Microsoft Intune – Creazione di una app protection policy per il Mobile Application Management (MAM) di dispositivi Android
Lavorare in mobilità è ormai da anni uno dei requisiti fondamentali del business moderno, ma sappiamo benissimo che rende più impegnativa la gestione e la sicurezza dei nostri dispositivi, delle applicazioni e dei dati. Il continuo aumento dei dispositivi di proprietà dei dipendenti usati in ambito aziendale è accompagnato anche da maggiori rischi di perdita accidentale dei dati tramite app e servizi al di fuori del controllo dell’azienda, come e-mail, social media e cloud pubblico. Questo può ad esempio avvenire quando un dipendente invia dati aziendali dal proprio account e-mail personale, copia e incolla informazioni in una chat o salva dati in uno spazio di archiviazione pubblico sul cloud.
Il Mobile Application Management (MAM) è una componente fondamentale del Mobile Device Management. Mettere in sicurezza anche le nuove risorse mobili aziendali è fondamentale per garantire la continuità operativa e la qualità dei servizi erogati.
Gli amministratori IT possono usare Microsoft Intune per gestire le app usate dagli utenti. Tale funzionalità si aggiunge alla gestione dei dispositivi e alla protezione dei dati. Una delle priorità degli amministratori è garantire che gli utenti finali abbiano accesso alle app di cui hanno bisogno per svolgere il loro lavoro. Questo obiettivo può rivelarsi impegnativo perché:
- Sono disponibili un’ampia gamma di piattaforme e app per dispositivi.
- Potrebbe essere necessario gestire le app sia nei dispositivi aziendali che nei dispositivi personali.
- È necessario assicurarsi che la rete e i dati rimangano al sicuro.
Inoltre, è assolutamente opportuno assegnare e gestire le app nei dispositivi non registrati in Microsoft Intune.
NOTA: È possibile usare le Microsoft Intune app protection policies indipendentemente da qualsiasi soluzione di gestione dei dispositivi mobili (MDM).
Per avere un elenco delle app supportate dal MAM di Intune potete visitare la pagina App di Microsoft Intune supportate | Microsoft Learn. Le app protette di Intune vengono abilitate con un set avanzato di criteri di protezione per applicazioni mobili.
Mobile Application Management (MAM) di Microsoft Intune supporta due configurazioni:
- Intune MDM + MAM: gli amministratori IT possono gestire le app usando MAM nei dispositivi registrati con la gestione dei dispositivi mobili (MDM) di Intune.
- Dispositivi non registrati in Intune MDM ma con applicazioni gestite MAM: gli amministratori IT possono gestire i dati dell’organizzazione e gli account nelle app usando MAM in dispositivi non registrati o registrati con provider EMM di terze parti.
La tabella seguente fornisce un riepilogo delle funzionalità di gestione delle app.
Figura 1: Riepilogo delle funzionalità di gestione delle app di Microsoft Intune
In questa guida vi mostrerò come creare una Mobile Application Management (MAM) policy per gestire le applicazioni Android e per impedire che i dati aziendali vengano copiati in applicazioni personali.
Figura 2: Applicazioni senza app protection policy
Figura 3: Protezione dei dati con app protection policy
In questo articolo ci occuperemo di come proteggere i dati con app protection policy nei dispositivi gestiti tramite Microsoft Intune
Figura 4: Protezione dei dati con app protection policy nei dispositivi gestiti da una soluzione di gestione di dispositivi mobili MDM (Microsoft Intune)
Figura 5: Protezione dei dati con app protection policy nei dispositivi senza enrollment
Da portale di Microsoft Intune selezionate Apps à App protection policies. Cliccate su + Create policy per creare una policy di protezione per iOS/iPadOS, Android e Windows Information protection.
Windows Information Protection (WIP) consente di proteggere le app e i dati aziendali dalle perdite accidentali di dati nei dispositivi dell’azienda e nei dispositivi personali che i dipendenti portano al lavoro. Ne ho parlato nella guida Microsoft 365 Modern Desktop Management – Proteggere i dati aziendali utilizzando Windows Information Protection (WIP) – ICT Power
Figura 6: Creazione di una nuova app protection policy
Figura 7: Nome della app protection policy
Nella scheda Apps aggiungete tutte le applicazioni che volete vengano gestite dalla policy. Io ho aggiunto Microsoft Edge, Outlook e Word.
Figura 8: Scelta delle applicazioni che devono essere gestite dalla policy
Tutte le app non incluse in questo elenco non sono autorizzate ad accedere ai dati dell’azienda.
Figura 9: Applicazioni che devono essere gestite dalla policy
Nella scheda Data protection scegliete tutti i controlli di Data Loss Prevention che volete applicare. Nelle figure sotto ho selezionato alcuni controlli per permettere il copia-incolla solo tra le applicazioni gestite dalla policy, il caricamento dei file aziendali sono in Sharepoint o in OneDrive for Business, ho evitato che si possano catturare screenshot dal dispositivo e ho deciso che i link contenuti nei dati aziendali vangano aperti solo dal browser gestito Microsoft Edge.
Figura 10: Configurazioni di Data Protection selezionabili nella policy
Figura 11: Configurazioni di Data Protection selezionabili nella policy
Figura 12: Configurazioni di Data Protection selezionabili nella policy
Nela scheda Access requirements potete configurare alcune impostazioni che proteggono l’accesso alle app aziendali. Ad esempio, ogni volta che un utente vorrà aprire una delle app aziendali gestite dalla policy sarà necessario inserire un PIN.
Figura 13: Access requirements per la app protection policy
Nela scheda Conditional Launch avrete la possibilità di configurare ulteriori parametri per proteggere l’accesso alle app gestite dalla protection policy. Se il dispositivo è jailbroken o rooted oppure non si è collegato per troppo tempo non sarà possibile lanciare l’app.
Figura 14: Il lancio dell’applicazione gestita dalla policy è subordinato ad alcuni parametri di sicurezza
Figura 15: Scope tag per definire a chi verrà applicata l’app protection policy
Figura 16: Assegnazione della policy ad un gruppo di utenti di Azure AD
Figura 17: Schermata finale del wizard di creazione della app protection policy e riepilogo delle configurazioni
Figura 18: Mobile Application Management (MAM) policy creata con successo
Test di funzionamento
Per testare la corretta applicazione della Mobile Application Management (MAM) policy creata mi servirò di un dispositivo Android Enterprise di proprietà aziendale con un profilo di lavoro (Corporate-owned with work profile – COPE), un dispositivo con utente singolo di proprietà dell’azienda, che può essere utilizzato anche per uso personale.
Trovate una mia guida su come configurarne uno alla pagina Microsoft Intune – Enroll di un dispositivo Android in modalità COPE (Corporate-owned with work profile) – ICT Power
Come potete vedere dalle figure sotto, quando l’utente aprirà Outlook nel profilo work, gli verrà mostrata una schermata in cui verrà notificato che è stata applicata una app protection policy. Gli verrà anche chiesto di inserire un PIN per poter accedere d’ora in poi all’applicazione.
Se l’utente cerca di copiare del testo dalla mail aziendale (in Outlook nel work profile) per incollarlo in una applicazione non gestita dalla policy (in Gmail nel profilo personal), non sarà in grado di farlo e riceverà il messaggio Your organizzation’s data cannot be pasted here. Stessa cosa dicasi se prova a catturare uno screenshot.
Dal portale di Microsoft Intune sarà possibile visualizzare quali app protection policy sono state applicate spostandosi in Apps à Monitor à App protection status. Un report vi mostrerà il dettaglio delle policy, come mostrato nelle figure sotto:
Figura 19: Nodo Monitor nella pagina delle Apps
Figura 20: Reportistica dello stato di applicazione delle protection policy
Cliccando sulla parte colorata dei cerchi si potrà poi ottenere un dettaglio per utente.
Figura 21: Selezione dell’utente per la generazione dell’app report
Figura 22: Report generato con il dettaglio delle policy e relativa applicazione
Come cancellare i dati aziendali solo dalle app gestite da Microsoft Intune
Quando un dispositivo viene smarrito o rubato o se il dipendente lascia l’azienda, ci si vuole assicurarsi che i dati dell’app aziendale vengano rimossi dal dispositivo. Ma potrebbe non essere necessario rimuovere i dati personali nel dispositivo, soprattutto se il dispositivo è di proprietà di un dipendente.
NOTA: Le piattaforme iOS/iPadOS, Android e Windows 10 sono le uniche piattaforme attualmente supportate per la cancellazione dei dati aziendali dalle app gestite da Intune.
Per rimuovere in modo selettivo i dati dell’app aziendale è necessario creare una richiesta di cancellazione. Al termine della richiesta, la volta successiva in cui l’app viene eseguita nel dispositivo, i dati aziendali vengono rimossi dall’app.
Dal portale di Microsoft Intune cliccate navigate in Apps à App selective wipe à Create wipe request
Figura 23: Creazione di una richiesta di cancellazione dei dati aziendali dal dispositivo dell’utente
Fate clic su Seleziona utente, scegliere l’utente di cui cancellare i dati dell’app e fare clic su Seleziona nella parte inferiore del riquadro Seleziona utente .
Figura 24: Selezione dell’utente a cui cancellare i dati aziendali
Vi apparirà la lista dei dispositivi associati all’utente. Selezionate i dispositivi da cui volete che vengano rimossi i dati aziendali.
Figura 25: Selezione del dispositivo dell’utente da cui rimuovere i dati aziendali
Il servizio crea e tiene traccia di una richiesta di cancellazione separata per ogni app protetta nel dispositivo e dell’utente associato alla richiesta di cancellazione.
Figura 26: Richieste di cancellazione
È possibile avere un report riepilogativo che mostra lo stato complessivo della richiesta di cancellazione e include il numero di richieste ed errori in sospeso. Le voci della richiesta di cancellazione completate rimangono nel report per 4 giorni dopo il completamento.
IMPORTANTE: L’utente deve aprire l’app affinché la cancellazione venga eseguita e la cancellazione potrebbe richiedere fino a 30 minuti dopo l’esecuzione della richiesta.
Figura 27: Esecuzione della cancellazione dei dati aziendali da Outlook
Dopo la cancellazione l’utente riceverà una notifica sul device e aprendo nuovamente l’app la troverà vuota, da riconfigurare. Nell’esempio sotto sono stati cancellati i dati da Microsoft Outlook (solo nel profilo di lavoro!), l’utente ha ricevuto una notifica e quando riapre l’app la deve riconfigurare.
Conclusioni
Il continuo aumento dei dispositivi di proprietà dei dipendenti usati in ambito aziendale (BYOD) è accompagnato anche da maggiori rischi di perdita accidentale dei dati tramite app e servizi al di fuori del controllo dell’azienda, come e-mail, social media e cloud pubblico. Oltre alla implementazione BYOD (Bring your own device, Porta il tuo dispositivo) è però possibile anche gestire l’implementazione COPE (dispositivi di proprietà dell’azienda, anche a uso personale) e grazie ai profili di lavoro per la separazione dei dati, in unione con le app protection policy, possiamo proteggere e separare dall’uso personale app e dati di lavoro. Questo di fatto aumenta la sicurezza sia nella gestione che nella prevenzione dalla perdita dei dati.