata a collegarsi in rete quando la VPN non è connessa e abilitata. Questa impostazione è supportata solo sui dispositivi con sistema operativo Android 10 o superiore. 
Configurazione Bluetooth disabilitata Stabilisce se la configurazione del Bluetooth è abilitata.
Criterio di crittografia Configurazione della crittografia. 
Concessioni di autorizzazioni Autorizzazioni esplicite concesse o negate per app. 
Criteri password Criteri sui requisiti delle password. Il campo Ambito password del criterio può essere impostato su criteri diversi per i profili di lavoro o per i dispositivi completamente gestiti.
Override di sicurezza avanzati I criteri di sicurezza sono impostati su valori sicuri per impostazione predefinita. NinjaOne non consiglia di sovrascrivere nessuno dei valori predefiniti per mantenere la sicurezza del dispositivo.
Criteri per l'utilizzo personale Criteri di gestione per l'uso personale su un dispositivo di proprietà dell'azienda.
Criteri trasversali rispetto ai profili Determina se i dati di un profilo (personale o lavorativo) possono essere condivisi con le app dell'altro profilo.

 

Una volta impostati i criteri, è possibile modificarli o eliminarli spostando il cursore sulla riga del criterio e facendo clic sul pulsante ellipsis. 

android policy_policy enforcement_edit.png
Immagine 14: Modificare o eliminare una Configurazione dell'applicazione dei criteri Android

 

Tracciamento della posizione

Per ulteriori informazioni, consultare la sezione Tracciamento della posizione MDM

android policy_location tracking.png
Immagine 15: Configurazione della localizzazione dei criteri Android

 

Risorse aggiuntive:

MDM: Catalogo delle risorse

Domande frequenti

Passi successivi