{"id":544151,"date":"2025-10-20T06:10:05","date_gmt":"2025-10-20T06:10:05","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=544151"},"modified":"2025-10-20T06:13:12","modified_gmt":"2025-10-20T06:13:12","slug":"criteri-di-protezione-delle-app-in-intune-mam-vs-mdm","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/criteri-di-protezione-delle-app-in-intune-mam-vs-mdm\/","title":{"rendered":"Criteri di protezione delle app in Intune scenari MAM vs MDM"},"content":{"rendered":"<p>Microsoft Intune supporta due modelli principali di gestione della sicurezza degli <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-un-dispositivo-endpoint-panoramica-per-professionisti\/\">endpoint<\/a> e delle applicazioni:<\/p>\n<ul>\n<li>Gestione dei dispositivi mobili (MDM): Un approccio a livello di dispositivo che richiede l&#8217;iscrizione completa a Intune.<\/li>\n<li>Gestione delle applicazioni mobili (MAM): Un approccio a livello di app che protegge i dati aziendali senza richiedere la registrazione del dispositivo.<\/li>\n<\/ul>\n<p>Intune utilizza le App Protection Policies (APP) per definire e applicare le regole di sicurezza delle applicazioni. Ci\u00f2 include la crittografia dei dati, i controlli di copia\/incolla e salvataggio, l&#8217;avvio condizionato delle app e i requisiti di autenticazione dell&#8217;utente per applicazioni specifiche (principalmente le app di Microsoft 365).<\/p>\n<p>Questa guida illustra i passaggi per la configurazione e l&#8217;applicazione di <strong>Intune App Protection Policy<\/strong> per i dispositivi MAM-only (BYOD) e MDM (di propriet\u00e0 aziendale). Inoltre, troverai spiegato il modo in cui Intune supporta la coesistenza di entrambi, un singolo dispositivo pu\u00f2 essere gestito sia da MDM che da MAM per consentire l&#8217;applicazione dei criteri a pi\u00f9 livelli.<\/p>\n<p>\ud83d\udccc Strategie di implementazione consigliate:<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center; vertical-align: middle;\"><strong>Clicca per scegliere un metodo<\/strong><\/td>\n<td style=\"text-align: center; vertical-align: middle;\"><strong>\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per utenti individuali<\/strong><\/td>\n<td style=\"text-align: center; vertical-align: middle;\"><strong>\ud83d\udcbb\ud83d\udcbb\ud83d\udcbb<\/strong><\/p>\n<p><strong>Pi\u00f9 adatto per ambienti enterprise<\/strong><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-1\"><strong>Applicazione dei criteri di protezione delle applicazioni: MAM-only (per BYOD)<\/strong><\/a><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<td style=\"text-align: center;\"><\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-2\"><strong>Applicazione dei criteri di protezione delle app: per i dispositivi registrati a un MDM<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-3\"><strong>Applicazione dell&#8217;accesso condizionato in base alla protezione delle app<\/strong><\/a><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#validation-method-1\"><strong>Metodo di convalida 1: Usare PowerShell per verificare la conformit\u00e0 di utenti e app<\/strong><\/a><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#validation-method-2\"><strong>Metodo di convalida 2: Utilizzare il registro di Windows per determinare l&#8217;agente MAM rispetto a quello MDM<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#validation-method-3\"><strong>Metodo di convalida 3: Usare CMD per convalidare lo stato di iscrizione a MDM<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#method-4\"><strong>Gestire la coesistenza di Criteri di gruppo e Intune MDM<\/strong><\/a><\/td>\n<td style=\"text-align: center;\"><\/td>\n<td style=\"text-align: center;\">\u2713<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Guida ai criteri di protezione delle applicazioni (APP) di Microsoft Intune<\/h2>\n<p>Questa guida spiega come applicare i <a href=\"https:\/\/learn.microsoft.com\/en-us\/intune\/intune-service\/apps\/app-protection-policy\" target=\"_blank\" rel=\"noopener\">criteri di protezione delle app (APP) in Microsoft Intune<\/a> per gli scenari di MAM-only e MDM. Illustra inoltre l&#8217;integrazione dell&#8217;accesso condizionato, i metodi di convalida e le principali considerazioni sull&#8217;implementazione.<\/p>\n<p>\ud83d\udccc <strong>Prerequisiti generali:<\/strong><\/p>\n<ul>\n<li>Licenze Microsoft Intune e <a href=\"https:\/\/www.ninjaone.com\/blog\/azure-ad-connect-what-it-is-and-how-to-configure-it\/\">Azure AD<\/a> Premium P1<\/li>\n<li>Le applicazioni devono supportare Intune SDK (ad esempio, Outlook, Teams, OneDrive).<\/li>\n<li>Per MAM: Non \u00e8 richiesta la registrazione del dispositivo.<\/li>\n<li>Per MDM: Il dispositivo deve essere registrato ad Intune.<\/li>\n<li>Accesso a Microsoft Endpoint Manager Admin Center<\/li>\n<li>Gli utenti devono essere assegnati ai gruppi di sicurezza di Azure AD interessati dal criterio.<\/li>\n<\/ul>\n<h3 id=\"method-1\">Applicazione dei criteri di protezione delle applicazioni: MAM-only (per BYOD)<\/h3>\n<p>I criteri MAM-only proteggono i dati organizzativi all&#8217;interno delle app senza registrate il dispositivo all&#8217;MDM.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:<\/strong> \u00c8 l&#8217;ideale per gli utenti <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-byod-bring-your-own-device\/\">BYOD (Bring Your Own Device)<\/a>, dove le aziende vogliono proteggere i dati aziendali all&#8217;interno delle applicazioni senza gestire l&#8217;intero dispositivo.<\/p>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>I dispositivi devono supportare Intune SDK o essere stati racchiusi utilizzando Intune App Wrapping Tool.<\/li>\n<li>Gli utenti devono avere una licenza per Intune + Azure AD Premium P1\/P2.<\/li>\n<\/ul>\n<p>Guida passo per passo:<\/p>\n<ol>\n<li>Apri <a href=\"https:\/\/go.microsoft.com\/fwlink\/?linkid=2109431\" target=\"_blank\" rel=\"noopener\"><strong>Microsoft Intune admin center<\/strong><\/a>.<\/li>\n<li>Vai su <strong>Applicazioni &gt; Criteri di protezione delle applicazioni &gt; Crea un criterio<\/strong><\/li>\n<li>Scegli la piattaforma: iOS\/iPadOS\/Android\/Windows<\/li>\n<li>In <strong>Applicazioni da selezionare<\/strong>, seleziona Microsoft e le applicazioni di terze parti supportate.<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, quindi configura le impostazioni di protezione delle app:\n<ul>\n<li><strong>Protezione dei dati: <\/strong>Imposta il modo con cui gli utenti possono interagire con i dati nelle app (tra cui tagliare\/copiare\/incollare\/salvare e criptare i dati).<\/li>\n<li><strong>Requisiti di accesso: <\/strong>Imposta i requisiti che gli utenti devono soddisfare per accedere alle app (compresi PIN, biometria o avvio condizionato).<\/li>\n<li><strong>Lancio condizionato: <\/strong>Imposta i requisiti di sicurezza per il criterio di protezione dell&#8217;accesso che vuoi implementare (compreso il blocco dell&#8217;accesso o la cancellazione dei dati dopo un intervallo di tempo offline).<\/li>\n<\/ul>\n<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, quindi assegna il criterio ai gruppi di utenti (non ai dispositivi) nella pagina <strong>Assegnazioni <\/strong>. (Leggi il n.1 di \u26a0\ufe0f <em><a href=\"#things-to-look-out-for\">Cose da tenere d&#8217;occhio<\/a><\/em>)<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, controlla le impostazioni, quindi clicca su <strong>Crea<\/strong>.<\/li>\n<li>Monitora su <strong>Monitor &gt; Stato di protezione dell&#8217;applicazione<\/strong>.<\/li>\n<\/ol>\n<p>Questo criterio si applica anche se il dispositivo non \u00e8 gestito (scenario MAM senza registrazione o MAM-WE).<\/p>\n<h3 id=\"method-2\">Applicazione dei criteri di protezione delle applicazioni: Dispositivi iscritti all&#8217;MDM<\/h3>\n<p>L&#8217;applicazione dei criteri di protezione delle app sui dispositivi iscritti all&#8217;MDM prevede gli stessi passaggi elencati sopra, ma in genere \u00e8 combinata con:<\/p>\n<ul>\n<li>Criteri di conformit\u00e0<\/li>\n<li>Profili di configurazione del dispositivo<\/li>\n<li>Criteri di accesso condizionato<\/li>\n<\/ul>\n<p>Questo fornisce un ulteriore livello di protezione oltre a quello delle configurazioni a livello di dispositivo.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:<\/strong> Ideale per i dispositivi aziendali con gestione completa.<\/p>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>I dispositivi devono essere registrati in Intune MDM<\/li>\n<li>Gli utenti devono avere una licenza per Microsoft Intune<\/li>\n<li>Le applicazioni mirate devono supportare i criteri di Intune App Protection<\/li>\n<\/ul>\n<p>Guida passo per passo:<\/p>\n<ol>\n<li>Apri <a href=\"https:\/\/go.microsoft.com\/fwlink\/?linkid=2109431\" target=\"_blank\" rel=\"noopener\"><strong>Microsoft Intune admin center<\/strong><\/a>.<\/li>\n<li>Vai su <strong>Applicazioni &gt; Criteri di protezione delle applicazioni &gt; Crea un criterio<\/strong>.<\/li>\n<li>Scegli la piattaforma: iOS\/iPadOS\/Android\/Windows<\/li>\n<li>Nella pagina <strong>Applicazioni <\/strong>, seleziona le applicazioni Microsoft e quelle di terze parti supportate.<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, quindi configura le impostazioni di protezione delle app:\n<ol>\n<li><strong>Protezione dei dati:<\/strong> Imposta il modo in cui gli utenti possono interagire con i dati nelle app (tra cui tagliare\/copiare\/incollare\/salvare e criptare i dati delle app).<\/li>\n<li><strong>Requisiti di accesso: <\/strong>Imposta i requisiti che gli utenti devono soddisfare per accedere alle app (compresi PIN, biometria o avvio condizionato).<\/li>\n<li><strong>Lancio condizionato: <\/strong>Imposta i requisiti di sicurezza per il criterio di protezione dell&#8217;accesso che vuoi implementare (compreso il blocco dell&#8217;accesso o la cancellazione dei dati dopo un intervallo di tempo offline).<\/li>\n<\/ol>\n<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, quindi assegna il criterio ai gruppi di utenti con dispositivi iscritti a MDM. (Leggi il n.1 di \u26a0\ufe0f <em><a href=\"#things-to-look-out-for\">Cose da tenere d&#8217;occhio<\/a><\/em>)<\/li>\n<li>Fai clic su <strong>Avanti<\/strong>, rivedi tutte le impostazioni e clicca su <strong>Crea <\/strong>per distribuire il criterio.<\/li>\n<li>Monitora su <strong>Monitor &gt; Stato di protezione dell&#8217;applicazione<\/strong>.<\/li>\n<\/ol>\n<h4>Qual \u00e8 la differenza tra MDM e MAM?<\/h4>\n<p>I criteri MDM controllano lo stato di conformit\u00e0 del dispositivo. Mentre, i criteri MAM proteggono ulteriormente i dati a livello di app all&#8217;interno delle applicazioni gestite.<\/p>\n<p>\ud83d\udca1 <strong>Nota: <\/strong>Intune d\u00e0 priorit\u00e0 alla protezione MDM quando sono presenti entrambi.<\/p>\n<h3 id=\"method-3\">Applicazione del controllo degli accessi basato sulla protezione delle app<\/h3>\n<p>Le organizzazioni possono applicare criteri di accesso condizionato (CA) basati sulle app per garantire che solo le app protette possano accedere ai dati aziendali.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso: <\/strong>Utilizzalo per:<\/p>\n<ul>\n<li>Bloccare l&#8217;accesso da app o dispositivi non gestiti<\/li>\n<li>Applicazione della conformit\u00e0 dei dati a livello di app (MAM-only o ibrido)<\/li>\n<li>Implementare la sicurezza Zero Trust.<\/li>\n<\/ul>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Licenze Intune e Azure AD Premium P1\/P2<\/li>\n<li>Licenza utente Microsoft 365 valida<\/li>\n<li>Le applicazioni devono essere protette da un criterio di protezione delle app esistente<\/li>\n<\/ul>\n<p>Guida passo per passo: (Leggi il n. 2 di \u26a0\ufe0f <em><a href=\"#things-to-look-out-for\">Cose da tenere d&#8217;occhio<\/a><\/em>)<\/p>\n<ol>\n<li>Accedi a <a href=\"https:\/\/entra.microsoft.com\" target=\"_blank\" rel=\"noopener\"><strong>Microsoft Entra Admin Center (Azure AD)<\/strong><\/a>.<\/li>\n<li>Vai su: Entra ID &gt; Protezione &gt; <strong>Accesso<\/strong> condizionato &gt; Criteri &gt; <strong>Nuovo<\/strong> criterio.<\/li>\n<li>In <strong>Assegnazioni<\/strong>, seleziona gli utenti o i gruppi interessati. (Leggi il n. 1 di <em>\u26a0\ufe0f <\/em><em><a href=\"#things-to-look-out-for\">Cose da tenere d&#8217;occhio<\/a><\/em>)<\/li>\n<li>Scegli le applicazioni di destinazione (ad esempio, Exchange Online, SharePoint).<\/li>\n<li>In <strong>Controlli di accesso &gt; Garantisci:<\/strong>\n<ul>\n<li>Seleziona il <strong>criterio Richiedi protezione app<\/strong>.<\/li>\n<li>Opzionale: <strong>Richiedi un&#8217;applicazione approvata <\/strong>e <strong>richiedere l&#8217;MFA<\/strong><\/li>\n<\/ul>\n<\/li>\n<li>Attiva il criterio e fa clic su <strong>Crea<\/strong>.<\/li>\n<\/ol>\n<p>Questi criteri funzionano in tandem con le App Protection Policies (APP) di Intune.<\/p>\n<p>\ud83d\udca1 Ti consigliamo di leggere anche <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/configura-i-criteri-di-accesso-condizionale-ad\/\"><em>Come configurare i criteri di accesso condizionato in Azure AD<\/em><\/a>.<\/p>\n<h3 id=\"validation-method-1\">Metodo di convalida 1: Usare PowerShell per verificare la conformit\u00e0 di utenti e app<\/h3>\n<p>PowerShell pu\u00f2 essere utilizzato con Graph API per recuperare le assegnazioni dei criteri e valutare lo stato di applicazione su dispositivi e app.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:<\/strong> Utilizzarlo per:<\/p>\n<ul>\n<li>Convalidare le assegnazioni di APP tra gli utenti del tenant<\/li>\n<li>Verificare di quali dispositivi o utenti sono gestiti con MAM<\/li>\n<li>Generare rapporti di conformit\u00e0 per ambienti MSP o aziendali<\/li>\n<\/ul>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>Diritti di amministratore con i ruoli di Intune Admin, Global Admin, or Security Reader<\/li>\n<li>\u00c8 necessario installare il Microsoft Graph PowerShell SDK.<\/li>\n<\/ul>\n<p>Ecco come procedere:<\/p>\n<ol>\n<li>Installa l&#8217;SDK Graph (se non lo hai gi\u00e0):<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong><code>Installa il modulo Microsoft.Graph -Scope CurrentUser<\/code><\/strong><\/p>\n<ol start=\"2\">\n<li>Collegati a Microsoft Graph:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong><code>Connect-MgGraph -Scopes \"DeviceManagementApps.Read.All\", \"Policy.Read.All\"<\/code><\/strong><\/p>\n<p style=\"padding-left: 40px;\">Ti verr\u00e0 richiesto di accedere con un account di amministratore.<\/p>\n<ol start=\"3\">\n<li>Elenca tutti i criteri di protezione delle applicazioni e le relative assegnazioni:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong><code>Get-MgDeviceAppManagementTargetedManagedAppPolicy<\/code><\/strong><\/p>\n<ol start=\"4\">\n<li>Esegui una query per l&#8217;assegnazione di un utente specifico:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong><code>Get-MgDeviceAppManagementManagedAppRegistration -UserId &lt;user@domain.com&gt;<\/code><\/strong><\/p>\n<p>\ud83d\udca1 <strong>Nota<\/strong>: Puoi esportare i risultati in CSV utilizzando | Export-Csv-<strong>Path<\/strong> &#8220;filename.csv&#8221; per la creazione di report.<\/p>\n<h3 id=\"validation-method-2\">Metodo di convalida 2: Utilizzare il registro di Windows per determinare l&#8217;agente MAM rispetto a quello MDM<\/h3>\n<p>Questo metodo aiuta a determinare se un dispositivo \u00e8 gestito tramite MDM o MAM. Se si tratta di entrambi, l&#8217;obiettivo \u00e8 identificare quale agente sta applicando attivamente i criteri.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:<\/strong> Utilizzarlo per:<\/p>\n<ul>\n<li>Risoluzione dei conflitti di iscrizione<\/li>\n<li>Confermare lo stato MDM o MAM sugli endpoint durante la migrazione<\/li>\n<li>Differenziare la configurazione BYOD rispetto a quella aziendale<\/li>\n<\/ul>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>\u00c8 necessario aver effettuato l&#8217;accesso come amministratore.<\/li>\n<li>I dispositivi devono essere registrati o uniti ad Azure AD e devono avere configurato MAM o MDM.<\/li>\n<\/ul>\n<p><strong>\u26a0\ufe0f Attenzione: <\/strong>La modifica del registro pu\u00f2 causare problemi al sistema. <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/back-up-e-ripristino-del-registro-di-windows\/\">Crea un backup<\/a> prima di procedere. (Leggi il n. 3 di \u26a0\ufe0f <em><a href=\"#things-to-look-out-for\">Cose da tenere d&#8217;occhio<\/a><\/em>)<\/p>\n<p>Ecco come procedere:<\/p>\n<ol>\n<li>Premi la combinazione di tasti <strong>Win + R<\/strong>, digita <strong>regedit<\/strong> e clicca su <strong>Invio<\/strong>.<\/li>\n<li>Fai clic su <strong>S\u00ec<\/strong> se richiesto da UAC.<\/li>\n<li>Per verificare la presenza di chiavi di iscrizione MDM, vai su:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>HKEY_LOCAL_MACHINE<\/strong><strong>\\S<\/strong><strong>OFTWARE<\/strong><strong>\\M<\/strong><strong>icrosoft<\/strong><strong>\\E<\/strong><strong>nrollments<\/strong><\/p>\n<p style=\"padding-left: 40px;\">Controllo:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><strong>EnrollmentType<\/strong> (0 = MDM, 6 = MDM+EAS)<\/li>\n<li><strong>ProviderName<\/strong><\/li>\n<li><strong>UPN<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ol start=\"4\">\n<li>Per verificare la registrazione MAM, vai su:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>HKEY_CURRENT_USER<\/strong><strong>\\S<\/strong><strong>oftware<\/strong><strong>\\M<\/strong><strong>icrosoft<\/strong><strong>\\M<\/strong><strong>SEnrollment<\/strong><strong>\\E<\/strong><strong>nrollmentEntries<\/strong><\/p>\n<p style=\"padding-left: 40px;\">Chiavi di revisione per:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><strong>ADDTenantID<\/strong><\/li>\n<li><strong>AzureADDeviceID<\/strong><\/li>\n<li><strong>UPN<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ol start=\"5\">\n<li>Vai al seguente percorso per controllare il WIP MAM legacy:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>HKEY_LOCAL_MACHINE<\/strong><strong>\\S<\/strong><strong>OFTWARE<\/strong><strong>\\M<\/strong><strong>icrosoft<\/strong><strong>\\P<\/strong><strong>olicyManager<\/strong><strong>\\c<\/strong><strong>urrent<\/strong><strong>\\d<\/strong><strong>evice\\<\/strong><\/p>\n<p style=\"padding-left: 40px;\">Chiavi di revisione per:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><strong>SystemSecurity<\/strong><\/li>\n<li><strong>DataProtection<\/strong><\/li>\n<li><strong>WindowsInformationProtection<\/strong> (WIP = MAM legacy per Windows)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Su Android\/iOS, i criteri MAM vengono applicati tramite SDK e non possono essere verificati tramite l&#8217;accesso al registro locale.<\/p>\n<h3 id=\"validation-method-3\">Metodo di convalida 3: Usare CMD per convalidare lo stato di iscrizione a MDM<\/h3>\n<p>Questo metodo fornisce una rapida istantanea dello stato di registrazione MDM e di adesione ad Azure AD.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso:<\/strong> Utilizzarlo per:<\/p>\n<ul>\n<li>Confermare la corretta iscrizione di un dispositivo in Intune MDM<\/li>\n<li>Risoluzione dei problemi di iscrizione automatica<\/li>\n<li>Convalidare i prerequisiti per l&#8217;applicazione delle APP<\/li>\n<\/ul>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>\u00c8 necessario aver effettuato l&#8217;accesso come amministratore.<\/li>\n<\/ul>\n<p>Ecco come procedere:<\/p>\n<ol>\n<li>Premi <strong>Win + X <\/strong>e seleziona <strong>Prompt dei comandi (Admin) <\/strong>o <strong>Terminale di Windows (Admin)<\/strong>.<\/li>\n<li>Esegui questo comando per verificare la registrazione MDM del dispositivo:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong><code>dsregcmd \/status<\/code><\/strong><\/p>\n<p style=\"padding-left: 40px;\">Cerca:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><strong>MDMUrl<\/strong>: Conferma l&#8217;endpoint MDM<\/li>\n<li><strong>DeviceCompliancePolicyReceived<\/strong>: YES<\/li>\n<li><strong>WIPAbilitato<\/strong>: YES (solo se utilizzi Windows Information Protection)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>L&#8217;utilit\u00e0 CMD non fornisce indicatori MAM diretti, ma aiuta a convalidare i prerequisiti MDM.<\/p>\n<h3 id=\"method-4\">Gestisci la coesistenza di Criteri di gruppo e Intune MDM<\/h3>\n<p>Questa configurazione viene utilizzata in ambienti ibridi in cui alcune gestioni provengono dai Criteri di gruppo e altre da Intune MDM.<\/p>\n<p>\ud83d\udccc <strong>Casi d&#8217;uso: <\/strong>Utilizzalo per:<\/p>\n<ul>\n<li>Abilitare l&#8217;iscrizione automatica all&#8217;MDM per i dispositivi ibridi collegati ad Azure AD<\/li>\n<li>Evitare i conflitti tra le configurazioni GPO e Intune<\/li>\n<\/ul>\n<p>\ud83d\udccc <strong>Prerequisiti:<\/strong><\/p>\n<ul>\n<li>I dispositivi devono essere collegati al dominio e registrati in Azure AD o collegati in modo ibrido.<\/li>\n<li>Accesso Admin alla <a href=\"https:\/\/www.ninjaone.com\/videos\/endpoint-management\/an-overview-of-group-policy-management-console-what-you-need-to-know\/\">Console Gestione Criteri di Gruppo (GPMC)<\/a> o a <strong>gpedit.msc<\/strong> locale.<\/li>\n<\/ul>\n<p>Guida passo per passo:<\/p>\n<ol>\n<li>Premi <strong>Win + R<\/strong>, digita <strong>gpedit.msc<\/strong> e clicca su <strong>Invio<\/strong>.<\/li>\n<li>Vai su:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Configurazione del computer &gt; Modelli amministrativi &gt; Componenti di Windows &gt; MDM<\/strong><\/p>\n<ol start=\"3\">\n<li>Enable (abilitare):\n<ul>\n<li>Abilitare l&#8217;iscrizione automatica a MDM utilizzando le credenziali predefinite di Azure AD<\/li>\n<li>Impostare la credenziale utente come tipo di iscrizione (per l&#8217;unione ibrida)<\/li>\n<\/ul>\n<\/li>\n<li>Applicare il criterio e riavviare il dispositivo.<\/li>\n<\/ol>\n<p>Ci\u00f2 garantisce che un dispositivo sia idoneo per l&#8217;applicazione guidata da MDM, consentendo la separazione della gestione MDM e MAM, se necessario.<\/p>\n<h2 id=\"things-to-look-out-for\">\u26a0\ufe0f Cose da tenere d&#8217;occhio<\/h2>\n<table>\n<tbody>\n<tr>\n<td><strong>Rischi<\/strong><\/td>\n<td><strong>Potenziali conseguenze<\/strong><\/td>\n<td><strong>Possibilit\u00e0 di tornare alla configurazione precedente<\/strong><\/td>\n<\/tr>\n<tr>\n<td>1. Assegnazione di una APP a un gruppo di utenti non corretto<\/td>\n<td>Gli utenti possono essere bloccati dall&#8217;accesso alle app aziendali o costretti a restrizioni non necessarie.<\/td>\n<td>Rimuovi il gruppo dalle assegnazioni dei criteri in Intune e distribuisci nuovamente il gruppo di destinazione corretto.<\/td>\n<\/tr>\n<tr>\n<td>2. Accesso condizionato mal configurato<\/td>\n<td>Gli utenti possono accedere ai dati da applicazioni non gestite o non protette<\/td>\n<td>Aggiorna il criterio Accesso condizionato per includere il <strong>criterio Richiedi protezione app <\/strong>e ripeti il test.<\/td>\n<\/tr>\n<tr>\n<td>3. Modifica del registro senza backup<\/td>\n<td>Ci\u00f2 pu\u00f2 causare un comportamento errato del dispositivo, un fallimento dell&#8217;iscrizione o la perdita della connessione MDM.<\/td>\n<td>Esegui il backup del registro prima di apportare le modifiche, utilizza un dispositivo di prova e, se necessario, ripristina le chiavi di registro precedenti.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Ulteriori considerazioni<\/h2>\n<p>Conosci alcune limitazioni della piattaforma, i requisiti degli utenti e il modo in cui MAM e Accesso condizionato funzionano in tandem quando applichi l&#8217;APP con Intune:<\/p>\n<h3>Applicazioni supportate<\/h3>\n<p>I criteri di Mobile Application Management (MAM) si applicano solo alle applicazioni supportate:<\/p>\n<ul>\n<li>Applicazioni che sono state integrate con Intune App SDK<\/li>\n<li>Applicazioni che sono state racchiuse utilizzando lo strumento Intune App Wrapping Tool<\/li>\n<\/ul>\n<h3>Gestione basata sugli utenti<\/h3>\n<p>Il MAM \u00e8 basato sull&#8217;utente, non sul dispositivo. Ci\u00f2 significa che gli utenti devono avere una licenza Intune assegnata al proprio account Microsoft Entra ID.<\/p>\n<h3>Limitazioni di Windows<\/h3>\n<p>Il supporto MAM su Windows \u00e8 attualmente limitato a Microsoft Edge. Per un controllo completo dei dispositivi e delle app, l&#8217;utente deve iscriversi al programma MDM tramite Intune.<\/p>\n<h3>Controllo degli accessi<\/h3>\n<p>I criteri di accesso condizionato (CA) devono essere stratificati per limitare l&#8217;accesso in base allo stato e alla protezione dell&#8217;applicazione. Senza CA, gli utenti possono aggirare le protezioni accedendo ai dati aziendali attraverso app non gestite.<\/p>\n<h2>Risoluzione dei problemi<\/h2>\n<p>Ecco i problemi e le soluzioni pi\u00f9 comuni che si possono incontrare con le App Protection Policies (APP) di Microsoft Intune negli scenari MAM e MDM:<\/p>\n<h3>Criterio non applicabile<\/h3>\n<p>Verifica se l&#8217;utente fa parte del gruppo di destinazione e se utilizza un&#8217;applicazione supportata.<\/p>\n<ol>\n<li>Apri <strong>Intune Admin Center &gt; Apps &gt; Criteri di protezione delle app.<\/strong><\/li>\n<li>Apri il criterio interessato e vai su <strong>Assegnazioni<\/strong>.<\/li>\n<li>Conferma che l&#8217;utente fa parte di un gruppo Azure AD incluso.<\/li>\n<\/ol>\n<p>\ud83d\udca1 <strong>Suggerimento: <\/strong>Puoi fare riferimento all&#8217;<a href=\"https:\/\/learn.microsoft.com\/en-us\/intune\/intune-service\/apps\/apps-supported-intune-apps\" target=\"_blank\" rel=\"noopener\"><em>elenco delle applicazioni protette di Microsoft Intune<\/em><\/a> per confermare la compatibilit\u00e0 delle app.<\/p>\n<h3>App non protetta<\/h3>\n<p>Controlla se l&#8217;applicazione \u00e8 stata creata o se \u00e8 supportata dall&#8217;SDK. Come?<\/p>\n<ol>\n<li>Per le app pubbliche, puoi fare riferimento all&#8217;<a href=\"https:\/\/learn.microsoft.com\/en-us\/intune\/intune-service\/apps\/apps-supported-intune-apps\" target=\"_blank\" rel=\"noopener\"><em>elenco delle app protette di Microsoft Intune<\/em><\/a> e cercare il nome dell&#8217;app.<\/li>\n<li>Per le applicazioni LOB (Line-of-Business) personalizzate, chiedi al tuo team dev se \u00e8 stato aggiunto l&#8217;SDK Intune App.<\/li>\n<li>Controlla se l&#8217;applicazione \u00e8 stata elaborata con Intune App Wrapping Tool.<\/li>\n<\/ol>\n<p>(\ud83d\udca1 <strong>Leggi <\/strong><a href=\"https:\/\/learn.microsoft.com\/en-us\/intune\/intune-service\/developer\/app-wrapper-prepare-android\" target=\"_blank\" rel=\"noopener\"><em>Racchiudere le app Android con Intune Wrapping Tool<\/em><\/a><em>. )<\/em><\/p>\n<h3>MAM-WE fallisce<\/h3>\n<p>Controlla la licenza di Intune e che il dispositivo non sia iscritto a un MDM.<\/p>\n<ol>\n<li>Apri <strong>Microsoft 365 Admin Center &gt; Utenti &gt; <\/strong>Seleziona utente <strong>&gt; Licenze<\/strong>.<\/li>\n<li>Controlla se all&#8217;utente \u00e8 assegnata una licenza Intune.<\/li>\n<li>Per verificare se il dispositivo non \u00e8 iscritto a MDM:<\/li>\n<\/ol>\n<ul>\n<li>Premi <strong>Win + I <\/strong>per aprire <strong>Impostazioni &gt; Account &gt; Accedi all\u2019azienda o all\u2019istituto di isctruzione<\/strong>.<\/li>\n<li>Se il dispositivo \u00e8 elencato come <strong>connesso ad Azure AD<\/strong>, \u00e8 gestito dall\u2019MDM. L&#8217;account pu\u00f2 essere rimosso e inserito nuovamente con l&#8217;intento di essere solo MAM.<\/li>\n<\/ul>\n<h3>Errori di accesso negato<\/h3>\n<p>Esamina l&#8217;accesso condizionato e lo stato di conformit\u00e0 nei registri di Azure:<\/p>\n<ul>\n<li>Accedi ad <strong>Azure Portal &gt; Entra ID &gt; Sicurezza &gt; Accesso condizionale &gt; Analisi e report<\/strong>. Quindi, filtra in base all&#8217;utente interessato, all&#8217;applicazione e all\u2019errore.<\/li>\n<\/ul>\n<p>Per verificare lo stato di conformit\u00e0:<\/p>\n<ul>\n<li>Accedi a <strong>Intune Admin Center &gt; Dispositivi &gt; <\/strong>Seleziona il dispositivo <strong>&gt; Conformit\u00e0 del dispositivo<\/strong>.<\/li>\n<li>Controlla lo stato di conformit\u00e0 e l&#8217;ora dell&#8217;ultimo check-in.<\/li>\n<\/ul>\n<h4>Diagnostica<\/h4>\n<p>Ecco dove trovare i registri:<\/p>\n<ul>\n<li>Registri della console Intune (iOS\/Android)<\/li>\n<li>Registri del portale aziendale<\/li>\n<li><a href=\"http:\/\/endpoint.microsoft.com\" target=\"_blank\" rel=\"noopener\">Endpoint.microsoft.com<\/a> &gt; Monitoraggio &gt; Stato di protezione delle app<\/li>\n<\/ul>\n<h2>Servizi NinjaOne<\/h2>\n<p>NinjaOne migliora la protezione a livello di app e di dispositivo attraverso:<\/p>\n<table>\n<tbody>\n<tr>\n<td><strong>NinjaOne service<\/strong><\/td>\n<td><strong>Come NinjaOne migliora la protezione a livello di app e dispositivi<\/strong><\/td>\n<\/tr>\n<tr>\n<td><strong>Monitoraggio delle app<\/strong><\/td>\n<td>Monitora lo stato di installazione e lo stato di salute delle app sui dispositivi iscritti all&#8217;MDM<\/td>\n<\/tr>\n<tr>\n<td><strong>Automazione degli script<\/strong><\/td>\n<td>Automatizza i controlli dei prerequisiti e applica la conformit\u00e0 per le politiche MDM e di protezione delle app<\/td>\n<\/tr>\n<tr>\n<td><strong>Visibilit\u00e0 delle registrazioni<\/strong><\/td>\n<td>Visualizza dashboard unificate che mostrano l&#8217;iscrizione al solo MAM e quella all&#8217;MDM completo<\/td>\n<\/tr>\n<tr>\n<td><strong>Etichettatura dei dispositivi<\/strong><\/td>\n<td>Utilizza campi personalizzati per classificare i dispositivi BYOD, aziendali o ibridi<\/td>\n<\/tr>\n<tr>\n<td><strong>Avvisi di comportamento<\/strong><\/td>\n<td>Segnala problemi come app non conformi, agenti mancanti ed errori di iscrizione<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Con questi strumenti, gli MSP possono gestire e proteggere diversi parchi di dispositivi, indipendentemente dal tipo di gestione.<\/p>\n<h2>Configurazione del criterio di protezione delle applicazioni Intune per gli scenari BYOD e MDM<\/h2>\n<p>I criteri di protezione delle app offrono un modo flessibile e potente per proteggere i dati aziendali, indipendentemente dal fatto che il dispositivo sia iscritto o meno a una piattaforma di gestione. Questi criteri consentono agli MSP e ai team IT di applicare una sicurezza coerente a livello di app sui dispositivi sia in ambienti solo MAM (BYOD) sia in ambienti MDM (di propriet\u00e0 dell&#8217;azienda).<\/p>\n<p>Questa guida fornisce passi chiari per la creazione, la configurazione e l&#8217;assegnazione delle APP per entrambi gli scenari. Include anche strumenti pratici per convalidare la distribuzione attraverso il registro, CMD e GPO. Inoltre, troverai le best practice per le integrazioni di Compliance Access e il modo in cui NinjaOne supporta gli MSP per ottimizzare l&#8217;applicazione dei criteri su scala.<\/p>\n<p><strong>Argomenti correlati:<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/mdm-e-mam\/\">MDM vs MAM: 8 differenze chiave<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/blog\/enterprise-mobility-management-emm\/\">Esplorare la gestione della mobilit\u00e0 aziendale (EMM)<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/vantaggi-della-gestione-unificata-degli-endpoint-per-aziende\/\">Guida completa alla gestione unificata degli endpoint<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/come-distribuire-le-applicazioni-con-intune\/\">Come distribuire le applicazioni utilizzando il centro di amministrazione Microsoft Intune<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/scegliere-il-miglior-strumento-per-la-distribuzione-dei-software-intune-e-ninjaone-a-confronto-la-prospettiva-di-un-utente\/\">Scegli il giusto strumento di distribuzione del software: Intune vs. NinjaOne &#8211; Il punto di vista dell&#8217;utente<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft Intune supporta due modelli principali di gestione della sicurezza degli endpoint e delle applicazioni: Gestione dei dispositivi mobili (MDM): Un approccio a livello di dispositivo che richiede l&#8217;iscrizione completa a Intune. Gestione delle applicazioni mobili (MAM): Un approccio a livello di app che protegge i dati aziendali senza richiedere la registrazione del dispositivo. Intune [&hellip;]<\/p>\n","protected":false},"author":221,"featured_media":532456,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-544151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"Chiara Cavalletti","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/544151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/221"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=544151"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/544151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/532456"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=544151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=544151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=544151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}