Configurazione dei criteri di protezione delle applicazioni (APP) in Microsoft Intune

Configurazione dei criteri di protezione delle applicazioni (APP) in Microsoft Intune

14/06/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'implementazione dei criteri di protezione delle applicazioni (APP), noti anche come gestione delle applicazioni mobili (MAM) senza accesso, in Microsoft Intune. Le APP sono fondamentali per proteggere i dati aziendali sui dispositivi mobili, siano essi gestiti da Intune (MDM) o non gestiti (BYOD - Bring Your Own Device), garantendo che i dati dell'organizzazione rimangano sicuri e isolati dai dati personali [1].

Introduzione

In uno scenario in cui la mobilità è fondamentale e l’utilizzo dei dispositivi personali per scopi lavorativi (BYOD) è sempre più diffuso, la protezione dei dati aziendali diventa una sfida non da poco. Microsoft Intune App Protection Policies (APP) offre una solida soluzione a questo problema, consentendo alle organizzazioni di controllare il modo in cui si accede, si utilizzano e si condividono i dati aziendali all'interno di specifiche applicazioni mobili senza la necessità di gestire l'intero dispositivo. Ciò significa che puoi proteggere i dati in app come Outlook, Word, Excel, SharePoint e altre app gestite da Intune, anche su dispositivi non registrati in MDM [2].

Questa guida pratica riguarderà la creazione e la configurazione delle policy APP per iOS/iPadOS e Android, inclusa la definizione dei controlli di accesso, della protezione dei dati e dei requisiti di conformità. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa implementare un'efficace strategia di protezione dei dati, proteggendo le informazioni sensibili e garantendo la conformità normativa sui dispositivi mobili.

Perché le policy di protezione delle applicazioni (APP) sono cruciali?

  • Protezione dei dati aziendali: previene la perdita di dati (DLP) controllando azioni come copia, incolla, salva con nome e stampa schermata nelle applicazioni gestite.
  • Supporto BYOD: consente agli utenti di utilizzare i propri dispositivi personali per lavoro proteggendo al tempo stesso i dati aziendali senza invadere la privacy personale.
  • Controlli di accesso flessibili: richiede PIN, dati biometrici o credenziali aziendali per accedere alle applicazioni gestite, garantendo che solo gli utenti autorizzati possano accedere ai dati aziendali.
  • Isolamento dei dati: garantisce che i dati aziendali non possano essere spostati in applicazioni o archivi personali non gestiti.
  • Conformità: aiuta a soddisfare i requisiti normativi che richiedono la protezione dei dati sui dispositivi mobili.
  • Esperienza utente migliorata: fornisce un'esperienza utente coerente e sicura attraverso le applicazioni aziendali.

Prerequisiti

Per implementare i criteri di protezione delle applicazioni (APP) in Microsoft Intune, saranno necessari i seguenti elementi:

  1. Licenza: una licenza che include Microsoft Intune (ad esempio Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Accesso amministrativo: un account con autorizzazioni "Amministratore di Intune", "Amministratore dell'applicazione Intune" o "Amministratore globale" nell'interfaccia di amministrazione di Microsoft Intune (https://endpoint.microsoft.com).
  3. App gestite da Intune: le app che si desidera proteggere devono essere "MAM-aware" (conformi a MAM), come le app Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) e altre app line-of-business che sono state integrate con Intune App Protection SDK [4].
  4. Dispositivi di test: dispositivi iOS/iPadOS e Android per testare le policy.

Passo dopo passo: configurazione dei criteri di protezione delle applicazioni (APP)

Creiamo criteri APP per iOS/iPadOS e Android per proteggere i dati aziendali nelle app Microsoft 365.

1. Accesso all'interfaccia di amministrazione di Microsoft Intune

  1. Apri il browser e vai a "https://endpoint.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.

2. Creazione di una nuova policy di protezione dell'applicazione

  1. Nel riquadro di navigazione a sinistra, seleziona Applicazioni > Criteri di protezione delle applicazioni.
  2. Fare clic su Crea policy e selezionare la piattaforma desiderata (ad esempio: iOS/iPadOS). Ripeteremo il processoper Android.

Passaggio 1: informazioni di base

  1. Nome: APP - iOS - Corporate Data Protection (o APP - Android - Corporate Data Protection).
  2. Descrizione: "Politica per proteggere i dati aziendali nelle app Microsoft 365 su dispositivi iOS/iPadOS."
  3. Fare clic su Avanti.

Passaggio 2: applicazioni

Qui puoi selezionare le applicazioni che saranno prese di mira da questa politica.

  1. App di destinazione: seleziona "Tutte le app Microsoft" (per proteggere tutte le app Microsoft 365 e altre app Microsoft che supportano APP) o "Seleziona app personalizzate" (per scegliere app specifiche).
  2. Per questo esempio, seleziona "Tutte le app Microsoft".
  3. Fare clic su Avanti.

Passaggio 3: protezione dei dati

Questa sezione definisce la modalità di protezione dei dati aziendali all'interno delle applicazioni.

Trasferimenti di dati:

  1. Invia dati dell'organizzazione ad altre app: seleziona "Tutte le app" o "Nessuna app".
    • Suggerimento: per la massima sicurezza, "Nessuna app" impedisce che i dati aziendali vengano spostati nelle app personali. Se hai bisogno di interoperabilità con applicazioni line-of-business non gestite, prendi in considerazione "Tutte le applicazioni" con limitazioni aggiuntive.
  2. Ricevi dati da altre app: seleziona "Tutte le app" o "Nessuna app".
  3. Consenti agli utenti di salvare copie dei dati dell'organizzazione: seleziona "Nessuna applicazione".
  4. Consenti agli utenti di salvare copie dei dati dell'organizzazione nei servizi cloud selezionati: se è necessario consentire il salvataggio in servizi cloud specifici (ad esempio OneDrive for Business, SharePoint), configuralo qui.

Crittografia:

  1. Crittografa i dati dell'organizzazione: seleziona "Sì".

Caratteristiche:

  1. Limita le funzioni taglia, copia e incolla: seleziona "Solo per le app con criteri" (per consentire il copia/incolla tra le app gestite, ma non per le app personali) o "Blocca" (per impedirlo completamente).
  2. Impedisci screenshot e registrazione dello schermo: seleziona "Sì".
  3. Sincronizza i contatti con le app native: seleziona "Blocca".

  4. Stampa dei dati dell'organizzazione: selezionare "Blocca".

  5. Fare clic su Avanti.

Passaggio 4: requisiti di accesso

Questa sezione definisce le condizioni che un utente deve soddisfare per accedere alle applicazioni gestite.

  1. PIN per l'accesso: seleziona "Richiedi PIN".
    • Tipo PIN: Numerico o Numero complesso.
    • Lunghezza minima del PIN: "4" (o più, a seconda della politica di sicurezza).
    • Consenti impronta digitale anziché PIN: "Sì" (per comodità).
  2. Credenziali aziendali per l'accesso: selezionare "Richiedi credenziali aziendali" (per la riautenticazione periodica).

  3. Verifica integrità dispositivo/applicazione: selezionare "Sì".

    • Livello di minaccia massimo consentito: "Basso" o "Medio" (si integra con Microsoft Defender per Endpoint per iOS/Android).

  4. Fare clic su Avanti.

Passaggio 5: avvio condizionale

Questa sezione definisce cosa succede se il dispositivo o l'app non soddisfa i requisiti dei criteri.

  1. PIN di accesso: Configura il "Numero massimo di tentativi PIN" (es: "5"). Azione: "Reimposta PIN" o "Cancella dati".
  2. Credenziali offline: configura il "Periodo di grazia offline" (ad esempio "720" minuti). Azione: "Blocca accesso" o "Cancella dati".

  3. Livello di minaccia del dispositivo: configura il "Livello di minaccia massimo consentito" (ad esempio "Medio"). Azione: "Blocca accesso" o "Cancella dati".

  4. Fare clic su Avanti.

Passaggio 6: compiti

Assegnare la policy agli utenti o ai gruppi che utilizzeranno le applicazioni gestite.

  1. Includi: seleziona "Seleziona gruppi" e aggiungi i gruppi di utenti che dovrebbero ricevere questa policy (ad esempio "Tutti gli utenti" o un gruppo specifico di utenti aziendali).

  2. Elimina: (facoltativo) elimina gruppi specifici, se necessario.

  3. Fare clic su Avanti.

Passaggio 7: rivedi e crea

  1. Esaminare tutte le impostazioni dei criteri.
  2. Fare clic su Crea.

3. Ripetizione per l'altra piattaforma (Android)

Ripetere i passaggi nella Sezione 2 per creare una policy per la piattaforma Android, modificando il nome e la descrizione della policy, se necessario. Le impostazioni di protezione dei dati, i requisiti di accesso e la liberazione condizionale sono simili ma potrebbero avere dimensioni ridotteEsistono variazioni specifiche della piattaforma.

Convalida e test

La convalida delle policy delle APP è fondamentale per garantire che funzionino come previsto e proteggano i dati aziendali.

1. Test su dispositivi gestiti e non gestiti

  1. Dispositivo non gestito (BYOD): su un dispositivo personale non registrato in Intune (MDM), installare un'app gestita (ad esempio Outlook). Accedi con un account aziendale che rientra nell'ambito della politica dell'APP. *Verifica se l'applicazione richiede il PIN di accesso o i dati biometrici.
    • Prova a copiare i dati aziendali in un'applicazione personale (ad esempio Blocco note). L'azione deve essere bloccata.
    • Prova a fare uno screenshot all'interno dell'applicazione gestita. L'azione deve essere bloccata oppure lo screenshot deve apparire vuoto.
  2. Dispositivo gestito (MDM): su un dispositivo registrato in Intune (MDM), testare le stesse azioni per garantire che i criteri APP siano applicati correttamente insieme ai criteri MDM.

2. Controllo dei log di diagnostica di Intune

I log di diagnostica di Intune possono fornire informazioni sull'applicazione dei criteri APP.

  1. Nell'interfaccia di amministrazione di Microsoft Intune, vai a Risoluzione dei problemi e supporto.
  2. Cerca l'utente di prova.
  3. Nella sezione Applicazioni è possibile visualizzare lo stato della policy di protezione dell'applicazione applicata all'utente e alle applicazioni.

3. Controllo del report sullo stato dei criteri di protezione delle app

  1. Nell'interfaccia di amministrazione di Microsoft Intune, vai su App > Monitor > Stato protezione app.
  2. Questo report fornisce una panoramica dello stato delle policy APP, inclusi gli utenti e le applicazioni che le hanno ricevute ed eventuali errori.

Suggerimenti e best practice per la sicurezza

  • Inizia con l'audit: per le nuove implementazioni, inizia con policy meno restrittive o in modalità di audit (se disponibile) per comprendere l'impatto prima di applicare blocchi completi.
  • Comunicazione chiara: comunica chiaramente agli utenti le politiche dell'APP, i suoi vantaggi e il modo in cui influenzano l'uso dei loro dispositivi. Ciò aiuta a ridurre la resistenza e ad aumentare la compliance.
  • Coerenza multipiattaforma: mantieni i criteri dell'APP coerenti su iOS/iPadOS e Android per un'esperienza utente unificata e un livello di sicurezza coerente.
  • Integrazione con accesso condizionale: combinare i criteri APP con l'accesso condizionale di Azure AD per richiedere che le applicazioni siano protette da APP prima di concedere l'accesso alle risorse aziendali [5].
  • Revisione periodica: rivedi e modifica regolarmente le policy dell'APP per adattarle alle mutevoli esigenze aziendali, al panorama delle minacce e agli aggiornamenti delle applicazioni.
  • Dai priorità alle applicazioni sensibili: inizia applicando i criteri APP alle applicazioni che contengono i dati più sensibili o che vengono maggiormente utilizzate per scopi aziendali.
  • PIN e dati biometrici: richiedi PIN o dati biometrici per l'accesso alle app gestite per un ulteriore livello di sicurezza, soprattutto sui dispositivi condivisi.

Risoluzione dei problemi comuni

  • Criterio APP non applicato: controlla se l'utente è nel gruppo di inclusione dei criteri. Assicurati che l'app sia gestita da Intune e sia presente nell'elenco delle app di destinazione. Controllare i log di diagnostica di Intune.
  • Utenti bloccati inaspettatamente: controlla le impostazioni di "Avvio condizionale" della policy. È possibile che il dispositivo o l'app stia violando una condizione (ad esempio, PIN errato, dispositivo rootato/jailbroken).
  • Perdita di dati aziendali: rivedi le impostazioni di "Protezione dati", in particolare le restrizioni "Invia dati dell'organizzazione ad altre applicazioni" e "Consenti agli utenti di salvare copie dei dati dell'organizzazione".
  • L'app non viene visualizzata come gestita: assicurarsi che l'app sia distribuita come app gestita da Intune o che l'utente abbia effettuato l'accesso con il proprio account di lavoro nell'app.
  • Problemi di prestazioni dell'applicazione: in alcuni casi, criteri APP molto restrittivi possono influire sulle prestazioni dell'applicazione. Monitorare il feedback degli utenti e modificare le politiche, se necessario.
  • Conflitti con altri criteri: se allo stesso dispositivo sono applicati criteri MDM e APP, assicurati che non vi siano conflitti. Criteri di generazione dell'APPQuesti criteri si applicano solo ai dati all'interno dell'app, mentre i criteri MDM si applicano al dispositivo nel suo complesso.

Conclusione

Le policy di protezione delle applicazioni (APP) in Microsoft Intune sono uno strumento essenziale per proteggere i dati aziendali sui dispositivi mobili, fornendo flessibilità e sicurezza per gli ambienti BYOD. Implementando controlli granulari sulle modalità di accesso, utilizzo e condivisione dei dati all'interno delle applicazioni gestite, le organizzazioni possono mitigare in modo significativo il rischio di perdita di dati e garantire la conformità normativa. Un'attenta configurazione delle APP, combinata con test rigorosi e formazione degli utenti, consente ai team IT e di sicurezza di estendere la protezione dei dati oltre il perimetro tradizionale, garantendo che le informazioni più preziose dell'azienda rimangano al sicuro, indipendentemente dal dispositivo utilizzato. Con questa guida, i professionisti della sicurezza saranno in grado di rafforzare la sicurezza mobile e proteggere le risorse informative in un mondo sempre più connesso.

Riferimenti:

[1]Microsoft Learn. Panoramica delle policy di protezione delle applicazioni. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2]Microsoft Learn. Crea e distribuisci policy di protezione delle applicazioni. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3]Microsoft Learn. Requisiti di licenza di Microsoft Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4]Microsoft Learn. Applicazioni protette da Microsoft Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5]Microsoft Learn. Accesso condizionale con protezione app Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access