Guida in linea per amministratori -...

Sophos Mobile in Central

Guida in linea per amministratoriVersione prodotto: 8.6

SommarioInformazioni sulla guida in linea.............................................................................................................. 1Informazioni su Sophos Mobile Admin.................................................................................................... 2

Interfaccia utente........................................................................................................................... 2Viste tabelle................................................................................................................................... 3Ruoli utente................................................................................................................................... 3

Passaggi chiave per la gestione di dispositivi tramite Sophos Mobile.................................................... 5Pannello di controllo.................................................................................................................................6Report....................................................................................................................................................... 7Operazioni................................................................................................................................................ 8

Operazioni di monitoraggio........................................................................................................... 8Impostazioni generali............................................................................................................................. 12

Configurazione delle impostazioni personali...............................................................................12Configurazione delle impostazioni di SMC................................................................................. 13Abilita servizio Push di Baidu Cloud...........................................................................................14Configurazione delle impostazioni per iOS................................................................................. 14Configurazione dell’intervallo di polling per i dispositivi Windows...............................................15Configurazione delle E-mail........................................................................................................ 15Configurazione del contatto del supporto tecnico.......................................................................15Creazione di proprietà del cliente............................................................................................... 16Configurazione delle impostazioni di privacy.............................................................................. 16

Configurazione del portale self-service..................................................................................................18Configurazione delle impostazioni del portale self-service......................................................... 18Creazione di testi di registrazione...............................................................................................20Azioni disponibili nel portale self-service.................................................................................... 21

Impostazione del sistema...................................................................................................................... 24Certificati Apple Push Notification service.................................................................................. 25Configurazione delle destinazioni iOS AirPlay............................................................................28Registrazione della licenza Samsung Knox................................................................................28Simple Certificate Enrollment Protocol (SCEP).......................................................................... 28Attivazione dell’integrazione di Sophos Wireless........................................................................29

Criteri di conformità................................................................................................................................30Crea criterio di conformità...........................................................................................................30Regole di conformità disponibili.................................................................................................. 32Assegnazione di un criterio di conformità a gruppi di dispositivi................................................ 37Verifica della conformità dei dispositivi....................................................................................... 38

Dispositivi................................................................................................................................................39Aggiungi dispositivi...................................................................................................................... 39Registra dispositivi.......................................................................................................................40Annulla registrazione dei dispositivi............................................................................................ 49Gestione dei dispositivi............................................................................................................... 50Proprietà personalizzate del dispositivo......................................................................................64Registrazione Zero Touch...........................................................................................................65Knox Mobile Enrollment.............................................................................................................. 68Apple DEP................................................................................................................................... 70

Gruppi di dispositivi................................................................................................................................83Crea gruppo di dispositivi............................................................................................................83Eliminazione di gruppi di dispositivi............................................................................................ 83

Utenti...................................................................................................................................................... 85Profili e criteri......................................................................................................................................... 86

Impostazione iniziale dei criteri dei dispositivi............................................................................ 87Creazione di un profilo o di un criterio....................................................................................... 88Importazione dei profili per dispositivi iOS creati con l'Apple Configurator................................. 88

(2018/10/03)

Importazione di profili di provisioning per le app iOS................................................................. 89Informazioni sui criteri macOS.................................................................................................... 90Regole di complessità della password per Windows..................................................................90Supporto per Samsung Knox......................................................................................................91Segnaposti all’interno di profili e criteri....................................................................................... 92Installazione di un profilo sui dispositivi......................................................................................92Assegnazione di un criterio ai dispositivi.................................................................................... 93Disinstalla profilo......................................................................................................................... 94Download di profili e criteri......................................................................................................... 94Configurazioni per i profili del dispositivo Android...................................................................... 94Configurazioni per i criteri del profilo di lavoro Android Enterprise........................................... 115Configurazioni per i criteri del dispositivo Android Enterprise...................................................128Configurazioni per i criteri di Sophos Container per Android....................................................143Configurazioni per i criteri di Mobile Security per Android........................................................154Configurazioni per i profili del container Knox.......................................................................... 157Configurazioni per i criteri Android Things................................................................................163Configurazioni per i profili del dispositivo iOS.......................................................................... 163Configurazioni per i criteri di Sophos Container per iOS..........................................................197Configurazioni per i criteri di Mobile Security per iOS.............................................................. 209Configurazioni per i criteri del dispositivo macOS.................................................................... 209Configurazioni per i criteri utente macOS.................................................................................226Configurazioni per i criteri di Windows Mobile..........................................................................245Configurazioni per i criteri Windows......................................................................................... 257Configurazioni per i criteri di Windows IoT............................................................................... 269

Bundle delle operazioni........................................................................................................................272Creazione di bundle delle operazioni........................................................................................272Tipi di operazioni Android disponibili........................................................................................ 273Tipi di operazioni iOS disponibili...............................................................................................277Tipi di operazioni macOS disponibili.........................................................................................280Tipi di operazioni Windows disponibili...................................................................................... 281Duplicazione dei bundle delle operazioni..................................................................................282Trasferimento dei bundle delle operazioni a dispositivi singoli o a gruppi di dispositivi.............283

App....................................................................................................................................................... 284Aggiungi app..............................................................................................................................284Installa app................................................................................................................................ 285Disinstalla app........................................................................................................................... 287Impostazioni app (Android)....................................................................................................... 288Impostazioni app (iOS)..............................................................................................................289Impostazioni delle app (macOS)...............................................................................................291Impostazioni app (Windows Mobile)......................................................................................... 292Impostazioni app (Windows)..................................................................................................... 293Determinazione delle impostazioni per i link agli MSI Windows............................................... 295App gestite per iOS...................................................................................................................296Gestione delle app dell’Apple VPP........................................................................................... 296Configurazione per app VPN e impostazioni per app iOS........................................................301

Gruppi di app....................................................................................................................................... 303Crea gruppo di app................................................................................................................... 303Importa gruppo di app...............................................................................................................304

Documenti aziendali............................................................................................................................. 306Aggiunta di documenti aziendali............................................................................................... 306

Android Enterprise................................................................................................................................308Impostazione di Android Enterprise - Panoramica....................................................................309Impostazione di Android Enterprise (scenario con account gestito di Google Play)................. 310Impostazione di Android Enterprise (scenario con Dominio Google gestito)............................ 311Configurazione della registrazione dei dispositivi ad Android Enterprise..................................315Gestione degli utenti per Android Enterprise (scenario con Dominio Google gestito)...............316

(2018/10/03)

Crea profilo di lavoro.................................................................................................................317Blocco del profilo di lavoro........................................................................................................317Rimozione di un profilo di lavoro da un dispositivo.................................................................. 318Rimozione del profilo di lavoro avviata dall’utente....................................................................318Android Factory Reset Protection............................................................................................. 319App di Google Play gestito....................................................................................................... 320

Protezione delle app di Intune.............................................................................................................328Impostazione dell'integrazione con Microsoft Intune.................................................................328Creazione di un criterio di protezione delle app di Intune........................................................ 329Assegnazione delle app a un criterio di protezione delle app in Intune....................................329Assegnazione degli utenti a un criterio di protezione delle app di Intune................................. 330Impostazioni dei criteri di protezione delle app in Intune (Android).......................................... 331Impostazioni dei criteri di protezione delle app in Intune (iOS)................................................ 335

Invio di un messaggio ai dispositivi..................................................................................................... 341Proxy EAS standalone......................................................................................................................... 342

Download del programma di installazione del proxy di EAS.................................................... 343Installazione del proxy EAS standalone....................................................................................343Richiesta di un certificato SSL/TLS.......................................................................................... 346Impostazione del controllo dell’accesso alle e-mail tramite PowerShell................................... 347Configurazione di una connessione al server proxy EAS standalone...................................... 349

Gestione di Sophos Mobile Security....................................................................................................351Regole di conformità di Sophos Mobile Security...................................................................... 351Gestione di Sophos Mobile Security in dispositivi gestiti con software di terze parti.................352Mobile Threat Defense in Intune...............................................................................................354

Sophos Container.................................................................................................................................356Configurazione della registrazione di Sophos Container.......................................................... 356Licenza di Mobile Advanced..................................................................................................... 356Gestione delle app Sophos Container...................................................................................... 357Reimposta password di Sophos Container...............................................................................358Blocco e sblocco di Sophos Container..................................................................................... 358

Trasferimento di dati da Sophos Mobile a Sophos Mobile in Central..................................................360Esportazione dei dati da Sophos Mobile.................................................................................. 360Importazione di dati in Sophos Mobile in Central..................................................................... 360

Glossario...............................................................................................................................................362Supporto tecnico.................................................................................................................................. 364Note legali............................................................................................................................................ 365

(2018/10/03)


1 Informazioni sulla guida in lineaQuesta guida in linea descrive come gestire Sophos Mobile in Central.

NotaLe operazioni disponibili in Sophos Central Admin dipendono dal ruolo di amministratoreassegnato e dalle licenze attivate.

Convenzioni del documento

In questa guida in linea vengono utilizzate le seguenti convenzioni:

• A meno che non venga diversamente specificato, il termine Windows Mobile si riferisce aWindows 10 edizioni Mobile e Mobile Enterprise e a Windows Phone 8.1.

• A meno che non venga diversamente indicato, il termine Windows o Windows 10 si riferisce aWindows 10 edizioni Pro, Enterprise, Education, Home ed S.

• A meno che non venga diversamente indicato, il termine Windows IoT si riferisce a Windows 10edizione IoT Core.

• A meno che non venga diversamente indicato, il presupposto per tutte le procedure è l’averaperto la vista Mobile dalla sezione Prodotti del menù principale in Sophos Central Admin.

Copyright © 2018 Sophos Limited 1


2 Informazioni su Sophos Mobile AdminSophos Mobile Admin è lo strumento principale per la gestione dei dispositivi con Sophos Mobile. Sitratta dell'interfaccia Web del server utilizzato per la gestione dei dispositivi. Il portale web consentedi implementare un criterio aziendale per l'utilizzo dei dispositivi, e di applicarlo ai dispositivi registraticon Sophos Mobile.

Sophos Mobile Admin consente di:

• Configurare il sistema, per esempio le impostazioni personali o specifiche della piattaforma in uso.

• Configurare criteri di conformità e definire le azioni da intraprendere nel caso in cui i dispositivi nonsiano più conformi alle regole specificate. Vedere Criteri di conformità (pagina 30).

• Registrare i dispositivi con Sophos Mobile. Vedere Aggiungi dispositivi (pagina 39).

• Effettuare il provisioning dei nuovi dispositivi. Vedere Registra dispositivi (pagina 40).

• Installare app sui dispositivi registrati. Vedere App (pagina 284).

• Definire profili e i criteri di protezione per i dispositivi. Vedere Profili e criteri (pagina 86).

• Creare bundle delle operazioni per unire insieme le diverse operazioni da eseguire nei dispositivimobili e trasferirle in un'unica transazione. Vedere Bundle delle operazioni (pagina 272).

• Configurare le impostazioni del portale self-service Vedere Configurazione del portale self-service(pagina 18).

• Effettuare operazioni di amministrazione sui dispositivi, ad es. reimpostazione delle passworddei dispositivi, blocco o formattazione dei dispositivi in caso di smarrimento o furto, oppurecancellazione della registrazione dei dispositivi. Vedere Gestione dei dispositivi (pagina 50).

• Creare e visualizzare report. Vedere Report (pagina 7).

2.1 Interfaccia utenteL’interfaccia utente di Sophos Mobile Admin è composta da un’intestazione, un menù principale e unframe principale. Il frame principale visualizza le diverse pagine di Sophos Mobile Admin, a secondadel menù selezionato.

• Intestazione

L’intestazione della pagina presenta tre link sulla destra:

— Il nome dell'account e il nome del cliente.

— Il pulsante Guida in linea, che apre la guida in linea in una diversa finestra del browser.

• Menù principale

Il menù principale sulla sinistra consente di accedere alle funzionalità principali di SophosMobile.

NotaIl ruolo di amministratore che è stato assegnato influisce sulle azioni disponibili. Consultare lasezione Ruoli utente (pagina 3).

2 Copyright © 2018 Sophos Limited


2.2 Viste tabelleIn Sophos Mobile Admin, molte pagine visualizzano informazioni in formato tabulare.

Queste tabelle sono dotate di controlli comuni, con i quali è possibile interagire.

Sopra la tabella:

• Utilizzare l’icona Mostra o nascondi colonne per configurare la tabella della quale debbanoessere visibili le colonne.

• Inserire testo nel campo Ricerca tutti i campi per visualizzare solamente le righe di dati checontengono il testo specificato, indipendentemente dalla colonna.

Nella tabella:

• Cliccare su un titolo della colonna per ordinare le righe della tabella in base alla proprietàselezionata. Cliccare nuovamente per tornare alla modalità di ordinamento precedente.

• Cliccare sul nome di una voce per svolgere l’azione predefinita della voce (di solito Modifica).

• Cliccare sul triangolo blu accanto al nome di una voce, per svolgere ulteriori azioni sulla voceselezionata.

Sotto la tabella:

• Utilizzare i pulsanti di navigazione per visualizzare una pagina specifica della tabella.

• Utilizzare l’icona Esporta per esportare l’intera tabella oppure la pagina attuale in un fileMicrosoft Excel, oppure un file con valori delimitati da virgole (CSV). Se è stato configurato unfiltro di riga, verranno esportate solamente le righe attualmente visibili.

2.3 Ruoli utenteGli amministratori di Sophos Mobile hanno ruoli diversi. Il ruolo influisce sulle azioni disponibili per unamministratore.

I ruoli disponibili sono:

Ruolo Descrizione

Amministratore Questo ruolo è in grado di svolgere tutte le azioni disponibili.

Helpdesk Questo ruolo può svolgere azioni di supporto, inclusa laregistrazione dei dispositivi e l’installazione di app, e nonha accesso ad alcuna funzione critica, come ad esempio:definizione e creazione delle impostazioni, eliminazione omodifica di dispositivi/gruppi di dispositivi, pacchetti e profili.

Sola lettura Questo ruolo ha accesso in sola lettura a tutte le impostazionidisponibili per il ruolo Amministratore.

I ruoli Sophos Mobile riguardano i ruoli di amministrazione assegnabili in Sophos Central Admin esono i seguenti:



Ruolo Sophos Central Ruolo Sophos Mobile

Super Administrator Amministratore

Amministratore Amministratore

Help Desk Helpdesk

Sola lettura Sola lettura

Utente Nessun accesso



3 Passaggi chiave per la gestione didispositivi tramite Sophos MobileSophos Mobile offre un'ampia gamma di funzioni di Mobile Device Management a seconda del tipodi dispositivo utilizzato, dei criteri di protezione aziendali e dei requisiti specifici della propria azienda.

I passaggi chiave per la gestione di dispositivi tramite Sophos Mobile sono elencati qui di seguito:

• Configurare criteri di conformità per i dispositivi. Vedere Criteri di conformità (pagina 30).

• Creare gruppi di dispositivi. Vedere Crea gruppo di dispositivi (pagina 83).

I gruppi di dispositivi vengono utilizzati per categorizzare i dispositivi. Si consiglia di organizzarei dispositivi in gruppi. Ciò ne consentirà una gestione efficace, dal momento che sarà possibileeffettuare operazioni sui gruppi piuttosto che ripeterle per ciascun singolo dispositivo.

• Registrare ed effettuare il provisioning dei dispositivi. Vedere Aggiungi dispositivi (pagina 39) eRegistra dispositivi (pagina 40).

La registrazione e il provisioning dei dispositivi possono essere effettuati dagli amministratoricon Sophos Mobile Admin, oppure dagli utenti dei dispositivi, nel Portale self-service di SophosCentral.

• Impostare profili e impostazioni di protezione per i dispositivi. Vedere Profili e criteri (pagina 86).

• Creazione di bundle delle operazioni. Vedere Bundle delle operazioni (pagina 272).

• Configurare le funzionalità del Portale self-service di Sophos Central disponibili. VedereConfigurazione del portale self-service (pagina 18).

• Applicare le impostazioni di sicurezza e i profili nuovi o aggiornati ai dispositivi registrati.



4 Pannello di controlloIl Pannello di controllo personalizzabile corrisponde alla pagina di avvio di Sophos Mobile efornisce accesso immediato alle informazioni più importanti. È formato da numerosi widget cheforniscono le seguenti informazioni:

• Dispositivi (tutti o per gruppo)

• Stato di conformità per piattaforma o per tutti i dispositivi

• Stato della gestione per piattaforma o per tutti i dispositivi

• Stato della registrazione SSP

• Le versioni della piattaforma gestita

I dispositivi possono anche essere aggiunti dal Pannello di controllo. Vedere Utilizzo della proceduraguidata Aggiungi dispositivo (pagina 42).

Quelle che seguono sono opzioni disponibili per la personalizzazione del Pannello di controllo:

• Per aggiungere un widget alla pagina, cliccare su Aggiungi widget.

• Per rimuovere un widget dalla pagina, cliccare sul pulsante Chiudi nella sua intestazione.

• Per ripristinare la pagina al layout predefinito, cliccare su Ripristina il layout predefinito.

• Per modificare la posizione dei widget nella pagina, trascinare il widget dalla sua intestazione.



5 ReportÈ possibile creare report degli elementi gestiti da Sophos Mobile.

1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Report, e successivamente sulnome del report desiderato.

2. Nella finestra di dialogo Selezionare formato, cliccare su una delle icone disponibili perselezionare il formato di output:

•Cliccare su per esportare il report come file Microsoft Excel.

•Cliccare su per esportare il report come file con valori delimitati da virgole (CSV).

Il report verrà salvato sul computer.



6 OperazioniLa pagina Vista operazioni fornisce una panoramica di tutte le operazioni create e avviate,visualizzandone lo stato attuale.

È possibile monitorare tutte le operazioni ed intervenire nel caso si verifichino problemi. Si potrà,per esempio, cancellare quelle operazioni che non possono essere concluse, ma che bloccano ildispositivo.

Per cancellare un'operazione, cliccare sull'icona Cancella di fianco all'operazione che si desideramodificare.

È possibile filtrare le operazioni visualizzate in base a tipo e stato, oltre che ordinarle per nome deldispositivo, nome del pacchetto, autore e data pianificata.

6.1 Operazioni di monitoraggioIn Sophos Mobile Admin è possibile monitorare tutte le operazioni esistenti per i dispositivi.

• La pagina Operazioni mostra tutte le operazioni non terminate e non riuscite, oltre che tuttele operazioni completate con successo negli ultimi giorni. La pagina Vista operazioni vieneaggiornata automaticamente, per cui è possibile seguire l'evoluzione dello stato delle operazioniin esecuzione.

• La pagina Dettagli operazione mostra informazioni generali relative a un'operazione, che sonovisualizzabili direttamente dalle pagine Operazioni o Archiviazione operazioni.

• La pagina Archiviazione operazioni mostra tutte le operazioni.

6.1.1 Vista delle operazioni non completate, non riuscite eappena concluse

1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Operazioni.

2. Nella pagina Vista operazioni, la colonna Stato mostrerà lo stato delle operazioni, ad esempioNon riuscito.

3. Nel campo Aggiorna intervallo (in sec.), è possibile selezionare la frequenza degli aggiornamentidella pagina Vista operazioni.

4. Per visionare ulteriori dettagli sull'operazione, cliccare sull'icona a forma di lente di ingrandimentoMostra, localizzata di fianco all'operazione specifica.Verrà visualizzata la pagina Dettagli operazione. Oltre a informazioni generali sull'operazione(per es. nome del dispositivo, nome del pacchetto e autore), mostra tutti gli stati rilevati perun'operazione specifica, comprensivi di data e ora, oltre a eventuali codici di errore. Se sonopresenti comandi che devono essere eseguiti dal dispositivo, il pulsante aggiuntivo Dettagli nellapagina Dettagli operazione diventerà disponibile.

5. Se selezionabile, cliccare su Dettagli per visualizzare i comandi che devono essere eseguiti daldispositivo.I comandi inviati al dispositivo fanno parte dell'operazione Vengono eseguiti dall’app SMCo dal client di MDM. I risultati relativi alla riuscita o meno di un comando vengono trasferitinuovamente al server. Nel caso di errore, il codice di errore è “0”. Se un comando non è riuscito,viene visualizzato un codice di errore. Nella maggior parte dei casi, il codice di errore vieneaccompagnato da una descrizione sulla causa della mancata riuscita del comando.



6. Per tornare alla pagina Dettagli operazione, cliccare su Indietro.

6.1.2 Vista archivio operazioni

1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Operazioni.

2. Nella pagina Vista operazioni, cliccare su Archivio operazioni.Verrà visualizzata la pagina Archiviazione operazioni. Questa vista presenta le operazioniterminate o non riuscite.

3. Questa pagina consente di:

• Cliccare su Ricarica per aggiornare la pagina Archiviazione operazioni.

• È possibile cancellare l'operazione dall'archivio, cliccando sull'icona Cancella, posizionata difianco all'operazione stessa.

• Selezionare più operazioni e cliccare su Cancella selezione per cancellare le operazioniselezionate dall'archivio.

Per tornare alla pagina Vista operazioni, cliccare su Operazioni nella barra laterale dei menù.

6.1.3 Stati delle operazioni

La seguente tabella fornisce una panoramica sullo stato delle operazioni visualizzato nella Vistaoperazioni e nelle pagine Archiviazione operazioni.

Ogni stato è associato a un colore specifico, che ne indica la categoria di stato.

Indicatoridi colore

Stato Descrizione

Accettato L'operazione è stata creata.

Verrà ritirato L'operazione verrà ritentata più tardi.

Avviato L'operazione è stata avviata.

In corso L'esecuzione dell'operazione è in fase dipreparazione.

Bundle delle operazioniin corso

L'esecuzione del bundle delle operazioni è in fase dipreparazione.

Notificato È stata inviata la notifica all’app SMC.

Comandi inviati L’app SMC ha ricevuto il pacchetto e/o i comandi.

Valutazione risultatiavviata

L’app SMC ha risposto e la valutazione del risultato èstata avviata.

Risultati non completi La valutazione dei risultati mostra che al momentonon sono stati ricevuti tutti i risultati dei comandi.



Indicatoridi colore

Stato Descrizione

In attesa di interazionecon utente

È presente un'azione utente in sospeso neldispositivo.

In attesa delcompletamentodell'operazione

Un’operazione di installazione è stata inviata aldispositivo, ma il suo completamento potrebberichiedere diverso tempo.

Il dispositivo è bloccato L'operazione attende che il dispositivo vengasbloccato (iOS).

Riuscito Il pacchetto è stato installato, o i comandi sono statieseguiti.

NotaPer il provisioning iniziale dell’app Sophos MobileControl, l'operazione deve terminare riportando lostato Installato.

Installato L’installazione dell’app Sophos Mobile Control è statacompletata. Il provisioning del dispositivo è statocompletato.

Valutazione risultati nonriuscita

Impossibile eseguire la valutazione dei risultati.

Operazione parzialmentenon riuscita

Non sono stati eseguiti tutti i comandi dell'operazione.

Ritardato L'operazione verrà riavviata più tardi.

Non riuscito (nuovotentativo in coda)

L'operazione non è riuscita e verrà ritentata più tardi.

Operazione non riuscita L'operazione non è riuscita e non è presente alcunacoda di ulteriori tentativi.

Non riuscito L'operazione non è riuscita, e non è possibileritentarla.

Non avviato L'operazione appartiene a un bundle di operazioni enon è ancora stata elaborata.

Ignorato/i L'operazione non è supportata dal dispositivo.L’esecuzione del bundle delle operazioni passeràall’operazione successiva.

Sconosciuto Il server non dispone di informazioni relative allo statodell'operazione.



Indicatoridi colore

Categoria

Apri

In corso

Operazione completata

Non riuscito

Altro



7 Impostazioni generaliNella pagina Impostazioni generali è possibile svolgere le seguenti operazioni:

• Personale

— Configurazione delle impostazioni personali (pagina 12)

• App SMC

— Configurazione delle impostazioni di SMC (pagina 13)

• Android

— Abilita servizio Push di Baidu Cloud (pagina 14)

• iOS

— Configurazione delle impostazioni per iOS (pagina 14)

• Windows

— Configurazione dell’intervallo di polling per i dispositivi Windows (pagina 15)

• Proprietà predefinite del dispositivo

— Creazione di proprietà predefinite del dispositivo (pagina 65)

• Configurazione e-mail

— Configurazione delle E-mail (pagina 15)

• Contatto IT

— Configurazione del contatto del supporto tecnico (pagina 15)

• Proprietà cliente

— Creazione di proprietà del cliente (pagina 16)

• Privacy

— Configurazione delle impostazioni di privacy (pagina 16)

7.1 Configurazione delle impostazioni personaliPer utilizzare Sophos Mobile Admin in maniera più efficace, è possibile personalizzare l’interfacciautente in modo tale da visualizzare solo le piattaforme in uso.

NotaConfigurando le piattaforme viene modificata solamente la vista degli utenti al momento collegati,da cui non è possibile disattivare alcuna funzione.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente cliccare sulla scheda Privato.

2. Configurare le seguenti impostazioni:

Opzione Descrizione

Fuso orario Selezionare il fuso orario in cui vengono indicate data e ora.



Opzione Descrizione

Unità di misura Selezionare le unità di misura per i valori di lunghezza (Metricheor Imperiali).

Righe per pagina nelle tabelle Selezionare il numero massimo di righe per tabella che sidesidera visualizzare in ciascuna pagina.

Mostra dettagli dispositivoestesi

Selezionare questa casella di spunta per visualizzare tutte leinformazioni disponibili sul dispositivo. Le schede Proprietàpersonalizzate e Proprietà interne verranno aggiunte allapagina Mostra dispositivo.

Piattaforme attive Selezionare le piattaforme che si desidera gestire:

• Android

• Android Things

• iOS

• Windows Mobile (include i sistemi operativi WindowsPhone 8.1 e Windows 10 Mobile)

• Windows

• Windows IoT

L’interfaccia utente di Sophos Mobile Admin cambierà in basealle piattaforme selezionate. Verranno visualizzate solamentele viste e le funzionalità che riguardano le piattaformeselezionate.

3. Cliccare su Salva.

7.2 Configurazione delle impostazioni di SMCNella scheda App SMC della pagina Impostazioni generali è possibile configurare le impostazionidell’app Sophos Mobile Control su dispositivi Android, iOS e Windows Mobile.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente sulla scheda App SMC.


Opzione Descrizione

Disattiva l’annullamento dellaregistrazione tramite app

Rimuovere il pulsante Annulla registrazione dall’appSophos Mobile Control, per impedire agli utenti di annullare laregistrazione del proprio dispositivo utilizzando l’app.

NotaPer impedire completamente l’annullamento dellaregistrazione da parte degli utenti, disattivare anchel’opzione Annulla registrazione del dispositivo nelleimpostazioni del portale self-service. Vedere Configurazionedelle impostazioni del portale self-service (pagina 18).




7.3 Abilita servizio Push di Baidu CloudSophos Mobile utilizza il servizio Google Firebase Cloud Messaging (FCM) per inviare notifiche pushai dispositivi Android e indurli a contattare il server di Sophos Mobile. In Cina è molto probabile cheFCM non funzioni. Per cui Sophos Mobile può utilizzare anche il servizio Push di Baidu Cloud: unservizio cinese di notifiche push.

Se si gestiscono dispositivi Android situati in Cina, procedere come segue per abilitare il servizioPush di Baidu Cloud:

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente sulla scheda Android.

2. Nella sezione Servizio Push di Baidu Cloud, selezionare Abilita servizio Push di Baidu Cloud.


Quando è abilitato il servizio Push di Baidu Cloud, Sophos Mobile invierà tutte le notifiche push sia conFCM che con il push di Baidu Cloud.

7.4 Configurazione delle impostazioni per iOSNella scheda iOS della pagina Impostazioni generali, è possibile configurare le impostazioni daapplicare specificamente ai dispositivi iOS.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente cliccare sulla scheda iOS.


Opzione Descrizione

Bypass del Blocco attivazione Selezionare Abilita per consentire la rimozione del Bloccoattivazione nei dispositivi supervisionati.

Quando viene selezionata questa opzione, Sophos Mobilerecupera un codice di bypass durante la sincronizzazionecon un dispositivo supervisionato nel quale è abilitato ilBlocco attivazione. All’occorrenza è possibile svolgerel’azione Bypass del Blocco attivazione dalla pagina Mostradispositivo del dispositivo, per rimuovere il Blocco attivazionequando il dispositivo deve essere formattato e nuovamenteimpostato.

Il Blocco attivazione è una funzionalità di sicurezza di iOSche impedisce la riattivazione di dispositivi rubati o smarriti.Solitamente per rimuovere il Blocco attivazione occorre fornirei corretti ID Apple e password. Con la funzionalità Bypass delBlocco attivazione, il Blocco attivazione può essere rimossofornendo solamente il codice di bypass.

Sincronizza nome deldispositivo

Selezionare Abilita per gestire i dispositivi iOS con il nomeconfigurato nel dispositivo.

Quando è selezionata questa opzione, il nome del dispositivoutilizzato da Sophos Mobile viene impostato ogni volta che ildispositivo si sincronizza con Sophos Mobile.



Opzione Descrizione

Quando questa opzione è deselezionata, il nome deldispositivo viene impostato durante la registrazione deldispositivo.


7.5 Configurazione dell’intervallo di polling per idispositivi Windows

Nei dispositivi Windows è possibile configurare l’intervallo di polling utilizzato dal client Windows diMDM per contattare il server di Sophos Mobile. Di solito il server contatta il client utilizzando notifichepush. Il polling viene adoperato come misura di sicurezza quando il servizio notifiche push non èdisponibile.

NotaNella maggior parte dei casi sono sufficienti i valori predefiniti. L’uso di intervalli più brevi influiscesulla durata della batteria e sul consumo dei dati, a causa del maggior carico sul server.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente sulla scheda Windows.

2. Selezionare gli intervalli di polling per i vari sistemi operativi Windows. È possibile configurareimpostazioni individuali per:

• Dispositivi Windows 10 Mobile e Windows Phone 8.1

• Computer Windows 10


7.6 Configurazione delle E-mail

La scheda Configurazione e-mail permette di configurare le impostazioni delle e-mail inviate daSophos Mobile.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente sulla scheda Configurazione e-mail.

2. Nell’elenco Lingua, selezionare la lingua dei messaggi e-mail.


7.7 Configurazione del contatto del supportotecnicoSi consiglia di specificare i dati di contatto del supporto tecnico, in modo da permettere agli utenti diricevere assistenza per eventuali domande o problemi.

Le informazioni inserite in questo campo vengono visualizzate sui dispositivi degli utenti.



1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale esuccessivamente sulla scheda Contatto IT.

2. Immettere le informazioni di contatto.


7.8 Creazione di proprietà del clienteCreando una proprietà avente nome proprietà 1, sarà possibile fare riferimento al valore dellaproprietà nei profili e nei criteri utilizzando il segnaposto %_CUSTPROP(proprietà 1)_%.

Per informazioni dettagliate sui segnaposti di profili e criteri, vedere Segnaposti all’interno di profili ecriteri (pagina 92).

Per creare una proprietà del cliente:

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, esuccessivamente sulla scheda Proprietà cliente.

2. Cliccare su Aggiungi proprietà del cliente.

3. Immettere un nome e un valore per la proprietà del cliente.

4. Cliccare su Applica.


La proprietà del cliente verrà aggiunta a Sophos Mobile.

7.9 Configurazione delle impostazioni di privacyLe seguenti impostazioni di privacy possono essere disattivate in Sophos Mobile Admin:

Localizzazione del dispositivo Se questa opzione è disattivata, non saràpossibile visualizzare la posizione deldispositivo. Gli utenti potranno comunquevisualizzare la posizione del dispositivo nelPortale self-service di Sophos Central.

App installate Se questa opzione è disattivata, non saràpossibile visualizzare le app installate in undispositivo. Non verrà visualizzata la schedaApp installate nei dettagli del dispositivoe il report App per dispositivo non saràdisponibile.

Sarà comunque possibile visualizzare reportriepilogativi delle app installate in tutti idispositivi.

Per configurare le impostazioni di privacy:

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale esuccessivamente sulla scheda Privacy.

2. Per disattivare la visualizzazione della posizione del dispositivo, cliccare su Impedisci agliamministratori di localizzare i dispositivi.

3. Per disattivare la visualizzazione delle app installate, cliccare su Nascondi app installate.



NotaSophos Mobile registra i seguenti eventi relativi alla privacy:

• La richiesta della posizione di un dispositivo da parte di un amministratore.

• La richiesta della posizione di un dispositivo da parte di un utente nel Portale self-service diSophos Central.

• L’attivazione o disattivazione della visualizzazione della posizione del dispositivo in SophosMobile Admin.

• L’attivazione o disattivazione della visualizzazione delle app installate in Sophos MobileAdmin.



8 Configurazione del portale self-serviceIl portale self-service aiuta a ridurre il carico di lavoro del personale IT, in quanto consente agli utentidi registrare i propri dispositivi ed effettuare altre operazioni in maniera indipendente, senza doverricorrere all'intervento dell'helpdesk.

Con una configurazione del portale self-service, è possibile definire quanto segue:

• I gruppi utente che sono autorizzati a utilizzare il portale self-service.

• I tipi di dispositivi che possono essere registrati dagli utenti.

• Le azioni che gli utenti possono svolgere nei dispositivi.

Il portale self-service è disponibile per le seguenti piattaforme:

• Android

• iOS

• macOS

• Windows Mobile

• Windows

8.1 Configurazione delle impostazioni del portaleself-service

ImportanteData la complessità della configurazione delle impostazioni del portale self-service, si consiglia dieffettuare prove di registrazione dei dispositivi per vari gruppi di utenti diversi prima di utilizzare leimpostazioni con utenti reali.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Portale self-service.

2. Cliccare su Testi di registrazione e successivamente aggiungere un testo per i termini di utilizzo eun testo di post-registrazione.

Quando vengono assegnati alla configurazione del portale self-service, questi testi verrannovisualizzati rispettivamente prima e dopo la registrazione. Per ulteriori informazioni, vedereCreazione di testi di registrazione (pagina 20).

3. Nella pagina Configurazioni del portale self-service, cliccare su Aggiungi per creare unaconfigurazione.

È possibile creare configurazioni diverse e assegnarle a gruppi di utenti diversi.


Opzione Descrizione

Nome Il nome della configurazione.

Nel portale self-service, gli utenti selezioneranno unaconfigurazione con questo nome.



Opzione Descrizione

Gruppi di utenti Cliccare su Aggiungi e immettere un gruppo di utenti. Laconfigurazione verrà applicata a tutti i membri di questogruppo.

È possibile aggiungere più di un gruppo di utenti a unaconfigurazione, ma non è possibile aggiungere lo stessogruppo di utenti a configurazioni diverse.

Numero massimo didispositivi

Il numero massimo di dispositivi che un utente può registrarenel portale self-service.

Azioni Cliccare su Mostra e selezionare le azioni di gestione che unutente è autorizzato a svolgere nel portale self-service.

Per maggiori informazioni sulle azioni supportate dalle variepiattaforme dei dispositivi, vedere Azioni disponibili nel portaleself-service (pagina 21).

5. Cliccare su Aggiungi e successivamente sulla piattaforma che si desidera configurare.

6. Cliccare su Aggiungi > Android.

7. Nella finestra di dialogo Configura impostazioni di piattaforma, configurare le seguentiimpostazioni:

Opzione Descrizione

Visualizza nome Il nome delle impostazioni della piattaforma.

Nel portale self-service, gli utenti selezioneranno un tipo diregistrazione con questo nome.

Descrizione Una descrizione delle impostazioni della piattaforma.

Questa descrizione viene visualizzata nel portale self-serviceaccanto al nome.

Proprietario Selezionare se i dispositivi registrati con questa configurazionedevono essere classificati come aziendali o personali.

Gruppo di dispositivi Selezionare il gruppo di dispositivi a cui aggiungere i dispositiviregistrati.

Pacchetto di registrazione Selezionare il bundle delle operazioni (per Android, iOS emacOS) o il criterio (per Windows e Windows Mobile) daeseguire sui dispositivi.

Selezionare il bundle delle operazioni Android creato inprecedenza.

Termini di utilizzo Selezionare il testo da visualizzare nel portale self-serviceprima della registrazione.

Lasciare vuoto questo campo per non visualizzare alcun testo.

Gli utenti dovranno accettare il testo per procedere con laregistrazione.



Opzione Descrizione

Testo di post-registrazione Selezionare il testo da visualizzare nel portale self-servicedopo la registrazione.

Lasciare vuoto questo campo per non visualizzare alcun testo.

8. Cliccare su Applica per aggiungere le impostazioni della piattaforma alla configurazione del portaleself-service.

9. Se richiesto, configurare piattaforme aggiuntive.

Per ciascuna piattaforma, è possibile configurare impostazioni diverse per dispositivi aziendali epersonali.

10. Cliccare su Aggiungi > iOS e ripetere i passaggi di configurazione effettuati per Android.

11. Nella pagina Modifica configurazione del portale self-service, cliccare su Salva.

Se richiesto, aggiungere ulteriori impostazioni del portale self-service per altri gruppi di utenti.

Nella pagina Configurazioni del portale self-service è possibile utilizzare le icone a forma difreccia per modificarne la priorità. Se il portale self-service trova corrispondenza con più di unaconfigurazione (perché l’utente appartiene a vari gruppi), verrà applicata la configurazione conpriorità più elevata.

È sempre presente una configurazione di Default. Questa configurazione ha la priorità più bassa,per cui viene utilizzata solamente quando non esiste un’altra configurazione che trovi corrispondenzacon l’utente.

8.2 Creazione di testi di registrazioneLa configurazione del portale self-service può includere un testo contenente i termini di utilizzo e untesto di post-registrazione da visualizzare rispettivamente prima e dopo la registrazione. I test devonoessere creati separatamente dalla configurazione del portale self-service e assegnati a seconda delleesigenze.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Portale self-service.

2. Cliccare su Testi di registrazione e successivamente sul tipo di testo che si desidera creare:

• Termini di utilizzo: un testo che può descrivere una politica per i dispositivi mobili, indicarela declinazione di responsabilità o l’accettazione dei termini; viene visualizzato prima dellaregistrazione. Gli utenti dovranno accettare il testo per procedere con la registrazione.

• Testo di post-registrazione: il testo da visualizzare dopo la registrazione, ad es. ladescrizione delle operazioni di post-registrazione che dovranno essere effettuate dall'utente.

3. Nella pagina Modifica testo di registrazione, immettere il testo e un nome che lo definisce.

È possibile utilizzare il markup HTML per formattare il testo.


Quando si configura un'impostazione per il portale self-service, è possibile selezionare un testo per itermini di utilizzo e un testo di post-registrazione per ciascun tipo di registrazione.

Attività correlateConfigurazione delle impostazioni del portale self-service (pagina 18)



8.3 Azioni disponibili nel portale self-serviceQuesta sezione elenca le azioni del portale self-service che sono disponibili per le varie piattaformeindividuali.

Azione Descrizione Piattaforme

Localizza dispositivo Grazie a questa funzione gli utenti potrannoindividuare la posizione dei dispositivi, nelcaso di smarrimento o furto.

Android

iOS

Windows Mobile

Windows

Blocca dispositivo Grazie a questa funzione gli utenti potrannobloccare i dispositivi, nel caso di smarrimentoo furto.

Android

iOS

macOS

Windows Mobile

Riconfigura dispositivo Grazie a questa funzione gli utenti potrannoriconfigurare i dispositivi, nel caso in cuiSophos Mobile sia stato rimosso daldispositivo, ma tale dispositivo risulta ancoraregistrato.

Android

iOS

macOS

Windows Mobile

Windows

Mostra violazioni dellaconformità

Con questa funzione gli utenti possonovisualizzare le violazioni della conformità deipropri dispositivi.

Android

iOS

macOS

Windows Mobile

Windows

Aggiorna dati Grazie a questa funzione gli utenti potrannosincronizzare manualmente i dispositivi conil server di Sophos Mobile. Si tratta di unafunzione utile se, per esempio, il dispositivo èrimasto spento per un lungo periodo di tempoe quindi non ha effettuato la sincronizzazionecon il server. In questo caso, il dispositivopotrebbe risultare non conforme e dovràquindi essere sincronizzato con il server perpoter diventare nuovamente conforme.

NotaQuesta funzionalità non è disponibile peri dispositivi in cui Sophos Mobile gestiscesolamente Sophos Container.

Android

iOS

macOS

Windows Mobile

Windows




Reimposta password Con questa funzione, gli utenti potrannoreimpostare la password per lo sblocco delloschermo.

Per i dispositivi Android e iOS verràvisualizzata una password provvisoria nelportale self-service. Il dispositivo può esseresbloccato solamente inserendo questapassword. Dopo aver sbloccato il propriodispositivo, l'utente può inserire una nuovapassword.

Per i dispositivi Android Enterprise in modalitàproprietario del profilo verrà reimpostata lapassword del profilo di lavoro.

Per i dispositivi iOS la password vienecompletamente cancellata. L'utente devequindi impostare una nuova password entro60 minuti.

Android

iOS

Windows Mobile

Formatta Con questa funzione gli utenti possonoripristinare i dispositivi registrati alleimpostazioni predefinite, in caso dismarrimento o furto. Tutti i dati presenti neldispositivo vengono cancellati.

Android

iOS

macOS

Windows Mobile

Windows

Formattazione del profilo diAndroid for Work

Con questa funzione gli utenti possonorimuovere il profilo di lavoro dai propridispositivi. Questa azione annulla anche laregistrazione dei dispositivi a Sophos Mobile.

Android

Annulla registrazione deldispositivo

Grazie a questa funzione gli utenti potrannodisattivare i dispositivi che non verrannopiù utilizzati. Questa funzione è utile se, adesempio, il numero dei dispositivi che unutente può registrare utilizzando il Portale self-service di Sophos Central è limitato, oppurese gli utenti hanno dispositivi nuovi.

Android

iOS

macOS

Windows Mobile

Windows

Elimina dispositivo nongestito

Grazie a questa funzione gli utenti possonocancellare i dispositivi disattivati.

Android

iOS

macOS

Windows Mobile

Windows




Reimposta la password diApp Protection

Questa funzione consente agli utenti direimpostare la password di App Protectionsui dispositivi Android. La password di AppProtection consente di proteggere le appdefinite e deve essere inserita ogni qual voltal'utente desideri attivare tali app. La passwordverrà cancellata e gli utenti ne dovrannoimpostare una nuova.

Android

Reimposta password diSophos Container

Questa funzione consente agli utenti direimpostare la password di Sophos Container.La password di Sophos Container deveessere inserita ogni volta che gli utentidesiderino avviare una delle app container.La password verrà cancellata e gli utenti nedovranno impostare una nuova.

Android

iOS

Riconfigura app SMC Grazie a questa funzione gli utenti possonoriconfigurare una app Sophos Mobile Controlgià installata.

iOS

Windows Mobile

Modalità smarrito gestita Gli utenti potranno attivare e disattivare laModalità smarrito gestita.

iOS

Riproduci suono Modalitàsmarrito

Gli utenti potranno riprodurre un suono neipropri dispositivi in Modalità smarrito gestita.

iOS

Attività correlateConfigurazione delle impostazioni del portale self-service (pagina 18)



9 Impostazione del sistemaNella pagina Impostazione del sistema è possibile svolgere le seguenti operazioni:

• APNs

— Creazione di un certificato APNs (pagina 25)

— Rinnovo del certificato APNs (pagina 26)

• iOS AirPlay

— Configurazione delle destinazioni iOS AirPlay (pagina 28)

• Android Enterprise

— Impostazione di Android Enterprise - Panoramica (pagina 309)

• Apple VPP

— Impostazione dell'Apple VPP (pagina 297)

— Assegnazione automatica di app VPP iOS (pagina 300)

— Sincronizzazione delle informazioni relative alle licenze VPP (pagina 301)

• Apple DEP

— Impostazione dell’Apple DEP (pagina 71)

• Gestione utenti Apple DEP

— Configurazione della gestione degli utenti DEP (pagina 73)

• Profili Apple DEP

— Creazione di un profilo DEP (pagina 73)

• Licenza Samsung Knox

— Registrazione della licenza Samsung Knox (pagina 28)

• SCEP

— Configurazione di SCEP (pagina 29)

• Network Access Control

— Attivazione dell’integrazione di Sophos Wireless (pagina 29)

• Microsoft Azure

— Impostazione dell'integrazione con Microsoft Intune (pagina 328)

• EMM di terzi

— Gestione di Sophos Mobile Security in dispositivi gestiti con software di terze parti (pagina352)

• Samsung KME

— Impostazione di Knox Mobile Enrollment (pagina 68)

• Zero Touch

— Impostazione della registrazione Zero Touch (pagina 66)



9.1 Certificati Apple Push Notification servicePer utilizzare il protocollo Mobile Device Management (MDM) incorporato nei dispositivi iOSemacOS, Sophos Mobile deve utilizzare il servizio Apple Push Notification (APNs) per l'attivazione deidispositivi.

I certificati APNs sono validi per un anno.

Le sezioni che seguono definiscono i requisiti da soddisfare e le azioni da intraprendere per ottenerel'accesso ai server di APNs con il proprio certificato client.

9.1.1 Requisiti

Per la comunicazione con Apple Push Notification Service (APNs), occorre autorizzare il traffico TCPin entrata e in uscita dalle seguenti porte:

• Il server di Sophos Mobile deve potersi connettere a gateway.push.apple.com:2195 TCP(17.0.0.0/8)

• Ciascun dispositivo iOS dotato solamente di accesso Wi-Fi deve potersi connettere a*.push.apple.com:5223 TCP (17.0.0.0/8)

9.1.2 Creazione di un certificato APNs

Prerequisito: non aver ancora caricato su Sophos Mobile un certificato per l’Apple Push Notificationservice (APNs).

Per rinnovare un certificato già esistente, vedere Rinnovo del certificato APNs (pagina 26).

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda APNs.

2. Cliccare su Procedura guidata per il certificato APNs.

3. Nella pagina Mode, cliccare su Crea un nuovo certificato APNs.

4. Nella pagina CSR, cliccare su Scaricare la richiesta di firma del certificato.

Questa operazione salva il file di richiesta di firma del certificato apple.csr sul computer locale.

5. Occorre un ID Apple. Anche se si è già in possesso di un ID, si consiglia di crearne uno nuovo dautilizzare esclusivamente per Sophos Mobile. Nella pagina ID Apple, cliccare su Crea l'ID Applenel portale di Apple.

Si aprirà una pagina web di Apple nella quale sarà possibile creare un ID Apple per l’azienda.

NotaConservare le credenziali in un posto sicuro, a cui i colleghi possano accedere. L’azienda avràbisogno di queste credenziali ogni anno, per rinnovare il certificato.

6. Nella procedura guidata, immettere il nuovo ID Apple nel campo ID Apple.

7. Nella pagina Certificato, cliccare su Crea certificato nel portale di Apple.

Verrà aperto l’Apple Push Certificates Portal.

8. Accedere con il proprio ID Apple e caricare il file di richiesta di firma del certificato apple.csr.

9. Scaricare il file .pem del certificato APNs e salvarlo nel computer.



10. Nella pagina Carica, cliccare su Carica certificato e cercare il file .pem ricevuto dall’Apple PushCertificates Portal.


Sophos Mobile leggerà il certificato e visualizzerà i dettagli del certificato nella scheda APNs.

9.1.3 Rinnovo del certificato APNs

Prerequisito: aver già caricato su Sophos Mobile un certificato per l’Apple Push Notification service(APNs) che sta per scadere e deve essere rinnovato.

Per creare e caricare un nuovo certificato, vedere Creazione di un certificato APNs (pagina 25).

ImportanteNel portale di Apple, è importante selezionare il corretto certificato APNs da rinnovare. Se sidovesse rinnovare il certificato sbagliato, potrebbe essere necessario effettuare nuovamente laregistrazione di tutti i dispositivi iOS e macOS.


2. Cliccare su Procedura guidata per il certificato APNs.

3. Nella pagina Mode, cliccare su Rinnova certificato APNs.

4. Nella pagina CSR, cliccare su Scaricare la richiesta di firma del certificato.

Questa operazione salva il file di richiesta di firma del certificato apple.csr sul computer locale.

5. Nella pagina ID Apple viene visualizzato l’ID Apple utilizzato per creare il certificato APNs iniziale.

Questo ID è richiesto per accedere al portale Apple.

6. Nella pagina Certificato, cliccare su Rinnova certificato nel portale di Apple.

Verrà aperto l’Apple Push Certificates Portal.

7. Accedere con l’ID Apple fornito nella procedura guidata.

8. Nel Apple Push Certificates Portal, cliccare su Renew accanto al proprio certificato APNs diSophos Mobile.

9. Caricare il file di richiesta di firma del certificato apple.csr preparato in precedenza.

10. Scaricare il file .pem del certificato APNs e salvarlo nel computer.

11. Nella pagina Carica, cliccare su Carica certificato e cercare il file .pem ricevuto dall’Apple PushCertificates Portal.


ImportanteSe dovesse essere visualizzato il seguente messaggio, il certificato che si desidera rinnovare nonè quello corretto:

L'argomento del nuovo certificato non corrisponde a quello precedente. Sei dispositivi sono stati impostati utilizzando il certificato precedente,dovranno essere reimpostati. Salvare le modifiche apportate?

Questo messaggio indica che si sta per creare un nuovo certificato APNs con un identificatorediverso. Se si conferma il messaggio, tutti i dispositivi iOS e macOS esistenti diverranno nongestibili, e occorrerà effettuarne nuovamente la registrazione.

Per informazioni su come selezionare il certificato corretto, vedere Identificazione del correttocertificato APNs per il rinnovo (pagina 27).



9.1.4 Identificazione del corretto certificato APNs per il rinnovo

Quando si rinnova il certificato Apple Push Notification service (APNs) per il server di SophosMobile, come indicato nella sezione Rinnovo del certificato APNs (pagina 26), è importanteselezionare il corretto certificato APNs da rinnovare nel portale di Apple.

Questa sezione descrive come identificare il certificato APNs caricato sul server di Sophos Mobile.

Recuperare l’identificatore del certificato:

1. Accedere a Sophos Central Admin e aprire la vista Mobile dalla sezione Prodotti del menùprincipale.


3. Prendere nota del valore Argomento visualizzato sotto Certificato APNs.

Identificare il certificato:

4. Utilizzare un browser web a scelta per aprire l'URL di Apple Push Certificates Portal, https://identity.apple.com/pushcert/.

Se si dovessero riscontrare problemi con alcune funzionalità del portale Apple mentre si usaMicrosoft Internet Explorer, si consiglia di adoperare al suo posto la versione più recente deibrowser Firefox, Opera, Chrome o Safari.

5. Accedere con lo stesso Apple ID utilizzato per la creazione del certificato APNs iniziale.

6.Dall'elenco dei certificati APNs, cliccare sull'icona Informazioni sul certificato accanto alnome del certificato.

Vengono visualizzati i dettagli del certificato.

7. Nel campo Oggetto ND, individuare il valore indicato dopo la stringa UID=. Se il valore è identicoa quello dell’identificatore specificato in Sophos Mobile Admin, significa che è stato identificato ilcertificato corretto.

9.1.5 Verifica della connettività APNs dei dispositivi

Gli utenti dell'app Sophos Mobile Control per iOS possono verificare se i propri dispositivi siano ingrado di connettersi al server dell’Apple Push Notification service (APNs).

1. Nell’app Sophos Mobile Control, toccare l’icona Informazioni per aprire la schermata Info.

2. Toccare Verifica APNs.

L’app proverà a connettersi al server di Apple APNs. Il tempo di risposta del server atteso è di 5secondi o meno.

Se l’app comunica che è stato possibile raggiungere il server di APNs, il dispositivo è in grado diricevere comandi dal server di Sophos Mobile tramite APNs.

Se l’app comunica che non è stato possibile raggiungere il server di APNs, la rete non consente lacomunicazione con l’APNs, per cui Sophos Mobile non è in grado di gestire i dispositivi iOS. Percorreggere questo problema, verificare che vengano soddisfatti i requisiti descritti nella sezioneRequisiti (pagina 25).


https://identity.apple.com/pushcert/

https://identity.apple.com/pushcert/


9.2 Configurazione delle destinazioni iOS AirPlayCon Sophos Mobile è possibile attivare in remoto il mirroring di AirPlay fra un dispositivo iOS edestinazioni di AirPlay predefinite (per es. AppleTV).

NotaAirPlay è funzionante solo nei dispositivi appartenenti alla stessa rete.

È possibile definire destinazioni per il mirroring di AirPlay.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Installazione, e successivamentesu Installazione del sistema; passare quindi alla scheda iOS AirPlay.

2. Nella sezione Destinazioni AirPlay, cliccare su Crea destinazione AirPlay.Verrà visualizzata la pagina Destinazione AirPlay.

3. Inserire il nome del dispositivo e (facoltativamente) l’indirizzo MAC del dispositivo AirPlay didestinazione. Se richiesto, inserire la password del dispositivo.

4. Cliccare su Applica.Il dispositivo verrà visualizzato sotto Destinazioni AirPlay, nella scheda iOS AirPlay della paginaInstallazione del sistema.


È possibile attivare il mirroring di AirPlay tra un dispositivo iOS e questa destinazione cliccando suRichiedi AirPlay Mirroring dal menù Azioni, nella pagina Mostra dispositivo del dispositivo inquestione.

9.3 Registrazione della licenza Samsung KnoxPer poter gestire con Sophos Mobile il contenitore Knox sui dispositivi Samsung Knox quandol’azienda ha acquistato una licenza Samsung Knox Premium, occorre inserire la chiave di licenza, ilnumero di licenze a disposizione, e la loro data di scadenza nella scheda Licenza Samsung Knox .

9.4 Simple Certificate Enrollment Protocol (SCEP)Sophos Mobile consente di distribuire certificati sui dispositivi mediante Simple Certificate EnrollmentProtocol (SCEP).

Le impostazioni richieste per i dispositivi possono essere definite in una configurazione SCEP delprofilo di un dispositivo (Android e iOS) oppure un criterio (Windows Mobile).

9.4.1 Prerequisiti

Per poter utilizzare il Simple Certificate Enrollment Protocol, è necessario disporre di questiprerequisiti:

• Una CA di Windows, abilitata per SCEP, presente nell'ambiente.

• Credenziali di accesso per utenti autorizzati a creare codici challenge disponibili.

• Il server di Sophos Mobile dispone di accesso http o https ai seguenti siti:



— https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN

— https://YOUR-SCEP-SERVER/CertSrv/MSCEP

9.4.2 Configurazione di SCEP

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Installazione > Installazione delsistema; passare quindi alla scheda SCEP.

2. Specificare le seguenti informazioni:

a) Nel campo URL server SCEP, inserire https://YOUR-SCEP-SERVER/CertSrv/MSCEP.

b) Nel campo URL Challenge, inserire https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN.

NotaSe si utilizza un server Windows 2003 come server SCEP, inserire https://SERVER-SCEP-UTILIZZATO/CertSrv/MSCEP.

c) Nei campi Utente e Password, inserire le credenziali dell'utente e l'utente che può crearecodice challenge.

Notanel campo Utente, inserire un utente che dispone delle autorizzazioni necessarie perregistrare certificati. Utilizzare il formato di accesso: nomeutente@dominio

d) Nel campo Caratteri challenge, selezionare i tipi di carattere da utilizzare per la passwordchallenge.

e) Nel campo Lunghezza challenge, accettare la lunghezza predefinita.

f) Richiesto: Deselezionare l’opzione Usa proxy , se si desidera che Sophos Mobile bypassi ilproxy HTTP durante la connessione al server SCEP. Questa opzione è disponibile solamentese il proxy HTTP è abilitato.

3. Cliccare su Salva.Sophos Mobile testa la connessione al server SCEP.

Per distribuire un profilo con SCEP, occorre aggiungere una configurazione di SCEP a uno dei profilidel dispositivo Android o iOS, oppure a uno dei criteri di Windows Mobile.

9.5 Attivazione dell’integrazione di SophosWirelessUna volta registrati gli access point Sophos APX in Sophos Central, è possibile limitare l’accessoalla rete per i dispositivi gestiti in base al relativo stato di conformità in Sophos Mobile.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Network Access Control.

2. Selezionare Sophos Wireless.


Dopo aver attivato l’integrazione di Sophos Wireless, è possibile configurare l’accesso alla rete per idispositivi. Vedere Configurazione dell’accesso alla rete (pagina 55).



10 Criteri di conformitàCon i criteri di conformità è possibile:

• Autorizzare, vietare o implementare funzionalità specifiche in un dispositivo.

• Definire le azioni da eseguire quando viene violata una regola di conformità.

È possibile creare criteri di conformità diversi, per poi assegnarli ai gruppi di dispositivi. Ciò consentedi applicare livelli di protezione diversi ai dispositivi gestiti.

ConsiglioSe si ha intenzione di gestire sia dispositivi aziendali che personali, si consiglia di definire criteri diconformità ben distinti, almeno per quanto riguarda questi due tipi di dispositivi.

10.1 Crea criterio di conformità

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Criteri di conformità.

2. Nella pagina Criteri di conformità, cliccare su Crea criterio di conformità e successivamenteselezionare il modello su cui si desidera sia basato il criterio:

• Modello predefinito: una selezione di regole di conformità, senza azioni definite.

• Modello PCI, Modello HIPAA: regole di conformità basate, rispettivamente, sugli standard disicurezza HIPAA e PCI DSS.

Il modello selezionato non limita le opzioni di configurazione successive.

3. Inserire un nome e, opzionalmente, una descrizione per il criterio di conformità.

Ripetere la seguente procedura per tutte le piattaforme, a seconda delle esigenze.

4. Verificare che la casella di spunta Abilita piattaforma risulti selezionata in tutte le schede.

Se questa casella non è selezionata, non sarà possibile verificare la conformità dei dispositiviappartenenti alla piattaforma corrispondente.

5. Sotto Regola, configurare le regole di conformità per la piattaforma selezionata.

Per una descrizione delle regole disponibili per ciascun tipo di dispositivo, cliccare su ?nell’intestazione della pagina.

NotaCiascuna regola di conformità possiede un livello di gravità fisso (alto, medio, basso), cheviene segnalato da un'icona blu. Il livello di gravità aiuta a valutare l'importanza di ciascunaregola e le azioni da implementare in caso di violazione.

NotaPer i dispositivi nei quali Sophos Mobile gestisce Sophos Container e non il dispositivo intero,è applicabile un solo sotto-set di regole di conformità. Sotto Evidenzia regole, selezionare untipo di gestione che evidenzi le regole applicabili.

6. Sotto Se viene violata una regola, definire le azioni da intraprendere in caso di violazione di unaregola:



Opzione Descrizione

Nega e-mail Vieta accesso alle e-mail

Questa azione può essere effettuata solamente se è stataconfigurata una connessione al proxy EAS standalone. VedereConfigurazione di una connessione al server proxy EASstandalone (pagina 349).

Questa azione è disponibile solamente per i dispositiviAndroid, iOS, Windows e Windows Mobile.

Blocca container Disattiva le app Sophos Secure Workspace e Secure Email.Ciò incide sui documenti, le e-mail e l'accesso al web gestiti daqueste app.

Questa azione può essere effettuata solamente dopol'attivazione di una licenza Mobile Advanced.

Questa azione è disponibile solamente per i dispositivi Androide iOS.

Crea avviso Crea un avviso.

Gli avvisi sono visualizzati nella pagina Avvisi di SophosCentral Admin.

Trasferisci bundle delleoperazioni

Trasferisce un bundle delle operazioni specifico al dispositivo.

Selezionare un bundle delle operazioni dall’elenco, oppureselezionare Nessuno per non trasferire alcun bundle delleoperazioni in caso di violazione di una regola di conformità.

Questa azione è disponibile solamente per i dispositiviAndroid, iOS, macOS e Windows.

Si consiglia per il momento di impostare questa opzione suNessuno. Per ulteriori informazioni, consultare la SophosMobile Guida per amministratori.

ImportanteSe utilizzati in modo improprio, i bundle delle operazionipotrebbero essere configurati in modo errato o potrebberoaddirittura portare alla cancellazione dei dati dal dispositivo.Per assegnare i bundle delle operazioni corretti alle regoledi conformità, è necessaria una conoscenza approfonditadel sistema.

NotaQuando un dispositivo in modalità proprietario del dispositivo Android Enterprise risulta nonessere conforme ai criteri, vengono disattivate tutte le app.

7. Una volta specificate le impostazioni per tutte le piattaforme richieste, cliccare su Salva per salvareil criterio di conformità con il nome indicato.Il nuovo criterio di conformità viene visualizzato nella pagina Criteri di conformità.


https://docs.sophos.com/central/Mobile/help/it-it/index.html



10.2 Regole di conformità disponibiliQuesta sezione elenca le regole di conformità che possono essere selezionate per ciascunapiattaforma.

Regola Descrizione Piattaforme

Gestione obbligatoria Definire l'azione da eseguire quandoun dispositivo smette di esseregestito.

Android

Android Things

iOS

macOS

Windows Mobile

Windows

Windows IoT

Versione minima per SMC Inserire la versione minima dell’appSophos Mobile Control da installaresul dispositivo.

Android

Android Things

iOS

Windows Mobile

Accesso alla radice consentito Scegliere se autorizzare i dispositivicon diritti root.

NotaPer i dispositivi Sony con EnterpriseAPI versione 4 o superiore, e per idispositivi Samsung con Knox versione5.5 o precedente, sono inclusi tutti idispositivi classificati come non sicuridall’API di MDM, ad es. quando ilbootloader non è bloccato.

Android

App con origini sconosciuteconsentite

Scegliere se autorizzare le app aventiorigini sconosciute.

Questa regola riguarda solamentei dispositivi con sistema Android7.x o versioni precedenti. A partireda Android 8, è stata rimossal’impostazione di sistema cheprevedeva la limitazione in base alleorigini delle installazioni.

Android

Android Debug Bridge (ADB)consentito

Scegliere se autorizzare ADB(Android Debug Bridge).

Android

Consenti Jailbreak Scegliere se autorizzare i dispositivicon jailbreak.

iOS




Blocco dello schermo obbligatorio Selezionare se sia obbligatorioutilizzare una password o un altromeccanismo di blocco (ad es.sequenza o PIN) per il dispositivo.

Per Android, sono inclusi i tipi diblocco del display Sequenza, PIN ePassword, ma non Scorrimento.

I dispositivi Windows Mobile a cui nonè stato assegnato alcun criterio per lapassword vengono sempre segnalaticome non conformi. È una limitazioneimposta da Windows.

Android

iOS

Windows Mobile

Windows

Versione minima per il sistemaoperativo

Scegliere la versione minima delsistema operativo richiesta.

Android

Android Things

iOS

macOS

Windows Mobile

Windows

Windows IoT

Versione massima per il sistemaoperativo

Scegliere la più recente versione delsistema operativo consentita.

Android

Android Things

iOS

macOS

Windows Mobile

Windows

Windows IoT

Aggiornamenti del SO obbligatori Selezionare se sui dispositividebba essere installato l’ultimoaggiornamento disponibile oppurel’ultimo aggiornamento obbligatorio.

Alcuni aggiornamenti di iOSsono classificati da Apple comeobbligatori. L’ultimo aggiornamentodisponibile potrebbe essere piùrecente dell’ultimo aggiornamentoobbligatorio.

iOS




Intervallo massimo disincronizzazione

L’intervallo di tempo massimoconsentito tra gli eventi disincronizzazione del dispositivo.

Android

Android Things

iOS

macOS

Windows Mobile

Windows

Windows IoT

Intervallo massimo disincronizzazione di SMC

L’intervallo di tempo massimoconsentito tra gli eventi disincronizzazione delle app di SophosMobile Control.

iOS

Windows Mobile

Intervallo massimo disincronizzazione di SMSec

L’intervallo di tempo massimoconsentito tra gli eventi disincronizzazione delle app di SophosMobile Security.

Android

iOS

Intervallo massimo per lascansione di SMSec

L’intervallo di tempo massimoconsentito tra le scansioniantimalware effettuate dall’appSophos Mobile Security.

Android

Negazione delle autorizzazioniSMSec consentita

Per il corretto funzionamento diSophos Mobile Security, si richiedonoautorizzazioni specifiche per ildispositivo. L'utente deve concederequeste autorizzazioni durantel'installazione dell'app.

Selezionare se la negazione delleautorizzazioni richieste debbarisultare in una violazione dellaconformità.

Android

App di malware consentite Selezionare se autorizzare o menole app di malware che sono staterilevate da Sophos Mobile Security.

Android

App sospette consentite Selezionare se autorizzare o meno leapp sospette che sono state rilevateda Sophos Mobile Security.

Android

PUA consentite Selezionare se autorizzare o menole app potenzialmente indesiderate(PUA) che sono state rilevate daSophos Mobile Security.

Android




Cifratura obbligatoria Scegliere se debba essere richiestala cifratura per i dispositivi.

Gli utenti dovranno anche abilitarel’impostazione Richiedi PIN peravviare il dispositivo o Richiedipassword per avviare il dispositivoquando impostano una schermata diblocco. Consultare l'articolo 123947della Knowledge Base di Sophos.

Per macOS, questa impostazione èapplicabile solamente alla cifraturacompleta del disco FileVault.

Per Windows Mobile, una violazioneviene segnalata solamente se èimpostata anche la restrizioneVieta dispositivi non cifrati. È unalimitazione imposta da Windows.

Android

iOS

macOS

Windows Mobile

Windows

Roaming dei dati consentito Scegliere se consentire il roaming deidati per i dispositivi.

Android

iOS

Container configurato Selezionare se nel dispositivo debbaessere impostato e abilitato uncontainer. Il container può essereSophos Container o Samsung Knox,oppure un profilo di lavoro Android.

Android

Autorizzazione di localizzazioneobbligatoria

Questa impostazione si riferiscealla funzione Individua posizionegeografica. Selezionare se, peressere considerato conforme,l'utente debba autorizzare durantel'installazione l'app Sophos MobileControl a recuperare i dati relativi allaposizione geografica.

Android

Negazione delle autorizzazioniSMC consentita

Per il corretto funzionamentodell’app Sophos Mobile Control, sonorichieste autorizzazioni specifiche neldispositivo. L'utente deve concederequeste autorizzazioni durantel'installazione dell'app.


Android


https://community.sophos.com/kb/123947




La app è in grado di effettuare lalocalizzazione

I servizi di geolocalizzazione devonoessere attivati, e occorre che l’appSophos Mobile Control sia autorizzataa usarli.

Per Windows Mobile, questa regolariguarda solamente i dispositiviWindows Phone 8.1.

iOS

Windows Mobile

Firewall obbligatorio Il firewall di macOS deve essereattivato.

macOS

Protezione dell'integrità delsistema obbligatoria

La Protezione dell’integrità delsistema deve essere attivata.

NotaLa Protezione dell’integrità del sistemaè una funzionalità di sicurezza dimacOS che limita le azioni chepossono essere svolte dall’utente root.La Protezione dell’integrità del sistemapuò essere configurata quando il Macviene avviato da macOS Recovery.

macOS

Aggiornamenti di sicurezzaobbligatori

L’installazione automatica degliaggiornamenti di sicurezza di macOSdeve essere attivata.

macOS




App consentite / App proibite È possibile aggiungere Appconsentite e App proibite.Selezionare l'opzione desideratadal primo elenco, e specificare nelsecondo elenco il gruppo di appcontenente le app da autorizzareo da vietare. Per informazioni sullacreazione di gruppi di app, consultarela sezione Gruppi di app (pagina303).

Se vengono specificate Appconsentite, saranno consentitesolamente le app elencate. Sevengono rilevate altre app, ildispositivo non risulterà più conforme.

NotaLe app di sistema Android sonoautorizzate automaticamente.

Se vengono specificate App proibite,il dispositivo non risulterà conformenel caso in cui vengano rilevate leapp contenute in questo elenco.

Android

iOS

macOS

App obbligatorie Specificare le app da installare.Selezionare dall'elenco il gruppo diapp contenente le app obbligatorie.Per informazioni sulla creazione digruppi di app, consultare la sezioneGruppi di app (pagina 303).

Android

iOS

macOS

Windows

Windows Defender deve essereattivato

L’impostazione Protezione in temporeale di Windows Defender deveessere attivata.

Windows

È richiesto uno stato di WindowsDefender "Pulito"

Il dispositivo risulterà non conformequando sono presenti avvisi diWindows Defender.

Windows

Definizioni aggiornate di WindowsDefender obbligatorie

Windows Defender dovrà utilizzare ledefinizioni di spyware più recenti.

Windows

10.3 Assegnazione di un criterio di conformità agruppi di dispositivi1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Gruppi di dispositivi.

Verrà visualizzata la pagina Gruppi di dispositivi.



2. Cliccare sul gruppo di dispositivi a cui si desidera assegnare un criterio di conformità.

Vi sarà sempre un gruppo di dispositivi Predefinito a disposizione. Per informazioni sullacreazione di gruppi di dispositivi personalizzati, vedere Crea gruppo di dispositivi (pagina 83).

3. Sotto Criteri di conformità, selezionare i criteri di conformità che si desidera applicare a dispositiviaziendali e personali.


I criteri di conformità selezionati verranno visualizzati nella pagina Gruppi di dispositivi del relativogruppo di dispositivi, sotto Criterio di conformità (aziendale) e Criterio di conformità (personale).

10.4 Verifica della conformità dei dispositiviUna volta configurati i criteri di conformità, è possibile verificare se i dispositivi registrati sonoconformi a questi criteri.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Criteri di conformità.

2. Cliccare su Verifica subito.

Tutti i dispositivi registrati sono sottoposti a controlli che ne valutano lo stato di conformità. Le azionispecificate vengono quindi eseguite.

NotaQuando un dispositivo in modalità proprietario del dispositivo Android Enterprise risulta non essereconforme ai criteri, vengono disattivate tutte le app.



11 Dispositivi

11.1 Aggiungi dispositiviÈ possibile aggiungere più dispositivi a Sophos Mobile scegliendo uno dei seguenti modi:

• Aggiungi dispositivi manualmente. Vedere Aggiungi dispositivo (pagina 39).

• Utilizzare la procedura guidata Aggiungi dispositivo per aggiungere un dispositivo a SophosMobile, assegnarlo a un utente, registrarlo, e trasferirvi un bundle delle operazioni di registrazione.Vedere Utilizzo della procedura guidata Aggiungi dispositivo (pagina 42).

• Consentire agli utenti di registrare i propri dispositivi in maniera indipendente nel Portale self-service di Sophos Central. Vedere Configurazione del portale self-service (pagina 18). Il portaleself-service riduce notevolmente il carico di lavoro del reparto IT aziendale consentendo agli utentidi effettuare operazioni specifiche in autonomia e senza dover contattare l'helpdesk. Il provisioningdei dispositivi viene effettuato eseguendo i bundle delle operazioni definiti. Vedere Bundle delleoperazioni (pagina 272).

Si consiglia di utilizzare i gruppi di dispositivi per raggruppare i dispositivi e poterne svolgerel’amministrazione in maniera più semplice. Vedere Gruppi di dispositivi (pagina 83).

11.1.1 Aggiungi dispositivo

Si consiglia di creare uno o più gruppi di dispositivi prima di aggiungere il primo dispositivo a SophosMobile. Sarà poi possibile assegnare ciascun dispositivo a un gruppo di dispositivi, per semplificare lagestione dei dispositivi stessi. Vedere Crea gruppo di dispositivi (pagina 83).

Per aggiungere un nuovo dispositivo a Sophos Mobile.

1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi.Verrà visualizzata la pagina Dispositivi.

2. Cliccare su Aggiungi e selezionare la piattaforma dalla sezione del menù Aggiungi dispositivomanualmente.Verrà visualizzata la pagina Modifica dispositivo.

3. Nella pagina Modifica dispositivo, inserire i seguenti dettagli del dispositivo:

a) Nel campo Nome, inserire il nome univoco del nuovo dispositivo.

b) Nel campo Descrizione, inserire una descrizione per il nuovo dispositivo.

c) Sotto Proprietario, selezionare Aziendale o Personale.

d) Nel campo Indirizzo e-mail inserire l'indirizzo e-mail.

e) Nel campo Numero telefonico, inserire il numero telefonico del nuovo dispositivo. Inserire ilnumero telefonico completo di prefisso internazionale, ad esempio: +491701234567.

f) Sotto Gruppo di dispositivi, indicare il gruppo a cui si desidera assegnare il dispositivo.

Per informazioni su come creare gruppi di dispositivi, vedere Crea gruppo di dispositivi (pagina83).

4.Per assegnare un utente al dispositivo, cliccare sull’icona Modifica assegnazione utente ,accanto al campo Utente, e successivamente cliccare su Assegna utente al dispositivo. Perulteriori informazioni, vedere Assegnazione di un utente a un dispositivo (pagina 54).



5. Per aggiungere proprietà personalizzate al dispositivo, selezionare la scheda Proprietàpersonalizzate e cliccare su Aggiungi proprietà personalizzata. Per ulteriori informazioni,vedere Aggiunta di proprietà personalizzate del dispositivo (pagina 64).

6. Una volta specificati tutti i necessari dettagli del dispositivo, cliccare su Salva.

Il nuovo dispositivo verrà aggiunto a Sophos Mobile e visualizzato nella pagina Dispositivi, sottoGESTISCI. È ora possibile effettuare il provisioning e la gestione del dispositivo.

NotaPer i dispositivi iOS, una volta configurato Sophos Mobile per la sincronizzazione del nomedel dispositivo con il dispositivo (come descritto in Configurazione delle impostazioni per iOS(pagina 14)), il nome inserito nel campo Nome verrà sostituito dal nome impostato durante lasincronizzazione.

11.2 Registra dispositiviUna volta aggiunti nuovi dispositivi a Sophos Mobile Admin, occorre effettuarne la registrazione aSophos Mobile.

Tipi di registrazione

Sophos Mobile supporta due tipi di registrazione:

Registrazione dei dispositivi Questo tipo di registrazione offre funzionalitàcomplete di Mobile Device Management (MDM).Sophos Mobile è in grado di gestire l’interodispositivo.

Registrazione di Sophos Container Sophos Mobile gestisce solamente SophosContainer nel dispositivo, piuttosto che l’interodispositivo.

Sophos Container è disponibile per Android eiOS.

La registrazione di Sophos Container puòessere utile, per esempio, nelle seguentisituazioni:

• Quando si desidera gestire scenari di tipoBring Your Own Device (BYOD). Conla registrazione di Sophos Container,l’organizzazione avrà accesso solamentea una quantità limitata di informazioni suldispositivo, e non potrà visualizzare app o datipersonali.

• I dispositivi sono gestiti da un softwaredi MDM diverso da Sophos, ma sidesidera anche utilizzare le funzionalità diSophos Container, come ad esempio lasincronizzazione del gruppo di chiavi (keyring)aziendale con Sophos SafeGuard Enterprise.

• I dispositivi sono gestiti da un software diMDM diverso da Sophos, ma si desidera



configurare account e-mail aggiuntivi. Ciò puòessere utile, ad esempio, nel caso di aziendedi consulenza con dipendenti che hannobisogno di accedere ai server di Exchange deiclienti.

Metodi di registrazione

Quelle che seguono sono le opzioni disponibili per la registrazione dei dispositivi:

• La registrazione di dispositivi individuali e non gestiti può essere effettuata utilizzando la funzioneDispositivi. Per ulteriori informazioni, vedere Registrazione di dispositivi singoli (pagina 42).

• Utilizzare la procedura guidata Aggiungi dispositivo per aggiungere un dispositivo aSophos Mobile, assegnarlo a un utente, registrarlo, e trasferirvi un bundle delle operazioni diregistrazione. Vedere Utilizzo della procedura guidata Aggiungi dispositivo (pagina 42).

NotaAll’occorrenza, è possibile utilizzare la procedura guidata Aggiungi dispositivo, oppureil metodo di registrazione automatica, per registrare i dispositivi iOS senza un ID Apple.Questa opzione può essere utile, ad esempio, per preconfigurare un dispositivo prima difornirlo in dotazione a un utente. Vedere Registrazione di dispositivi iOS senza ID Apple(pagina 45).

Raccomandazioni

Per effettuare la registrazione e la configurazione di dispositivi multipli in maniera pratica ed efficace,si consigliano i seguenti metodi:

• È possibile inserire in un bundle le operazioni necessarie per la registrazione dei dispositivi,applicarvi i criteri richiesti e installare le app desiderate (ad es. app gestite per i dispositivi iOS). Perulteriori informazioni, vedere Bundle delle operazioni (pagina 272).

• È possibile concedere agli utenti la possibilità di gestire i dispositivi nel Portale self-service diSophos Central. Per usufruire di questa opzione, includere un bundle delle operazioni per laregistrazione durante la configurazione delle impostazioni del Portale self-service di SophosCentral. Per ulteriori informazioni su come creare i bundle delle operazioni richiesti per laregistrazione, consultare la Guida di avvio di Sophos Mobile o la Guida di avvio di Sophos Mobileas a Service. Per ulteriori informazioni sulla modalità di selezione del bundle delle operazioni nelleimpostazioni del Portale self-service, vedere Configurazione delle impostazioni del portale self-service (pagina 18).

NotaSe si dispone solamente di una licenza Mobile Security attivata in Sophos Central, ma non diuna licenza Mobile Standard, la registrazione dei dispositivi riguarderà solamente l’app SophosMobile Security. Sophos Mobile Security può essere gestita da Sophos Mobile, come descrittonella sezione Gestione di Sophos Mobile Security (pagina 351). Le altre funzionalità di SophosMobile non saranno disponibili.


https://docs.sophos.com/esg/smc/8-6/admin/it-it/PDF/smc_sg.pdf

https://docs.sophos.com/esg/smc/8-6/admin/it-it/PDF/smc_saas_sg.pdf

https://docs.sophos.com/esg/smc/8-6/admin/it-it/PDF/smc_saas_sg.pdf


11.2.1 Registrazione di dispositivi singoli

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi e successivamente suldispositivo che si desidera registrare.

2. Nella pagina Mostra dispositivo, selezionare un tipo di registrazione:

• Per registrare il dispositivo a Sophos Mobile, cliccare su Azioni > Registrati.

• Per registrare Sophos Container, cliccare su Azioni > Registra Sophos Container.

3. Per la registrazione di Sophos Container, selezionare un bundle delle operazioni o un criterio.

L'operazione di registrazione verrà avviata e visualizzata nella pagina Vista operazioni. Verrà inviataall’utente un’e-mail contenente istruzioni per effettuare la registrazione.

NotaNei Mac, la registrazione deve essere effettuata dall’utente che sarà gestito da Sophos Mobile.Per installare il profilo di registrazione, l’utente deve immettere una password di amministrazione.

11.2.2 Utilizzo della procedura guidata Aggiungi dispositivo

I nuovi dispositivi possono essere registrati in maniera molto semplice, grazie alla procedura guidataAggiungi dispositivo. Offre un flusso di lavoro che unisce e combina le seguenti operazioni:

• Aggiunta di un nuovo dispositivo a Sophos Mobile.

• Opzionale: Assegnazione di un utente al dispositivo.

• Registrazione del dispositivo.

• Opzionale: Trasferisce un bundle delle operazioni al dispositivo.

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi e successivamente cliccaresu Aggiungi > Aggiungi procedura guidata per i dispositivi.

ConsiglioIn alternativa, la procedura guidata può essere avviata in una dei seguenti modi:

• Dalla pagina Pannello di controllo, cliccando sul widget Aggiungi dispositivo.

• Dal menù Sophos Central Admin, selezionando Proteggi dispositivi > Avvia proceduraguidata di registrazione dei dispositivi.

2. Nella pagina Utente, immettere i criteri di ricerca per l’individuazione di un utente a cui assegnare ildispositivo, oppure selezionare Salta assegnazione utente per registrare un dispositivo che per ilmomento non si desidera assegnare ad alcun utente.

NotaÈ possibile cercare anche porzioni di stringhe, ma solamente per la parte iniziale di un campo.Per esempio, la stringa di ricerca esempio troverà corrispondenza con Esempio di utente [email protected] ma non con [email protected].

3. Nella pagina Selezione utente, selezionare l’utente desiderato dall’elenco di utenti che soddisfanoi criteri di ricerca.



4. Nella pagina Dettagli dispositivo, configurare le seguenti impostazioni:

Opzione Descrizione

Piattaforma La piattaforma del dispositivo.

Nome Un nome univoco che contraddistinguerà il dispositivo per lagestione con Sophos Mobile.

Descrizione Una descrizione opzionale del dispositivo.

Numero telefonico Un numero di telefono opzionale. Inserire il numero, completo diprefisso internazionale, ad esempio: +491701234567.

Indirizzo e-mail L'indirizzo e-mail a cui inviare le istruzioni per la registrazione.

È l’indirizzo e-mail dell’utente assegnato al dispositivo,secondo la configurazione specificata nella gestione degliutenti di Sophos Central.

Proprietario Selezionare il tipo di proprietario del dispositivo: Aziendale oPersonale.

Gruppo di dispositivi Selezionare il gruppo a cui verrà assegnato il dispositivo. Senon sono ancora stati creati gruppi di dispositivi, è possibileselezionare il gruppo Predefinito, che è sempre disponibile.

5. Nella pagina Tipo di registrazione, selezionare se si desidera registrare il dispositivo o solamenteSophos Container.

Vedere Configurazione della registrazione di Sophos Container (pagina 356).

6. Selezionare un bundle delle operazioni o un criterio da trasferire sul dispositivo. In alternativa,selezionare Registra solo il dispositivo per registrare il dispositivo senza trasferire un bundledelle operazioni.

7. Nella pagina Registrazione, seguire le istruzioni per completare il processo di registrazione.

NotaNei Mac, la registrazione deve essere effettuata dall’utente che sarà gestito da SophosMobile. Per installare il profilo di registrazione, l’utente deve immettere una password diamministrazione.

8. Una volta completato il processo di registrazione, cliccare su Fine.

Nota• Una volta effettuate tutte le selezioni, è possibile chiudere la procedura guidata senza dover

attendere che compaia il pulsante Fine. Un’operazione di registrazione verrà così creata edelaborata in background.

• Se è stato selezionato un bundle delle operazioni da trasferire sul dispositivo dopo laregistrazione, sarà possibile monitorare lo stato dell’operazione nella pagina Vista operazioni.Vedere Vista delle operazioni non completate, non riuscite e appena concluse (pagina 8).

• Per i dispositivi iOS, una volta configurato Sophos Mobile per la sincronizzazione del nomedel dispositivo con il dispositivo (come descritto in Configurazione delle impostazioni per iOS(pagina 14)), il nome inserito nel campo Nome verrà ignorato, e al suo posto sarà utilizzato ilnome configurato nel dispositivo.



11.2.3 Registrazione automatica di dispositivi iOS

I dispositivi iOS possono essere configurati in modo da registrarsi automaticamente a SophosMobile durante l’attivazione del dispositivo. Per svolgere questa operazione, occorre utilizzare AppleConfigurator 2 per assegnare i dispositivi al server di MDM di Sophos Mobile. Quando gli utentiaccenderanno i dispositivi per la prima volta, verrà avviata l’Impostazione Assistita di iOS. Durantel’impostazione, i dispositivi vengono registrati automaticamente a Sophos Mobile.

NotaPer la registrazione automatica è necessario che l’utente che attiva il dispositivo abbia effettuato laregistrazione nel portale self-service di Sophos Central.

NotaPer una descrizione dettagliata di Apple Configurator 2, consultare la Guida in linea di AppleConfigurator 2.

Per configurare la registrazione automatica di dispositivi iOS a Sophos Mobile:

1. Come operazione da effettuare una sola volta per preparare i dispositivi alla registrazioneautomatica, creare un gruppo di dispositivi da assegnare ai dispositivi durante la registrazioneautomatica a Sophos Mobile. Nelle proprietà del gruppo di dispositivi, selezionare l'opzioneConsenti la registrazione automatica per iOS. Vedere Crea gruppo di dispositivi (pagina 83).

2. Prendere nota dell'URL visualizzato nel campo URL per la registrazione automatica del gruppodi dispositivi.

Questo URL sarà richiesto durante la configurazione dei dispositivi con Apple Configurator 2.

3. Connettere alla porta USB di un Mac su cui è installato Apple Configurator 2 il dispositivo iOS chesi desidera registrare automaticamente.

4. In Apple Configurator 2, utilizzare l’assistente alla preparazione per impostare la configurazione deldispositivo.

5. Selezionare Registrazione manuale, e successivamente inserire l’URL per la registrazioneautomatica corrispondente al gruppo di dispositivi.

6. Seguire i passaggi successivi dell’assistente alla preparazione. Opzionalmente, è possibileconfigurare i seguenti aspetti dell'attivazione del dispositivo:

• Abilitare la modalità di supervisione del dispositivo.

• Configurare i computer host ai quali il dispositivo è autorizzato a connettersi tramite porte USB.

• Per i dispositivi supervisionati, generare o selezionare un’"identità di supervisione".

• Disattivare i passaggi di configurazione dell’Impostazione Assistita di iOS.

Una volta completata la configurazione, fornire il dispositivo all’utente. Quando l’utente accenderàil proprio dispositivo per la prima volta, verranno effettuate sia l’impostazione di iOS che laregistrazione a Sophos Mobile secondo le configurazioni specificate.

ConsiglioPer impostazione predefinita, Sophos Mobile gestisce i dispositivi che effettuano laregistrazione automatica con un nome che è composto da ID del dispositivo e tipo di dispositivo.Alternativamente, Sophos Mobile può utilizzare il nome configurato nel dispositivo. Vederel'opzione Sincronizza nome del dispositivo nella sezione Configurazione delle impostazioni periOS (pagina 14).


http://help.apple.com/configurator/

http://help.apple.com/configurator/


11.2.4 Registrazione di dispositivi iOS senza ID Apple

È possibile registrare un dispositivo iOS a Sophos Mobile senza dover prima associare il dispositivoin questione a un ID Apple. Questa opzione può essere utile, ad esempio, per preconfigurare undispositivo prima di fornirlo in dotazione a un utente.

Il metodo di registrazione standard include l’installazione dell’app Sophos Mobile Control suldispositivo. Poiché l’app viene installata dall’App Store, e siccome per accedere all’App Store serveun ID Apple, occorrerà associare il dispositivo all’ID prima di avviare la registrazione.

Alternativamente, è possibile effettuare la registrazione di un dispositivo iOS senza installare l’appSophos Mobile Control, in modo tale che non occorra associare il dispositivo a un ID Apple. Ciò puòavvenire con:

• Il metodo di registrazione automatica. Vedere Registrazione automatica di dispositivi iOS (pagina44).

• La procedura guidata Aggiungi dispositivo. Vedere Utilizzo della procedura guidata Aggiungidispositivo (pagina 42).

Nella procedura guidata, procedere come segue:

1. Nella pagina Registrazione, selezionare la scheda Registrazione senza ID Apple.

2. Utilizzare il browser web del dispositivo per aprire l’URL di registrazione. Verrà aperto un modulo diregistrazione di Sophos Mobile.

3. Inserire il token nel modulo e cliccare su Registra.

4. Seguire le istruzioni visualizzate sul dispositivo per installare il bundle delle operazioni diregistrazione.

11.2.5 Registrazione dei dispositivi Android Enterprise

Di solito, la registrazione dei dispositivi Android Enterprise viene effettuata nel Portale self-service diSophos Central. Se Android Enterprise è stata impostata in Sophos Mobile con lo scenario AccountGoogle Play gestito, i dispositivi possono essere registrati anche con la procedura guidata Aggiungidispositivo.

Prerequisiti:

• Aver impostato Android Enterprise per lo scenario Account Google Play gestito. VedereImpostazione di Android Enterprise (scenario con account gestito di Google Play) (pagina 310).

• Aver creato un bundle delle operazioni di registrazione.

A seconda del tipo di criterio installato dal bundle delle operazioni, il dispositivo verrà registratoin modalità proprietario del dispositivo o proprietario del profilo di Android Enterprise. VedereConfigurazione della registrazione dei dispositivi ad Android Enterprise (pagina 315).

Per registrare un dispositivo in modalità Android Enterprise:


2. Utilizzare la procedura guidata Aggiungi dispositivo, come indicato nella sezione Utilizzodella procedura guidata Aggiungi dispositivo (pagina 42), per avviare la registrazione. Per undispositivo Android Enterprise, procedere come segue:

a) Nella pagina Utente, selezionare Cerca utente e successivamente immettere i criteri di ricercada utilizzare per individuare l’utente a cui assegnare il dispositivo.



b) Nella pagina Selezione utente, selezionare l’utente desiderato dall’elenco di utenti chesoddisfano i criteri di ricerca.

c) Nella pagina Dettagli dispositivo, nel campo Piattaforma, selezionare Android.

d) Nella pagina Tipo di registrazione, selezionare il bundle delle operazioni di registrazione perAndroid Enterprise.

NotaNei dispositivi registrati in modalità proprietario dispositivo Android Enterprise saranno disponibilisolamente le seguenti app:

• Impostazioni

• Telefono

• Play Store

• Sophos Mobile Control

• Fotocamera (se è stata attivata l'opzione Consenti fotocamera nella configurazioneRestrizioni)

11.2.6 Registrazione di massa dei dispositivi Android Enterprise

L'app Sophos NFC Provisioning consente di effettuare la registrazione di massa a Sophos Mobileper i dispositivi Android di proprietà dell'azienda. La procedura prevede l'installazione dell'appSophos NFC Provisioning su un dispositivo (dispositivo master) e il trasferimento delle impostazionidi registrazione ai dispositivi tramite NFC. I dispositivi vengono registrati a Sophos Mobile in modalitàproprietario del dispositivo Android Enterprise.

Prerequisiti:

• Aver impostato Android Enterprise per lo scenario Account Google Play gestito. VedereImpostazione di Android Enterprise (scenario con account gestito di Google Play) (pagina 310).

• Il dispositivo master deve essere dotato di NFC.

• I dispositivi che si desidera registrare devono essere nuovi oppure ripristinati alle impostazioni difabbrica e dotati di NFC.

1. Scaricare l'app Sophos NFC Provisioning da Google Play e installarla sul dispositivo master.

2. Nell'app Sophos NFC Provisioning, configurare le seguenti impostazioni:

• Dettagli della connessione della rete Wi-Fi aziendale.

• Fuso orario e lingua da applicare ai nuovi dispositivi.

• Facoltativamente: l’URL del portale self-service.

• Facoltativamente: saltare la cifratura dispositivo.

• Facoltativamente: saltare l’impostazione del vendor del dispositivo.

3. Toccare Pronto per il trasferimento e posizionare il dispositivo master e il dispositivo daregistrare in modo che le loro parti posteriori siano a contatto, con i sensori NFC allineati.

Il dispositivo è ora impostato e registrato a Sophos Mobile.

Per registrare altri dispositivi, toccare nuovamente Pronto per il trasferimento.



11.2.7 Registrazione di un dispositivo Android Things

Per registrare un dispositivo Android Things a Sophos Mobile, è necessario eseguirne il flashing conun'immagine di Android Things personalizzata. Occorrerà utilizzare la stessa immagine per tutti idispositivi da registrare a Sophos Mobile.

Prerequisito: aver impostato un computer che è connesso alla rete IP locale e in cui è installato lostrumento a riga di comando Android Debug Bridge (adb).

adb è uno dei componenti del pacchetto Android SDK Platform Tools. Questo pacchetto può essereinstallato come parte dell’Android SDK oppure come pacchetto indipendente. Per informazioni piùdettagliate, consultare la documentazione di Google Android Debug Bridge.

Per registrare un dispositivo Android Things a Sophos Mobile:


2. Utilizzare la procedura guidata Aggiungi dispositivo, come indicato nella sezione Utilizzodella procedura guidata Aggiungi dispositivo (pagina 42), per avviare la registrazione. Per undispositivo Android Things, procedere come segue:

a) Nella pagina della procedura guidata intitolata Dettagli dispositivo, individuare il campoPiattaforma e selezionare Android Things.

b) Nella pagina della procedura guidata intitolata Registrazione, cliccare su Apri la sezione didownload di Sophos Mobile e scaricare il file APK della versione più recente dell'app SMCAndroid Things.

3. Aprire la Google Android Things Console.

4. Creare un prodotto Android Things e configurare una build secondo le istruzioni specificate nelladocumentazione della Google Android Things Console.

Nella pagina Seleziona app della Android Things Console, aggiungere il file APK dell'app SMCAndroid Things.

5. Dopo aver completato la configurazione della build, scaricare l'immagine di Android Things.

6. Eseguire il flashing del dispositivo con questa immagine.

7. Se non è ancora stato fatto, connettere il dispositivo alla rete IP locale tramite Ethernet o Wi-Fi.

8. Nel computer in cui è installato adb, effettuare la connessione al dispositivo:

adb connect <indirizzo-ip>

Sostituire la dicitura <indirizzo-ip> con l'indirizzo IP del dispositivo.

9. Configurare l'app SMC Android Things utilizzando il comando indicato nella procedura guidataAggiungi dispositivo, oppure nell'e-mail contenente le istruzioni:

adb shell am start -d "<parametri-di-configurazione>"

NotaPotrebbe essere visualizzato un messaggio di sistema con la dicitura: Warning: Activitynot started, its current task has been brought to the front. Questomessaggio può essere ignorato.

L'app SMC Android Things nel dispositivo si connetterà al server di Sophos Mobile. Una voltacompletato il processo di registrazione, il dispositivo verrà visualizzato in Sophos Mobile con lo statoGestito.



Informazioni correlateGoogle Android Things Console (collegamento esterno)Documentazione della Google Android Things Console (collegamento esterno)Documentazione di Google Android Debug Bridge (adb) (collegamento esterno)

11.2.8 Registrazione di un dispositivo Windows IoT

Questa sezione indica come registrare un dispositivo Windows IoT utilizzando la procedura guidataAggiungi dispositivo.

Prerequisiti:

• Deve essere stato effettuato il flashing del dispositivo che si desidera registrare con Windows 10IoT Core.

• Il dispositivo deve essere connesso tramite Ethernet o Wi-Fi alla rete IP locale.

Per registrare il dispositivo Windows IoT a Sophos Mobile:


2. Utilizzare la procedura guidata Aggiungi dispositivo, come indicato nella sezione Utilizzodella procedura guidata Aggiungi dispositivo (pagina 42), per avviare la registrazione. Per undispositivo Windows IoT, procedere come segue:

a) Nella pagina della procedura guidata intitolata Dettagli dispositivo, individuare il campoPiattaforma e selezionare Windows IoT.

b) Nella pagina della procedura guidata intitolata Registrazione, cliccare su Scarica pacchettodi provisioning per scaricare un file .ppkg con il pacchetto di provisioning di Sophos Mobile. Illink è anche disponibile nell’e-mail contenente le istruzioni.

3. Su un computer Windows connesso alla stessa rete locale del dispositivo Windows IoT, utilizzareEsplora file Windows per effettuare la connessione al dispositivo.

Nella barra degli indirizzi di Esplora file, immettere il seguente indirizzo, ove <indirizzo-ip> èl’indirizzo IP del dispositivo:

\\<indirizzo-ip>\c$

Se richiesto, immettere i propri nome utente e password di amministrazione per il dispositivo.

4. Copiare il file .ppkg scaricato durante la procedura guidata Aggiungi dispositivo e incollarlo nellacartella C:\Windows\Provisioning\Packages del dispositivo.

NotaLa cartella deve contenere un solo file .ppkg.

5. Riavviare il dispositivo.

Dopo il riavvio, il dispositivo Windows IoT eseguirà il pacchetto di provisioning ed effettuerà laconnessione al server di Sophos Mobile. Una volta completato il processo di registrazione, il dispositivoverrà visualizzato in Sophos Mobile con lo stato Gestito.


https://partner.android.com/things/console

https://developer.android.com/things/console/

https://developer.android.com/studio/command-line/adb


Importantenella pagina Mostra dispositivo, accertarsi di non effettuare le azioni del dispositivo Impostasu "Non gestito" o Elimina prima di aver annullato la registrazione del dispositivo, altrimentioccorrerà formattare il dispositivo prima di poterlo nuovamente registrare. Per formattare ildispositivo, occorre effettuarne nuovamente il flashing con un’immagine Windows 10 IoT Core.

11.3 Annulla registrazione dei dispositiviÈ possibile annullare la registrazione dei dispositivi che non si ha più intenzione di utilizzare. Unesempio può essere quando un utente acquista un dispositivo nuovo. Questa opzione è utile se èstato imposto un limite al numero di dispositivi che un utente può registrare nel Portale self-service diSophos Central.

1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi.

2. Selezionare il dispositivo desiderato, cliccare su Azioni e successivamente su Annullaregistrazione.

Verrà visualizzato un messaggio che richiede la conferma di voler annullare la registrazione deldispositivo.

NotaÈ possibile selezionare vari dispositivi diversi per annullare la registrazione.

3. Cliccare su Sì.

L’annullamento della registrazione del dispositivo è ora completo. Ciò comporta quanto presentato quidi seguito:

• Dispositivi Android:

— L'amministratore di Sophos Mobile Control nel dispositivo viene disabilitato.

— I dati di accesso al server e tutti gli altri dati ricevuti vengono rimossi.

— Vengono reimpostate le app container (Sophos Secure Workspace e Sophos Secure Email) eSophos Mobile Security.

• Dispositivi iOS:

— Vengono rimossi tutti i profili.

— Vengono disinstallate tutte le app gestite.

— Tutti i certificati ricevuti tramite Mobile Device Management vengono rimossi.

— Vengono reimpostate le app container (Sophos Secure Workspace e Sophos Secure Email).

• Mac:

— Vengono rimossi tutti i criteri.

— Tutti i certificati ricevuti tramite Mobile Device Management vengono rimossi.



Nota• Quando gli utenti disattivano l’amministratore del dispositivo di Sophos Mobile Control nei

dispositivi Android, l’app Sophos Mobile Control annullerà la registrazione del dispositivo.

• Per i dispositivi Android Enterprise registrati in modalità proprietario del dispositivo, non èpresente un'apposita azione di annullamento della registrazione. Per annullare la registrazionedi questo tipo di dispositivo, occorre effettuare una formattazione.

• Se Android Enterprise è stata impostata per lo scenario Account Google Play gestito, gli utentipotranno registrare solamente un numero limitato di dispositivi. In alcune situazioni, l'accountGoogle potrebbe rimanere nel dispositivo anche dopo l'annullamento della registrazione ein tale eventualità il dispositivo continuerebbe a essere considerato come registrato. Se ciòdovesse accadere, rimuovere manualmente l'account Google dal dispositivo.

11.4 Gestione dei dispositiviNella barra laterale dei menù, sotto GESTISCI > Dispositivi e Gruppi di dispositivi, è possibilemonitorare tutti i dispositivi e i gruppi di dispositivi, nonché anche svolgere diverse operazioni diamministrazione. Dopo avere aggiunto dispositivi a Sophos Mobile, è possibile per esempio:

• Visualizzare e modificare i dettagli dei dispositivi.

• Consentire e vietare l'accesso alle e-mail per i dispositivi.

• Bloccare o sbloccare i dispositivi in remoto.

• Reimpostare la password del dispositivo

• Cancellare i dati dei dispositivi in remoto, in caso di smarrimento o furto.

• Disattivare i dispositivi (Android e iOS).

• Cancellare dispositivi.

11.4.1 Vista dispositivi

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi.

2. Individuare il dispositivo richiesto e cliccare sul suo nome.Verrà visualizzata la pagina Mostra dispositivo per il dispositivo selezionato.

ConsiglioNella pagina Dispositivi è possibile visualizzare informazioni aggiuntive, puntando su alcunielementi in particolare:

• Puntare sull’icona "Non gestito" di un dispositivo, per visualizzarne lo stato attuale, come ades. Registrazione annullata o Verificato.

• Puntare sull’icona "Non conforme" di un dispositivo, per visualizzarne il livello di gravità (alto,medio, basso).

11.4.2 Pagina "Mostra dispositivo"

Nella pagina Mostra dispositivo, vengono visualizzate tutte le informazioni di un dispositivospecifico.



Nella parte alta della pagina vengono visualizzate le informazioni più importanti relative aldispositivo.

Nella parte inferiore della pagina vengono visualizzate informazioni dettagliate sul dispositivo,suddivise in varie schede. Le schede e le informazioni visualizzate dipenderanno dalla piattaformadel dispositivo.

Dalla pagina Mostra dispositivo, è possibile passare direttamente alla pagina Modificadispositivo. Per modificare il dispositivo attualmente visualizzato, cliccare su Modifica.

Stato

Mostra le informazioni essenziali del dispositivo, quali: tipo di gestione, stato di gestione e stato diconformità.

Profili

Mostra i profili (inclusi quelli di provisioning) installati sul dispositivo.

Questa scheda contiene anche comandi che permettono di installare o rimuovere i profili daldispositivo.

NotaI profili dei dispositivi iOS che contengono solamente le seguenti configurazioni non vengonovisualizzati nella scheda Profili:

• Roaming/Hotspot

• Sfondo

Queste configurazioni non sono installate come profilo nel dispositivo. Consentono solamente didefinire impostazioni che l’utente può modificare in un secondo momento.

Consiglioil campo di ricerca della tabella permette di effettuare ricerche in base all’ID del profilo, anche sel’ID non viene visualizzato nella tabella.

Criteri

Mostra i criteri assegnati al dispositivo.

In questa scheda viene visualizzato il pulsante Assegna criterio, che consente di assegnare uncriterio al dispositivo.

Proprietà del dispositivo

Mostra le proprietà del dispositivo, per esempio le proprietà relative al modello, nome del modelloe versione del sistema operativo. Per i dispositivi Android, vengono rilevati gli smartphone rooted evisualizzate le relative informazioni. Per i dispositivi iOS, vengono rilevati gli smartphone jailbroken evisualizzate le relative informazioni.



Proprietà personalizzate

Mostra le proprietà personalizzate del dispositivo. Si tratta di proprietà che è possibile creareautonomamente. Le proprietà personalizzate del dispositivo possono, per esempio, essere utilizzateper definire i segnaposto, nel caso non sia disponibile alcuna connessione ad Active Directory.Quando si modifica un dispositivo, qui è possibile aggiungere informazioni specifiche relativeall'utente.

Proprietà interne

Mostra le proprietà interne del dispositivo, per esempio il traffico di ActiveSync consentito, IMEI.

Violazioni alla conformità

Questa scheda viene visualizzata solo per dispositivi non conformi. Mostra i casi di violazione dellaconformità del dispositivo, e le azioni intraprese come conseguenza della violazione.

Per la configurazione di queste azioni, vedere Crea criterio di conformità (pagina 30).

App installate

Mostra il software installato sul dispositivo. Per ciascuna piattaforma vengono visualizzateinformazioni diverse.

La colonna Dimensioni indica l’utilizzo dello spazio su disco di un’app in particolare. La colonnaDati indica lo spazio su disco aggiuntivo che un’app utilizza per dati utenti, configurazioni, e così via.

Con il pulsante Installa app, è possibile installare software sul dispositivo. È inoltre possibiledisinstallare app dal dispositivo, cliccando sull’icona Elimina, posizionata di fianco all’app inquestione.

Nota• Per i dispositivi in cui Sophos Mobile gestisce solamente Sophos Container, non vengono

elencate le app che si trovano all’esterno di Sophos Container. Tra queste sono incluse le appche l’utente ha installato dall’Enterprise App Store.

• Per iOS, le app contrassegnate come Gestite possono essere disinstallate automaticamente.Vedere App gestite per iOS (pagina 296).

• Per i Mac, vengono elencate le app di tutti gli account utente.

• Per Windows, è possibile disinstallare solamente le app che sono state installate da SophosMobile. Se si effettua il tentativo di disinstallare un’app installata da un utente, l’operazionerisulterà non riuscita.

• La scheda App installate può essere disattivata. Vedere Configurazione delle impostazioni diprivacy (pagina 16).

App di sistema

Mostra le app di sistema Android installate nel dispositivo.



NotaLe app di sistema non possono essere rimosse dal dispositivo.

App Knox

Questa scheda indica le app che l’utente ha installato nel container Samsung Knox.

App di sistema Knox

Questa scheda indica le app di sistema che sono installate nel container Samsung Knox.

Risultati scansione

Questa scheda indica i risultati dell'ultima scansione di Sophos Mobile Security eseguita neldispositivo.

Questa scheda è presente solo se l’app Sophos Mobile Security è gestita da Sophos Mobile. VedereGestione di Sophos Mobile Security (pagina 351).

Certificati

Mostra i certificati in uso nel dispositivo.

Per i Mac, vengono elencati i certificati del dispositivo, ma non i certificati utente.

Nei computer Windows sono elencati i certificati installati nello store dell’utente, ma non quelliinstallati nello store del dispositivo.

ConsiglioNella tabella, puntare il cursore sui valori Oggetto o Autorità emittente per visualizzare i dettaglidel certificato.

Operazioni

Questa scheda mostra tutte le operazioni non terminate e non riuscite del dispositivo, nonchéanche tutte le operazioni completate con successo effettuate negli ultimi giorni. Queste operazioni,insieme alle operazioni per tutti gli altri dispositivi, possono essere visualizzate nella pagina Vistaoperazioni. Vedere Operazioni di monitoraggio (pagina 8).

11.4.3 Utilizzo dei gruppi intelligenti

I gruppi intelligenti sono set dinamici di dispositivi basati sui criteri del filtro impostatidall’amministratore. È ad esempio possibile definire un gruppo intelligente che si chiama Tutti idispositivi aziendali Android creati negli ultimi 3 mesi.

Per definire un gruppo intelligente:

1. Nella pagina Dispositivi, cliccare su Filtro esteso sopra l’elenco dei dispositivi.



2. Impostare i criteri del filtro.

3. Immettere un nome per il gruppo intelligente in Gruppo intelligente e cliccare su Crea.

4. Procedere in uno dei seguenti metodi:

• Per applicare il gruppo intelligente all’elenco di dispositivi, cliccare su Filtra.

• Per chiudere la finestra del filtro senza applicare le impostazioni del gruppo intelligente, cliccaresu Reimposta.

5. Per applicare le impostazioni del gruppo intelligente in un secondo momento, cliccare su Gruppiintelligenti sopra l’elenco dei dispositivi e selezionare una voce.

Consiglio• Quando un gruppo intelligente o un filtro esteso è attivo, l’icona che raffigura il filtro nella barra

dell’intestazione cambia colore, passando da blu a verde.

• Ricordare di resettare il filtro quando non è più richiesto. In caso contrario gli elenchi e i reportprodotti potrebbero non includere i risultati attesi.

Altre azioni per i gruppi intelligenti:

• Per annullare un gruppo intelligente, ovvero per visualizzare nuovamente tutti i dispositivi, cliccaresu Filtro esteso e successivamente su Reimposta.

• Per eliminare un gruppo intelligente, cliccare su Gruppi intelligenti e successivamente sull'iconadel cestino situata accanto al gruppo intelligente che si desidera eliminare.

• Per modificare un gruppo intelligente, procedere applicando prima il gruppo e successivamentecliccando su Filtro esteso per apportare le modifiche desiderate; concludere cliccando su Crea.

• Per applicare un filtro ad hoc senza creare un gruppo intelligente, cliccare su Filtro esteso,impostare i criteri del filtro e cliccare su Filtra.

11.4.4 Modifica dei dispositivi


2. Cliccare sull'icona a forma di triangolo blu accanto al dispositivo richiesto, e successivamentecliccare su Modifica.Verrà visualizzata la pagina Modifica dispositivo per il dispositivo selezionato.

3. Apportare le necessarie modifiche (ad es. installazione o disinstallazione del software nella schedaApp installate) e cliccare su Salva.

Le modifiche vengono apportate ai dispositivi selezionati.

Notale modifiche apportate alla proprietà sono valide solo dopo avere cliccato su Salva. Se non sisalvano le modifiche apportate, non avranno alcun effetto.

11.4.5 Assegnazione di un utente a un dispositivo


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo richiesto esuccessivamente cliccare su Modifica.



3.Nella pagina Modifica dispositivo, cliccare sull’icona Modifica assegnazione utente accantoal campo Utente, e nell’elenco di selezione cliccare sulla voce richiesta:

• Per assegnare un utente a un dispositivo al quale non è stato ancora assegnato alcun utente,cliccare su Assegna utente al dispositivo.

• Per assegnare un utente diverso a un dispositivo al quale è già stato assegnato un utente,cliccare su Riassegna utente al dispositivo.

• Per caricare nuovamente l’elenco di utenti dalla directory LDAP, cliccare su Aggiorna elencoutenti.

4. Nella pagina Inserisci parametri di ricerca utente della finestra di dialogo di assegnazione,utilizzare il campo Ricerca tutti i campi per cercare tutti i campi dati dell’account utente. Èpossibile ad esempio inserire il nome utente o l’indirizzo e-mail.

NotaÈ possibile cercare anche porzioni di stringhe, ma solamente per la parte iniziale di un campo.Per esempio, la stringa di ricerca esempio troverà corrispondenza con Esempio di utente [email protected] ma non con [email protected].

5. Nella pagina Seleziona utente, selezionare l’utente e cliccare su Applica.

6. Nella pagina Modifica dispositivo, cliccare su Salva.

11.4.6 Annulla l'assegnazione di un utente a un dispositivo


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo richiesto esuccessivamente cliccare su Modifica.

3.Nella pagina Modifica dispositivo, cliccare sull’icona Modifica assegnazione utente accanto al campo Utente, e successivamente cliccare su Annulla l'assegnazione dell'utente aldispositivo.

4. Nella finestra di dialogo di conferma, cliccare su Sì.


11.4.7 Configurazione dell’accesso alla rete

Prima di poter configurare l’accesso alla rete di un dispositivo, occorre abilitare Network AccessControl (NAC) in Sophos Mobile.

In Sophos Mobile on-premise, NAC viene abilitato dal super administrator. Consultare la Guida persuper administrator di Sophos Mobile (in inglese).

In Sophos Mobile as a Service, NAC è sempre abilitato.

Per configurare l'accesso alla rete di un dispositivo, vi sono due opzioni:

1. L’autorizzazione o il blocco categorico dell’accesso alla rete.

2. La disattivazione dell'accesso alla rete quando il dispositivo viola una delle regole di conformità,mentre in qualsiasi altro caso l’accesso alla rete è abilitato.


https://docs.sophos.com/esg/smc/8-6/admin/en-us/PDF/smc_ag.pdf

https://docs.sophos.com/esg/smc/8-6/admin/en-us/PDF/smc_ag.pdf


NotaSophos Mobile non controlla direttamente l’accesso alla rete, bensì fornisce uno stato Negarete che può essere utilizzato da software NAC esterni, quali Sophos UTM, per bloccare lecomunicazioni di rete.

NotaNetwork Access Control non è disponibile per i Mac connessi tramite Ethernet. Sophos Mobilepuò recuperare solamente l’indirizzo MAC della scheda di rete Wi-Fi del Mac, e non quello dellasua scheda Ethernet. Poiché i dispositivi vengono identificati in base all’indirizzo MAC, un Macconnesso alla rete tramite porta Ethernet verrà considerato come un dispositivo sconosciutoquando il software NAC esterno richiede a Sophos Mobile informazioni sullo stato di rete deldispositivo.

Per configurare l'accesso alla rete di un dispositivo:


2. Nella pagina Dispositivi, selezionare i dispositivi per i quali si desidera impostare la modalità diaccesso alla rete.

3. Cliccare su Azioni e quindi su Imposta l'accesso alla rete.

4. Selezionare la modalità di accesso alla rete:

• Consenti: L’accesso alla rete verrà autorizzato per i dispositivi selezionati.

• Negato: L’accesso alla rete verrà negato ai dispositivi selezionati.

• Modalità automatica: L’accesso alla rete per i dispositivi selezionati verrà concesso in baseallo stato di conformità dei dispositivi.

5. Cliccare su Sì per salvare le modifiche.

NotaNon è possibile bloccare l'accesso alla rete per i dispositivi in cui Sophos Mobile gestiscesolamente Sophos Container.

Per informazioni su come configurare l’accesso alla rete nelle regole di conformità, vedere Crea criteriodi conformità (pagina 30).

11.4.8 Scansione del dispositivo

NotaQuesta funzionalità richiede una licenza Mobile Security o una licenza Mobile Advanced.

È possibile effettuare scansioni dei dispositivi nei dispositivi Android in cui Sophos Mobile gestiscel’app Sophos Mobile Security.


2. Cliccare sul dispositivo che si desidera sottoporre a scansione.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Avvia scansione SMSec.

Verrà creata e trasferita nell’app Sophos Mobile Security un’operazione di scansione del dispositivo.



È possibile visualizzare i risultati della scansione nella scheda Risultati scansione della paginaMostra dispositivo. Cliccare sul nome di una minaccia per visualizzare informazioni aggiuntiveprovenienti dai SophosLabs.

Per sottoporre a scansione più di un dispositivo, creare un bundle delle operazioni contenenteun’operazione Avvia scansione SMSec, e trasferirlo nei dispositivi o gruppi di dispositivi desiderati.

11.4.9 Blocca dispositivo

È possibile bloccare in remoto un dispositivo gestito con Sophos Mobile. Così facendo si attiva il bloccodello schermo.


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo che si desidera bloccare osbloccare, e successivamente su Mostra.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Blocca.

4. Per macOS: Impostare un codice PIN di 6 cifre da inserire nel Mac per sbloccarlo.

5. Per alcuni tipi di dispositivi, è presente l’opzione di immettere un messaggio da visualizzare nellaschermata di blocco.

Verrà creata e trasferita sul dispositivo un’operazione per l'attivazione del blocco dello schermo.

• Per tutte le piattaforme, eccetto macOS: L’utente dovrà inserire la password (oppure PIN osequenza, se configurati) del dispositivo per sbloccarlo.

• Per macOS: Il Mac si riavvierà. L’utente dovrà immettere il codice PIN impostato dal responsabileper sbloccare il dispositivo.

NotaAnche nei dispositivi in cui Sophos Mobile gestisce solamente il profilo di lavoro Android, l’azioneBlocca blocca il dispositivo intero e non solo il profilo di lavoro.

NotaNon è possibile bloccare i dispositivi in cui Sophos Mobile gestisce solamente Sophos Container.

NotaNon è possibile formattare un Mac che è stato bloccato in remoto.

ConsiglioIn Sophos Mobile Admin, il PIN di blocco del sistema macOS viene visualizzato nella paginadel dispositivo, sotto Proprietà del dispositivo > Codice di sblocco e nella pagina Dettaglioperazione sotto PIN di blocco.

11.4.10 Reimpostazione della password del dispositivo

Per i seguenti dispositivi, è presente l’opzione di reimpostare la password in remoto:

• Dispositivi Android con Android 6.x o versione successiva

• Dispositivi Android Enterprise

• Dispositivi iOS



• Dispositivi Windows Mobile

Tuttavia, per i seguenti dispositivi, non è possibile reimpostare la password:

• I dispositivi in cui Sophos Mobile gestisce solamente Sophos Container.

• I dispositivi in cui solamente l’app Sophos Mobile Security è registrata a Sophos Mobile.

• I dispositivi Android Enterprise con Android 8.x o versione successiva, se l’utente non haconfermato la password del dispositivo.

In alcuni dispositivi, l’utente imposta la password durante il setup iniziale, prima dell’installazionedell’app Sophos Mobile Control. In questo caso, l’app Sophos Mobile Control chiede all’utente diconfermare la password a ogni sincronizzazione. Finché l’utente non conferma la password, nonsarà possibile reimpostare la password in remoto.

Per reimpostare la password di un dispositivo:


2. Cliccare sul dispositivo per cui si desidera reimpostare la password.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Reimposta password.

4. Se nella finestra di dialogo viene visualizzata una password di sblocco monouso, comunicarlaall’utente.

Nei dispositivi Android e Windows Mobile, l’utente deve sbloccare il dispositivo con la passwordmonouso e successivamente creare una nuova password.

Nei dispositivi iOS, la password viene rimossa e il dispositivo viene sbloccato.

11.4.11 Visualizzazione della posizione del dispositivo

ImportantePer motivi di tutela della privacy, tutti gli eventi relativi alla posizione di un dispositivo vengonoregistrati e possono essere ispezionati in un secondo momento.

NotaLa visualizzazione della posizione del dispositivo può essere disattivata in Sophos Mobile Admin.Vedere Configurazione delle impostazioni di privacy (pagina 16).

È possibile visualizzare su Google Maps la posizione di un dispositivo Android o iOS, a patto chevengano soddisfatte le seguenti condizioni.

Dispositivi Android:

• L’app Sophos Mobile Control deve essere in esecuzione.

• I servizi di localizzazione devono essere attivati.

• Per i dispositivi Android Enterprise in modalità proprietario del profilo: I servizi di localizzazioneper il profilo di lavoro devono essere attivati.

• L’app Sophos Mobile Control deve avere l’autorizzazione per l’uso della Localizzazione.

Dispositivi iOS:

• L’app Sophos Mobile Control deve essere in esecuzione.

• I servizi di localizzazione devono essere attivati e autorizzati per l’app Sophos Mobile Control.

• La posizione dei dispositivi può sempre essere visualizzata nella Modalità smarrito gestita.



ConsiglioUtilizzare la regola di conformità Autorizzazione di localizzazione obbligatoria per garantire chel’app Sophos Mobile Control riesca ad accedere alla posizione del dispositivo. Vedere Regole diconformità disponibili (pagina 32).

Per visualizzare la posizione di un dispositivo:


2. Cliccare sul dispositivo che si desidera localizzare.

3. Cliccare su Azioni > Mostra posizione.

Se Mostra posizione non è disponibile, verificare che l’app Sophos Mobile Control sia in grado diaccedere alla posizione del dispositivo.

4. Immettere il motivo della richiesta e cliccare su Sì.

Verrà creata e trasferita sul dispositivo un’operazione di localizzazione del dispositivo.

5. Una volta completata l’operazione, cliccare su Azioni > Mostra posizione > Mostra posizione pervisualizzare la posizione del dispositivo in Google Maps.

11.4.12 Formattazione del dispositivo

È possibile formattare in remoto un dispositivo gestito con Sophos Mobile. Questa azione ripristina ildispositivo alle impostazioni di fabbrica.


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo che si desideraformattare, e successivamente su Mostra.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Formatta.

4. Alcuni tipi di dispositivi richiedono la configurazione di impostazioni aggiuntive:

a) Per i dispositivi Android registrati in modalità proprietario del dispositivo Android Enterprise,attivare Factory Reset Protection, se richiesto. Vedere Android Factory Reset Protection(pagina 319).

ImportanteSe gli account Google configurati per Factory Reset Protection non sono validi o se non sene conoscono le credenziali, il dispositivo diventerà inutilizzabile dopo la formattazione.

b) Per i dispositivi iOS, configurare queste impostazioni nella finestra di dialogo di conferma:

• Mantieni piano dati: se nel dispositivo è presente un piano per la rete dati, verràmantenuto dopo il ripristino alle impostazioni di fabbrica.

• Vieta Quick Start: al primo avvio del dispositivo dopo il ripristino alle impostazioni difabbrica, verrà saltato il passaggio Quick Start nell’Impostazione assistita, che consenteall’utente di trasferire contenuti da un altro iPhone.

c) Per i Mac, impostare un PIN di 6 cifre da inserire nel Mac per sbloccarlo.

5. Cliccare su Sì nella finestra di dialogo di conferma.

Verrà creata e trasferita sul dispositivo un’operazione di formattazione del dispositivo.



NotaI seguenti dispositivi non possono essere formattati:

• I dispositivi in cui Sophos Mobile gestisce solamente Sophos Container.

• I dispositivi Android Enterprise in modalità proprietario del profilo.

• I dispositivi Android Things o Windows IoT.

• I Mac che sono stati bloccati in remoto.


11.4.13 Attivazione e disattivazione di Android Factory ResetProtection

NotaQuesta sezione è applicabile ai dispositivi registrati a Sophos Mobile in modalità proprietario deldispositivo Android Enterprise.

Quando si configura la Factory Reset Protection (FRP) per i dispositivi registrati a Sophos Mobilein modalità proprietario del dispositivo Android Enterprise, l’opzione è disattivata per impostazionepredefinita. Se si è sicuri che un dispositivo non è stato rubato o smarrito, FRP può esseredisattivata per semplificare la procedura di impostazione.


2. Cliccare sul dispositivo per cui si desidera impostare lo stato di FRP.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Imposta Factory Reset Protection.

4. Selezionare Attiva FRP o Disattiva FRP.

Quando FRP è attivata, il dispositivo dovrà essere sbloccato dopo un ripristino alle impostazioni difabbrica con uno degli account Google configurati per FRP.

Per ulteriori informazioni su FRP, vedere Android Factory Reset Protection (pagina 319).

Importantein caso di configurazione errata di FRP, il dispositivo diventerà inutilizzabile quando vieneripristinato con FRP attivata.

ConsiglioÈ possibile controllare lo stato di FRP di un dispositivo nella scheda Stato della pagina Mostradispositivo.



11.4.14 Configura gestione costi per le telecomunicazioni

La Gestione costi per le telecomunicazioni (Telecom Expense Management, TEM) consente dimonitorare l’utilizzo della rete dati dei singoli dispositivi. Questa funzionalità è disponibile per idispositivi Android e iOS.

NotaLa Gestione costi per le telecomunicazioni non può essere configurata nei dispositivi AndroidEnterprise in modalità proprietario del profilo.


2. Nella pagina Dispositivi, selezionare i dispositivi per i quali si desidera configurare la gestionecosti per le telecomunicazioni.

NotaSelezionare solamente i dispositivi con lo stesso piano per la rete dati.

3. Cliccare su Azioni > Configura gestione costi per le telecomunicazioni.


Opzione Descrizione

Attiva monitoraggio Se viene selezionata questa opzione, il monitoraggiodell’utilizzo della rete dati sarà attivato per i dispositiviselezionati.

Volume di dati del piano Il volume di dati in MB del piano per la rete dati.

Soglia di allarme Una soglia di volume dei dati in MB. Quando il volume dei datiutilizzati supera questo valore, viene creato un avviso.

Data di azzeramento delciclo di utilizzo

Un valore compreso tra 1 e 31 che specifica il giorno del mesein cui azzerare il valore dell'utilizzo dei dati.

NotaSe un mese dovesse avere meno giorni rispetto al valoreindicato, il valore dell'utilizzo dei dati sarà azzerato l'ultimogiorno del mese.

5. Cliccare su Salva per applicare le impostazioni ai dispositivi selezionati.

L’utilizzo della rete dati viene comunicato da un dispositivo a ogni sincronizzazione con il server diSophos Mobile.

Per visualizzare l’attuale utilizzo dei dati di un dispositivo, aprire la pagina Mostra dispositivo deldispositivo e cliccare su Azioni > Gestione costi per le telecomunicazioni.



ImportanteL’utilizzo dei dati indicato potrebbe essere diverso dai valori dell’operatore dei servizi ditelecomunicazione. Viene segnalato il traffico di dati generato dalle app, ma non gli aggiornamentidi sistema, gli aggiornamenti delle app di sistema e simili.

ConsiglioUtilizzare il report Utilizzo rete dati per visualizzare l’utilizzo dei dati per tutti i dispositivi in cui èattivata l’opzione gestione costi per le telecomunicazioni. Vedere Report (pagina 7).

Nota• Il valore dell’utilizzo dei dati viene azzerato in queste occasioni:

— Regolarmente ogni mese, al termine del giorno specificato nella configurazione.

— Quando viene attivata la gestione costi per le telecomunicazioni nel dispositivo.

— Quando viene annullata la registrazione del dispositivo a Sophos Mobile.

• Per iOS, l’utilizzo dei dati non viene segnalato quando l’app Sophos Mobile Control non è inesecuzione, ad es. quando l’utente non avvia l’app dopo aver riavviato il dispositivo.

11.4.15 Aggiornamento del software iOS

Il software iOS può essere aggiornato per i seguenti tipi di dispositivi:

• Dispositivi supervisionati con iOS 10.3 o versioni successive

• Dispositivi Apple DEP supervisionati

NotaQuesta sezione indica come aggiornare il software iOS in un solo dispositivo. Per aggiornareil software iOS in un gruppo di dispositivi, utilizzare un bundle delle operazioni che includaun’operazione Installa l'aggiornamento iOS più recente. Vedere Tipi di operazioni iOSdisponibili (pagina 277).

Per aggiornare il software iOS su un dispositivo:


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo e successivamentecliccare su Mostra.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Mostra gli aggiornamenti disponibili.

Verrà visualizzato un elenco degli aggiornamenti di iOS disponibili per il dispositivo selezionato.Gli aggiornamenti contrassegnati con la dicitura Critico sono aggiornamenti di sicurezza critici,secondo la classificazione di Apple.

4. Per installare l’ultimo aggiornamento disponibile, cliccare su Installa l'ultimo aggiornamentodisponibile.

Verrà creata e trasferita sul dispositivo un’operazione per l'aggiornamento del software iOS.



Consiglio• Per verificare lo stato di aggiornamento di un singolo dispositivo iOS, aprire la pagina del

dispositivo intitolata Mostra dispositivo. Se nel dispositivo non è installata l’ultima versione diiOS disponibile, verrà visualizzato un simbolo di avviso accanto al Sistema operativo.

• Per verificare lo stato di aggiornamento di tutti i dispositivi iOS, consultare la colonnaOsUpdateAvailable del report Dispositivi.

11.4.16 Configurazione della Modalità smarrito gestita in iOS

Ai dispositivi iOS supervisionati è possibile applicare la Modalità smarrito gestita. Il dispositivo nonpotrà essere utilizzato fino a quando non venga nuovamente disattivata la Modalità smarrito gestitain Sophos Mobile.

In Modalità smarrito gestita, le uniche azioni disponibili nel dispositivo sono:

• L’invio di chiamate a un numero di telefono precedentemente configurato.

• L’invio di chiamate di emergenza.

Nota• La Modalità smarrito gestita è una modalità di blocco diversa dalla Modalità smarrito, in quanto

quest’ultima può essere attivata dall’utente in iCloud. Quando si attiva la Modalità smarritogestita in Sophos Mobile, il dispositivo non potrà essere sbloccato da iCloud.

• L’individuazione della posizione del dispositivo è più accurata in Modalità smarrito gestita,rispetto alla modalità di blocco standard. La posizione del dispositivo viene comunicata allafunzionalità di sistema di iOS, che non ha bisogno che l’app Sophos Mobile Control sia attiva.

Per attivare la Modalità smarrito gestita:


2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo che si desidera bloccare osbloccare, e successivamente su Mostra.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Attiva Modalità smarrito gestita.


Opzione Descrizione

Messaggio della schermatadi blocco

Testo visualizzato nella schermata di blocco.

Numero telefonico Un numero di telefono che è possibile chiamare dallaschermata di blocco.

Nota a piè di pagina Testo della nota visualizzata in fondo alla schermata di blocco.

Se non viene configurata una nota a piè di pagina, verràvisualizzata una notifica standard che consiglia di contattare unamministratore.

Verrà creata e trasferita sul dispositivo un’operazione di attivazione della Modalità smarritogestita. La Modalità smarrito gestita sarà attivata immediatamente non appena il dispositivo riceval’operazione.



Quando un dispositivo si trova in Modalità smarrito gestita, sarà possibile svolgere le seguenti azioninella pagina Mostra dispositivo:

• Per individuare la posizione del dispositivo, utilizzare Azioni > Localizza.

• Per riprodurre un suono nel dispositivo, utilizzare Azioni > Riproduci suono Modalità smarrito.Questa opzione richiede iOS versione 10.3 o successiva.

• Per disattivare la Modalità smarrito gestita, utilizzare Azioni > Disattiva Modalità smarritogestita.

ConsiglioPer scoprire se la Modalità smarrito gestita è attiva, aprire la proprietà del dispositivoIsMDMLostModeEnabled.

11.5 Proprietà personalizzate del dispositivoOltre alle proprietà segnalate da un dispositivo, è possibile aggiungere a un dispositivo ancheproprietà personalizzate.

Aggiungendo una proprietà con un nome proprietà 1, sarà possibile fare riferimento al valoredella proprietà nei profili e nei criteri utilizzando il segnaposto %_DEVPROP(proprietà 1)_%. Perinformazioni dettagliate sui segnaposti di profili e criteri, vedere Segnaposti all’interno di profili ecriteri (pagina 92).

Le proprietà personalizzate possono essere aggiunte a un dispositivo procedendo come segue:

• Aggiungendo proprietà personalizzate a un dispositivo individuale. Vedere Aggiunta di proprietàpersonalizzate del dispositivo (pagina 64).

• Creando proprietà predefinite da assegnare ai dispositivi come proprietà personalizzate durantela creazione dei dispositivi. Vedere Creazione di proprietà predefinite del dispositivo (pagina65).

11.5.1 Aggiunta di proprietà personalizzate del dispositivo

Oltre alle proprietà segnalate da un dispositivo, è possibile aggiungere a un dispositivo anche proprietàpersonalizzate.


2. Cliccare sull'icona a forma di triangolo blu accanto al dispositivo richiesto, e successivamentecliccare su Modifica.

3. Nella pagina Modifica dispositivo, navigare sulla scheda Proprietà personalizzate e cliccare suAggiungi proprietà personalizzata.

Se la scheda Proprietà personalizzate non è disponibile, verificare che l’impostazione di sistemaMostra dettagli dispositivo estesi sia attivata (sotto Impostazione > Generale > Personale).

4. Immettere un nome e un valore per la proprietà.



La proprietà personalizzata verrà aggiunta al dispositivo.



NotaNon è possibile creare una proprietà del dispositivo personalizzata con lo stesso nome di unaproprietà del dispositivo standard.

11.5.2 Creazione di proprietà predefinite del dispositivo

È possibile creare proprietà predefinite da assegnare ai dispositivi come proprietà personalizzatedurante la creazione dei dispositivi.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale esuccessivamente sulla scheda Proprietà predefinite del dispositivo.

2. Cliccare su Aggiungi proprietà personalizzata.

3. Immettere un nome e un valore per la proprietà.



NotaNon è possibile creare una proprietà del dispositivo personalizzata con lo stesso nome di unaproprietà del dispositivo standard.

11.6 Registrazione Zero TouchLa registrazione Zero Touch di Android permette di registrare in massa i dispositivi Androiddi proprietà dell'azienda. I dispositivi abilitati a Zero Touch effettueranno automaticamente laregistrazione al server di Sophos Mobile non appena vengono accesi dagli utenti.

Requisiti

• Disporre di un account per il portale di registrazione Zero Touch di Google. Di solito i rivenditori deidispositivi creano l’account per conto dell’azienda all’acquisto dei primi dispositivi.

• Aver impostato Android Enterprise in Sophos Mobile per lo scenario Account Google Play gestito.Vedere Impostazione di Android Enterprise (scenario con account gestito di Google Play) (pagina310).

Passaggi di configurazione

Per utilizzare la registrazione Zero Touch, procedere come segue:

1. Attivare la registrazione Zero Touch in Sophos Mobile Admin e configurare i dettagli diregistrazione. Vedere Impostazione della registrazione Zero Touch (pagina 66).

2. Creare una configurazione per Sophos Mobile nel portale di registrazione Zero Touch di Google.Vedere Creazione della configurazione Zero Touch (pagina 66).

3. Acquistare dispositivi Android abilitati a Zero Touch da un rivenditore per le aziende approvatoda Google.



4. Assegnare ai dispositivi la configurazione Zero Touch per Sophos Mobile. Vedere Distribuzionedei dispositivi Zero Touch (pagina 67).

Informazioni correlateSito web della registrazione Zero Touch di Google (link esterno)Guida alla registrazione senza intervento (Zero Touch) di Google (link esterno)

11.6.1 Impostazione della registrazione Zero Touch

Per impostare la registrazione Zero Touch in Sophos Mobile Admin, occorre configurare leimpostazioni applicate ai dispositivi Android abilitati a Zero Touch (“dispositivi Zero Touch”) durante laloro registrazione al server di Sophos Mobile.

1. Nella barra laterale del menù di Sophos Mobile Admin, sotto IMPOSTAZIONI, cliccare suImpostazione > Impostazione del sistema e successivamente selezionare la scheda ZeroTouch.

2. Cliccare su Utilizza registrazione Zero Touch.

3. Sotto Impostazioni per la configurazione Zero Touch, cliccare su DPC extras per configurare leimpostazioni da applicare al dispositivo:

• Lingua: la lingua dell’interfaccia utente di Android.

• Fuso orario: il fuso orario da impostare nel dispositivo.

• Abilita app di sistema: per impostazione predefinita, le app di sistema con un’icona di avviosono disattivate quando il dispositivo è impostato in modalità proprietario del dispositivoAndroid Enterprise. Selezionare questa impostazione per mantenere attive tutte le app disistema.

In base alle impostazioni, Sophos Mobile creerà un codice di configurazione da immettere nelportale di registrazione Zero Touch di Google.

4. Sotto Impostazioni di registrazione, configurare la registrazione dei dispositivi Zero Touch aSophos Mobile:

• Gruppo di dispositivi: il gruppo di dispositivi Zero Touch a cui assegnare i dispositivi.

• Bundle delle operazioni: il bundle delle operazioni da trasferire sul dispositivo. L'elencomostra i bundle delle operazioni che non hanno un'operazione Registrati.

5. Cliccare su Salva per salvare le impostazioni di registrazione.

Per completare l’impostazione della registrazione Zero Touch, creare una configurazione perSophos Mobile nel portale di registrazione Zero Touch di Google.

11.6.2 Creazione della configurazione Zero Touch

La configurazione Zero Touch contiene le informazioni di cui hanno bisogno i dispositivi per effettuarela registrazione al server di Sophos Mobile. Questa configurazione viene creata nel portale diregistrazione Zero Touch di Google.

Il presupposto di questa procedura è l’aver già impostato la registrazione Zero Touch di AndroidSophos Mobile Admin, come descritto in Impostazione della registrazione Zero Touch (pagina66).

1. Nella barra laterale del menù di Sophos Mobile Admin, sotto IMPOSTAZIONI, cliccare suImpostazione > Impostazione del sistema e successivamente selezionare la scheda ZeroTouch.


https://www.android.com/intl/it_it/enterprise/management/zero-touch/

https://support.google.com/work/android/answer/7514005?hl=it


2. Cliccare su Copia accanto a DPC extras per copiare il codice di configurazione negli Appunti.

3. Aprire il portale di registrazione Zero Touch di Google in una nuova finestra del browser.

4. Creare una nuova configurazione per Sophos Mobile:

• In EMM DPC, selezionare Sophos Mobile Control.

• In DPC extras, immettere il codice di configurazione copiato negli Appunti.

5. Facoltativamente, è possibile selezionare la configurazione come configurazione predefinita perapplicarla automaticamente a tutti i nuovi dispositivi.

Informazioni correlatePortale di registrazione Zero Touch di Google (link esterno)Guida alla registrazione senza intervento (Zero Touch) di Google (link esterno)

11.6.3 Distribuzione dei dispositivi Zero Touch

Per registrare al server di Sophos Mobile un dispositivo Android abilitato a Zero Touch (“dispositivoZero Touch”), assegnare al dispositivo la configurazione Sophos Mobile.

1. Verificare che i dispositivi per cui si desidera effettuare la distribuzione siano registrati nel portale diregistrazione Zero Touch di Google.

Di solito sono i rivenditori a registrare i dispositivi per conto degli utenti.

2. Nel portale di registrazione Zero Touch di Google, assegnare la configurazione Sophos Mobile aidispositivi.

In alternativa, selezionare la configurazione Sophos Mobile come configurazione predefinita perassegnarla automaticamente ai nuovi dispositivi.

3. Procedere con la distribuzione dei dispositivi agli utenti.

Gli utenti devono disporre di un account utente di Sophos Mobile.

Quando l’utente accende il dispositivo per la prima volta, si avvierà l’impostazione assistita diAndroid. Una volta connesso a internet, il dispositivo effettuerà la registrazione a Sophos Mobile inmodalità proprietario del dispositivo Android Enterprise.

NotaSe quando se ne effettua la registrazione al portale Zero Touch di Google un dispositivo è giàconfigurato, verrà ripristinato alle impostazioni di fabbrica.

11.6.4 Disattivazione della registrazione Zero Touch

Per disattivare la registrazione automatica a Sophos Mobile dei dispositivi Android abilitati a ZeroTouch (“dispositivi Zero Touch”):

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Zero Touch.

2. Cliccare su Revoca configurazione Zero Touch.

I dispositivi Zero Touch continueranno a connettersi al server di Sophos Mobile per la registrazione,ma il server rifiuterà la richiesta.

Per disconnettere completamente Sophos Mobile dalla registrazione Zero Touch, eliminare laconfigurazione di Sophos Mobile nel portale di registrazione Zero Touch di Google.


https://partner.android.com/zerotouch

https://support.google.com/work/android/answer/7514005?hl=it


11.7 Knox Mobile EnrollmentSamsung Knox Mobile Enrollment (KME) abilita la registrazione in blocco dei dispositiviaziendali Samsung a Sophos Mobile. I dispositivi abilitati a Knox Mobile Enrollment effettuerannoautomaticamente la registrazione al server di Sophos Mobile non appena vengono accesi dagliutenti.

Requisiti

• Un account Samsung.

• Un account per il portale Samsung Knox.

• I dispositivi da registrare devono eseguire Knox 2.4 o versione successiva, a seconda delloscenario di registrazione che si desidera utilizzare. Ad esempio, per la registrazione in modalitàproprietario del dispositivo Android Enterprise, si richiede Knox 2.8 o versione successiva.

• Per la registrazione in modalità Android Enterprise, Android Enterprise deve essere stata impostatain Sophos Mobile per lo scenario Account Google Play gestito. Vedere Impostazione di AndroidEnterprise (scenario con account gestito di Google Play) (pagina 310).

Passaggi di configurazione

Per utilizzare Knox Mobile Enrollment, procedere come segue:

1. Attivare Knox Mobile Enrollment in Sophos Mobile Admin e configurare i dettagli di registrazione.Vedere Impostazione di Knox Mobile Enrollment (pagina 68).

2. Creare un profilo per Sophos Mobile nella console di Samsung Knox Mobile Enrollment. VedereCreazione di un profilo KME (pagina 69).

3. Acquistare dispositivi abilitati a Knox Mobile Enrollment.

4. Assegnare ai dispositivi il profilo KME per Sophos Mobile. Vedere Distribuzione dei dispositiviKME (pagina 70).

Informazioni correlateSito web di Samsung Knox Mobile Enrollment (link esterno)Manuale utente di Samsung Knox Mobile Enrollment (link esterno)

11.7.1 Impostazione di Knox Mobile Enrollment

Per impostare Samsung Knox Mobile Enrollment (KME) in Sophos Mobile Admin, occorre configurarele impostazioni da applicare ai dispositivi KME durante la loro registrazione al server di Sophos Mobile.

1. Nella barra laterale del menù di Sophos Mobile Admin, sotto IMPOSTAZIONI, cliccare suImpostazione > Impostazione del sistema e successivamente selezionare la scheda SamsungKME.

2. Cliccare su Utilizza Knox Mobile Enrollment.

3. Sotto Impostazioni di registrazione, configurare la registrazione dei dispositivi KME a SophosMobile:

• Gruppo di dispositivi: il gruppo di dispositivi KME a cui assegnare i dispositivi.


https://www.samsungknox.com/solutions/it-solutions/knox-mobile-enrollment

https://support.samsungknox.com/hc/en-us/articles/115013151687-Knox-Mobile-Enrollment-User-Guide


• Bundle delle operazioni (Android): il bundle delle operazioni trasferito sul dispositivoquando viene registrato come dispositivo Android standard.

• Bundle delle operazioni (proprietario del dispositivo Android Enterprise): il bundledelle operazioni trasferito sul dispositivo quando viene registrato in modalità proprietario deldispositivo Android Enterprise.

Gli elenchi mostrano i bundle delle operazioni che non hanno un'operazione Registrati.

La modalità di registrazione può essere configurata nel profilo di registrazione MDMall'interno della console di Samsung Knox Mobile Enrollment.

• Autenticazione utente: se questa opzione è selezionata, l’utente dovrà immettere le propriecredenziali di Sophos Mobile durante l’impostazione del dispositivo. L’utente verrà assegnatoal dispositivo in Sophos Mobile.

Se questa opzione viene deselezionata, il dispositivo effettuerà la registrazione a SophosMobile senza l’assegnazione di un utente.

4. Cliccare su Salva per salvare le impostazioni di registrazione.

Per completare l'impostazione di Knox Mobile Enrollment, creare un profilo MDM per Sophos Mobileall'interno della console di Samsung Knox Mobile Enrollment.

11.7.2 Creazione di un profilo KME

Il profilo Knox Mobile Enrollment (KME) contiene le informazioni di cui hanno bisogno i dispositivi pereffettuare la registrazione al server di Sophos Mobile. Questo profilo viene creato nella console diSamsung Knox Mobile Enrollment.

Il presupposto di questa procedura è l’aver già impostato Samsung Knox Mobile Enrollment inSophos Mobile Admin, come descritto in Impostazione di Knox Mobile Enrollment (pagina 68).

1. Nella barra laterale del menù di Sophos Mobile Admin, sotto IMPOSTAZIONI, cliccare suImpostazione > Impostazione del sistema e successivamente selezionare la scheda SamsungKME.

2. Aprire il portale Samsung Knox in una nuova finestra del browser e caricare la pagina della consoledi Knox Mobile Enrollment.

3. Nella console di Knox Mobile Enrollment, creare un profilo di MDM per Sophos Mobile.

Se, oltre alla registrazione in modalità proprietario del dispositivo Android Enterprise, si desiderautilizzare anche la registrazione standard per Android, creare due profili e attivare l’opzioneproprietario del dispositivo in uno dei due profili.

4. Configurare il profilo utilizzando i valori indicati in Sophos Mobile Admin sotto Configurazioneprofilo di MDM.

Cliccare su Copia accanto a uno dei campi in Sophos Mobile Admin per copiarne il valore negliAppunti.

È possibile configurare altre impostazioni per il profilo. Per informazioni dettagliate, consultare ilManuale utente di Samsung Knox Mobile Enrollment.

5. Salvare il profilo.

Informazioni correlateConsole di Samsung Knox Mobile Enrollment (link esterno)Manuale utente di Samsung Knox Mobile Enrollment (link esterno)


https://eu-kme.samsungknox.com/itadmin

https://support.samsungknox.com/hc/en-us/articles/115013151687-Knox-Mobile-Enrollment-User-Guide


11.7.3 Distribuzione dei dispositivi KME

Per registrare al server di Sophos Mobile un dispositivo abilitato a Knox Mobile Enrollment (“dispositivoKME”), assegnare il dispositivo al profilo Sophos Mobile.

1. Nella console di Knox Mobile Enrollment, assegnare il profilo Sophos Mobile ai dispositivi.

Se i dispositivi non vengono visualizzati all’interno della console di Knox Mobile Enrollment,contattare il rivenditore.


Se nelle impostazioni di registrazione KME di Sophos Mobile Admin è stata selezionata l'opzioneAutenticazione utente, gli utenti devono avere un account utente Sophos Mobile.

Quando l'utente accende il dispositivo per la prima volta, si avvierà la procedura guidata diimpostazione di Knox Mobile Enrollment. Una volta connesso a internet, il dispositivo effettuerà laregistrazione a Sophos Mobile.

NotaA seconda della modalità di registrazione configurata nel profilo Sophos Mobile all'interno dellaconsole di Knox Mobile Enrollment, il dispositivo effettuerà la registrazione in modalità proprietariodel dispositivo Android Enterprise oppure come dispositivo Android standard.

11.7.4 Disattivazione di Knox Mobile Enrollment

Per disattivare automaticamente la registrazione a Sophos Mobile dei dispositivi abilitati a KnoxMobile Enrollment (“dispositivi KME”):

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Samsung KME.

2. Cliccare su Revoca configurazione di KME.

I dispositivi KME continueranno a connettersi al server di Sophos Mobile per la registrazione, ma ilserver rifiuterà la richiesta.

Per disconnettere completamente Sophos Mobile da Knox Mobile Enrollment, eliminare il profilo diSophos Mobile nella console di Samsung Knox Mobile Enrollment.

11.8 Apple DEPL’Apple Device Enrollment Program (DEP) consente di acquistare iPhone, iPad e Mac all’ingrossoper la distribuzione all’interno della propria azienda. Il DEP semplifica la distribuzione dei dispositivimobili, offrendo le seguenti funzioni:

• Processo di attivazione configurabile.

• Attivazione wireless della modalità di supervisione.

• Configurazione over-the-air.

• Registrazione automatica dei dispositivi iOS a Sophos Mobile durante l’attivazione deldispositivo.



ConsiglioPer informazioni dettagliati sul DEP, visitare il sito web dell’Apple DEP su http://www.apple.com/it/business/programs/.

Passaggi di preparazione

Per preparare la gestione dei dispositivi DEP con Sophos Mobile, procedere come segue, con questipassaggi da effettuare una sola volta:

1. Nel portale web dell’Apple DEP, creare un server di MDM virtuale e connetterlo a SophosMobile. Vedere Impostazione dell’Apple DEP (pagina 71).

2. In Sophos Mobile, creare uno o più profili DEP che controllino attributi dei dispositivi divario genere, e che siano nello specifico inerenti al DEP. Nel profilo DEP è anche possibilepersonalizzare l’assistente di configurazione iOS che si avvia quando si accende un dispositivoper la prima volta. Vedere Creazione di un profilo DEP (pagina 73).

Passaggi di distribuzione

Quando si acquistano dispositivi DEP, il tipico processo di distribuzione include i seguenti passaggi:

1. Acquisto dei dispositivi da Apple o da un rivenditore DEP ufficiale.

2. Nel portale web dell’Apple DEP, assegnare i dispositivi al server di MDM di Sophos Mobile.Per questo passaggio e per quello successivo, vedere Distribuzione dei dispositivi DEP (pagina74).

3. In Sophos Mobile Admin, assegnare un profilo DEP ai dispositivi.


5. Quando gli utenti accenderanno i dispositivi per la prima volta, verrà avviata l’Impostazioneassistita personalizzata. Durante il setup, i dispositivi verranno registrati a Sophos Mobile el’utente sarà assegnato al dispositivo.

6. All’occorrenza è possibile trasferire ulteriori bundle delle operazioni sui dispositivi, percompletare il processo di provisioning.

11.8.1 Impostazione dell’Apple DEP

Prerequisito: aver effettuato la registrazione all’Apple Device Enrollment Program (DEP) e averimpostato un account amministratore per il portale web dell’Apple DEP.

NotaPer informazioni dettagliate sulla registrazione al DEP, visitare il sito web dell’Apple DEP su http://www.apple.com/it/business/programs/, oppure consultare la Guida in linea degli Apple DeploymentProgram.

ConsiglioSe si è già effettuata la registrazione all’Apple Volume Purchase Program (VPP), è possibileutilizzare lo stesso ID Apple anche per il DEP.


http://www.apple.com/it/business/programs/




https://help.apple.com/deployment/programs/



Per utilizzare l’Apple DEP con Sophos Mobile, occorre creare un server di MDM virtuale sul portaleweb dell’Apple DEP, e connetterlo al server di Sophos Mobile. Il procedimento include un processodi verifica per stabilire una connessione sicura tra Sophos Mobile e il servizio web dell’Apple DEP.

Per impostare un server di MDM virtuale per Sophos Mobile:

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Apple DEP.

2. Cliccare su Scarica chiave pubblica per scaricare il file della chiave pubblica di Sophos Mobileper l’Apple DEP.

Il file verrà salvato sul computer locale utilizzando le impostazioni del browser web utilizzato.

3. Aprire il portale web dell’Apple DEP su https://deploy.apple.com in una nuova finestra delbrowser.

Questa azione può essere effettuata cliccando sul link Portale web di Apple DEP in SophosMobile.

4. Accedere al portale web dell’Apple DEP con il proprio ID Apple aziendale.

5. Nel portale, navigare su Programma di registrazione dispositivi > Gestione dei server, ecliccare su Aggiungi server MDM.

6. Inserire un nome per il server di MDM, ad es. Sophos Mobile.

7. Nel passaggio successivo, caricare il file della chiave pubblica, precedentemente scaricato daSophos Mobile.

8. Nella fase successiva, scaricare il token del server.

A questo punto sarà possibile disconnettersi dal portale web dell’Apple DEP.

9. Nella scheda Apple DEP di Sophos Mobile, cliccare su Carica file e selezionare il token del serverprecedentemente scaricato dal portale web dell’Apple DEP.

Verranno visualizzati i dettagli dei server di MDM virtuali.

10. Cliccare su Salva per salvare le modifiche applicate.

Il token del server DEP è valido per un anno.

ImportanteQuando si crea un nuovo token del server nel portale web dell’Apple DEP, occorre utilizzare lostesso ID Apple adoperato per la creazione del token iniziale.

11.8.2 Reimpostazione dell’Apple DEP

È possibile reimpostare le informazioni dell’Apple DEP memorizzate in Sophos Mobile per rimuovereil token dell’Apple DEP da Sophos Mobile, ad es. nel caso in cui sia stato caricato il token sbagliato.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Apple DEP.

2. Cliccare su Reimposta DEP.

Il token dell’Apple DEP, tutti i dispositivi Apple DEP e tutti i profili Apple DEP verranno rimossi daSophos Mobile.

Per non gestire più i dispositivi Apple DEP con Sophos Mobile, visitare il portale web dell’Apple DEPe rimuovere Sophos Mobile dai server di MDM.



11.8.3 Configurazione della gestione degli utenti DEP

Prima di poter configurare la gestione degli utenti per l'Apple DEP, occorre impostare l'Apple DeviceEnrollment Program (DEP). Vedere Impostazione dell’Apple DEP (pagina 71).

Se è stata impostata la sincronizzazione con Active Directory per gli utenti Sophos Central, èpossibile configurare una connessione al server LDAP di Active Directory. Gli utenti potranno quindiimpostare dispositivi Apple DEP con le proprie credenziali LDAP.

In assenza di una connessione LDAP, solamente gli utenti che sono stati invitati al portale self-service saranno in grado di impostare dispositivi Apple DEP.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema, e successivamente sulla scheda Gestione utenti Apple DEP.

2. Cliccare su Configura LDAP esterno.

3. Nella pagina Dettagli server, configurare le seguenti impostazioni:

a) Nel campo URL primario, inserire l'URL del server principale di Active Directory. È possibileinserire l'IP o il nome del server.

Il server deve supportare LDAPS (LDAP su SSL/TLS).

b) Richiesto: Nel campo URL secondario, inserire l'URL di un server di Active Directory daadoperare come fallback nell'eventualità in cui il server primario sia impossibile da raggiungere.

c) Nel campo Utente, inserire un account utente LDAP. Sophos Mobile adopererà questo accountper connettersi al server di Active Directory.

Utilizzare uno dei seguenti formati:

• <Dominio>\<nome utente>

• <Nome utente>@<dominio>.<codice dominio>

NotaPer motivi di sicurezza, si consiglia di specificare per il server di Active Directory un utenteche abbia diritti di sola lettura.

d) Nel campo Password, inserire la password per l'utente specificato.

4. Nella pagina Base di ricerca, inserire il nome distinto (Distinguished Name, DN) dell'oggetto dellabase di ricerca.

L'oggetto della base di ricerca definisce il percorso dal quale comincia la ricerca di un utente ogruppo di utenti.


Quando gli utenti effettuano l'autenticazione per l'Apple DEP, saranno identificati dal proprio indirizzoe-mail. Se l'indirizzo e-mail memorizzato in Sophos Central non è identico al valore memorizzato nelcampo mail di Active Directory, non sarà possibile portare a termine l'autenticazione. Per questomotivo, si consiglia di eseguire frequentemente la sincronizzazione con Active Directory in SophosCentral.

11.8.4 Creazione di un profilo DEP

Prima di poter creare profili DEP occorre impostare l’Apple Device Enrollment Program (DEP). VedereImpostazione dell’Apple DEP (pagina 71).



Un profilo DEP viene assegnato a un dispositivo DEP, inviando informazioni al server Apple almomento dell’attivazione del dispositivo. Queste informazioni includono:

• Il server di MDM (ovvero il server di Sophos Mobile) assegnato per la gestione del dispositivo.

• Le opzioni di configurazione per la registrazione a Sophos Mobile.

• Un elenco di host ai quali il dispositivo è autorizzato ad associarsi.

• Le opzioni di personalizzazione per l’Impostazione assistita di iOS che si avvia quando il dispositivoviene acceso per la prima volta.

Se richiesto, è possibile creare profili DEP diversi per utilizzare impostazioni di configurazione eregistrazione diverse per i propri dispositivi DEP.

Per creare un profilo DEP:

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema, e successivamente cliccare sulla scheda Profili Apple DEP.

2. Cliccare su Aggiungi.

3. Nella finestra di dialogo Modifica profilo DEP, immettere le impostazioni richieste.

4. Per assegnare il profilo a tutti i nuovi dispositivi DEP ai quali non è stato assegnato manualmentealcun profilo, selezionarlo nell’elenco Profilo DEP predefinito assegnato ai nuovi dispositivi.

Se si seleziona Nessuno, occorrerà assegnare manualmente un profilo DEP ai nuovi dispositiviDEP, come indicato nella sezione Distribuzione dei dispositivi DEP (pagina 74). Se non sieffettua questa azione, i dispositivi DEP non verranno registrati a Sophos Mobile al momentodell'attivazione.


Riferimenti correlatiImpostazioni del profilo DEP (iOS) (pagina 77)Impostazioni del profilo DEP (macOS) (pagina 80)

11.8.5 Distribuzione dei dispositivi DEP

Svolgere questa procedura per connettere i dispositivi all’Apple DEP e registrarli in Sophos Mobile.

È possibile gestire i dispositivi acquistati da Apple oppure da un rivenditore DEP autorizzato. Primadi poter connettere i dispositivi all’Apple DEP, occorre configurare il fornitore del dispositivo nelportale dell’Apple DEP.

NotaIn un tipico flusso di lavoro DEP, questa procedura viene effettuata prima di fornire i dispositiviagli utenti per consentirne l’attivazione e l’uso.

NotaSolamente gli utenti che hanno effettuato la registrazione al portale self-service di SophosCentral possono attivare i dispositivi DEP.

NotaPer una descrizione dettagliata del portale dell’Apple DEP, consultare la Guida in linea degliApple Deployment Program.

Per assegnare i dispositivi a Sophos Mobile e per attribuirvi un profilo DEP:





1. Aprire nel browser il portale web degli Apple Deployment Program su https://deploy.apple.com e accedere con l’ID Apple aziendale.

2. Nel portale, cercare Programma di registrazione dispositivi > Gestisci dispositivi.

3. Sotto Scegli dispositivi per, selezionare i nuovi dispositivi in base a numero di serie o numeroordine, oppure caricare un file CSV contenente i numeri di serie dei propri dispositivi.

NotaSe i dispositivi sono stati acquistati da un rivenditore, saranno disponibili nel portale DEP entro24 ore dall’invio ad Apple dell’ordine del rivenditore.

4. Sotto Scegli azione, selezionare Assegna al server e successivamente selezionare il server diMDM virtuale che è stato impostato per Sophos Mobile, come descritto nella sezione Impostazionedell’Apple DEP (pagina 71).

5. Cliccare su OK per effettuare l'assegnazione.

A questo punto sarà possibile disconnettersi dal portale web dell’Apple DEP.

Le fasi successive della procedura possono essere saltate, se è già stato configurato un profilo DEPpredefinito come descritto in Creazione di un profilo DEP (pagina 73).

6. Accedere a Sophos Central Admin e aprire la vista Mobile dalla sezione Prodotti del menùprincipale.

7. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi, e successivamente suApple DEP.

La pagina dei Dispositivi Apple DEP elenca tutti i dispositivi che sono stati assegnati a SophosMobile nel portale web dell’Apple DEP.

8. Se i dispositivi appena assegnati a Sophos Mobile non compaiono nell’elenco, cliccare suSincronizza con il portale Apple DEP.

NotaPer limitare il carico dell’Apple DEP sul server, è possibile ripetere la sincronizzazionesolamente dopo un breve periodo di attesa.

9. Selezionare i nuovi dispositivi e successivamente cliccare su Azioni > Assegna profilo.

10. Nella finestra di dialogo di conferma, selezionare il profilo DEP che si desidera assegnare aidispositivi e cliccare su OK.

Quando l'azienda riceverà i dispositivi acquistati, sarà possibile fornirli in dotazione agli utenti. Nonoccorreranno altre configurazioni. Quando un utente accenderà il proprio dispositivo per la primavolta, verranno effettuate sia l’impostazione di iOS che la registrazione a Sophos Mobile, secondo leconfigurazioni specificate nel profilo DEP che gli è stato assegnato.

11.8.6 Gestione dei dispositivi DEP

I dispositivi DEP in Sophos Mobile vengono gestiti esattamente come i dispositivi che non fannoparte di questo programma. Vedere Gestione dei dispositivi (pagina 50).

Solo per DEP è possibile assegnare un profilo DEP a un dispositivo. Il profilo DEP fornisceinformazioni al server Apple al momento dell’attivazione del dispositivo. Vedere Creazione di unprofilo DEP (pagina 73).



NotaIl profilo DEP visualizzato in Sophos Mobile potrebbe essere diverso dal profilo attualmente inuso nel dispositivo. Modificando l’assegnazione dopo l’attivazione del dispositivo, il dispositivocontinuerà a utilizzare il profilo assegnato in precedenza, fino a quando non venga formattato enuovamente attivato.

Per modificare il profilo DEP di un dispositivo:

1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi, e successivamente suApple DEP.

La pagina dei Dispositivi Apple DEP elenca tutti i dispositivi che sono stati assegnati a SophosMobile nel portale web dell’Apple DEP.

2. Cliccare su Sincronizza con il portale Apple DEP per aggiornare le informazioni del DEP.

3. Selezionare i dispositivi ai quali si desidera assegnare un profilo DEP diverso.

4. Cliccare su Azioni e quindi sull’azione richiesta:

• Assegna profilo: consente di selezionare il profilo DEP da assegnare ai dispositivi quandoverranno attivati la volta successiva.

• Annulla l'assegnazione del dispositivo: permette di non assegnare alcun profilo DEPall’attivazione successiva dei dispositivi.

Il nuovo tipo di assegnazione dei dispositivi verrà visualizzato nella pagina Dispositivi Apple DEP. Lemodifiche saranno applicate ai dispositivi dopo la loro formattazione e nuova attivazione.

11.8.7 Aggiunta manuale di un dispositivo DEP

I dispositivi possono essere registrati manualmente all’Apple Device Enrollment Program (DEP).Utilizzare questa opzione se, ad esempio, il dispositivo non è stato acquistato direttamente da Apple oda un rivenditore DEP approvato. Il dispositivo deve eseguire iOS 11 o versione successiva.

ImportanteIl dispositivo viene ripristinato alle impostazioni di fabbrica.

1. Connettere il dispositivo alla porta USB di un Mac in cui è installato Apple Configurator 2.5 oversioni successive.

2. In Apple Configurator, selezionare File > Nuovo profilo > Wi-Fi per creare un profilo di rete per laconnessione Wi-Fi.

Il dispositivo richiede che questo profilo possa connettersi al server di registrazione dell’Apple DEP.

3. Selezionare Preferenze > Organizzazione e cliccare sul pulsante + per creare una voce perl’organizzazione.

Utilizzare l’ID Apple e la password dell’account Apple DEP. Selezionare anche l’opzione checonsente di generare una nuova identità di supervisione.

4. Selezionare Preferences > Servers e cliccare sul pulsante + per creare una voce per il server.

NotaIn Enrollment URL è possibile immettere qualsiasi valore. Apple Configurator non utilizzeràquesto valore durante la registrazione dei dispositivi DEP.

5. Selezionare il dispositivo e successivamente Prepara.



6. Selezionare Configurazione manuale e seguire le istruzioni delle pagine della procedura guidataper preparare il dispositivo.

• Selezionare il server e il profilo di rete creati in precedenza.

• Saltare la configurazione dell’Impostazione Assistita di iOS: può essere configurata nel profiloDEP di Sophos Mobile.

7. Attendere il completamento della procedura di preparazione. Non spegnere il dispositivo in questafase.

Una volta registrato il dispositivo, sarà possibile selezionarlo nel portale Apple DEP tramite il numero diserie.

Prima di consegnare il dispositivo a un utente, effettuarne la registrazione a Sophos Mobile, comeindicato in Distribuzione dei dispositivi DEP (pagina 74).

Informazioni correlateAiuto Apple Configurator: Preparare i dispositivi manualmente (link esterno)

11.8.8 Impostazioni del profilo DEP (iOS)

Impostazioni generali

Impostazione/campo Descrizione

Nome Il nome del profilo DEP.

Descrizione Una descrizione opzionale per il profilo DEP.

Gruppo di dispositivi Un gruppo di dispositivi da assegnare ai dispositivi almomento della loro registrazione a Sophos Mobile.

Per informazioni sui gruppi di dispositivi, vedere Gruppidi dispositivi (pagina 83).

NotaPer semplificare la gestione dei dispositivi, si consiglia diutilizzare un gruppo di dispositivi diverso per i dispositiviDEP

Bundle operazioni Un bundle delle operazioni da trasferire sui dispositivial momento della loro registrazione a Sophos Mobile.

L’elenco include tutti i bundle delle operazioni iOS chenon contengono alcuna operazione di registrazione.

Per informazioni sui bundle delle operazioni, vedereBundle delle operazioni (pagina 272).

Registrazione


Supervisiona dispositivo La modalità di supervisione è abilitata.


https://help.apple.com/configurator/mac/?lang=it#/cad99bc2a859



L'utente può rimuovere il profilo di MDM L’utente è in grado di rimuovere il profilo di registrazione aSophos Mobile dall’interfaccia utente di iOS.

È possibile deselezionare questa opzione solamenteper i dispositivi supervisionati.

Installa la app SMC Installare l’app Sophos Mobile Control sul dispositivo.

Abilitando questa opzione, occorre anche disattivarel’opzione ID Apple nella scheda Impostazione diiOS, per consentire a Sophos Mobile di installare l’appdall’App Store.

NotaIn alternativa, se si è iscritti all’Apple Volume PurchaseProgram (VPP), l’app Sophos Mobile può essere installatacome app VPP anche se il dispositivo non è associato aun ID Apple. Lo stato dei dispositivi deve essere gestito.Vedere Assegnazione automatica di app VPP iOS (pagina300).

L’utente può saltare l'assegnazione delprofilo di MDM

L’utente sarà in grado di saltare il passaggio di impostazioneche applica il profilo di registrazione a Sophos Mobile.

Assegna utente al dispositivo Durante il processo di registrazione a Sophos Mobile, gli utentidovranno fornire le proprie credenziali del portale self-service,e successivamente verranno assegnati al dispositivo.

Utilizzare questa opzione per assegnareautomaticamente un utente al dispositivo.

Impostazione di iOS

Sotto la scheda Impostazione di iOS, è possibile disattivare i passaggi di configurazionedell’Impostazione Assistita che si avvia quando il dispositivo viene acceso per la prima volta.

NotaQueste impostazioni riguardano solamente l’impostazione di iOS. Se viene disattivato unpassaggio di configurazione, l’utente sarà pur sempre in grado di abilitare l’opzione richiesta in unsecondo momento. Per disattivare completamente una funzionalità, utilizzare una configurazionedi tipo Restrizioni. Vedere Configurazione Restrizioni (Profilo del dispositivo iOS) (pagina 165).


Ripristina da backup Salta il ripristino dei dati da un backup di iCloud o iTunes e iltrasferimento dei dati da un dispositivo Android.

Disattiva "Sposta dati da Android” L’opzione di trasferire dati da un dispositivo Android non saràdisponibile.

Diagnostica Salta la configurazione della diagnostica. I dati di diagnostica edi utilizzo non verranno inviati ad Apple.

Servizi di localizzazione Salta la configurazione dei servizi di localizzazione. I servizi dilocalizzazione saranno disattivati.




Siri Salta la configurazione di Siri. Siri sarà disattivata.

Zoom del display Salta la configurazione di Zoom schermo, ovvero lavisualizzazione a zoom che ingrandisce icone, testo e pulsanti.

Layout di tastiera Salta la configurazione del layout di tastiera.

ID Apple Salta la configurazione di un ID Apple. L’utente non potràaccedere ai servizi di Apple con il proprio ID Apple.

Apple Pay Salta la configurazione di Apple Pay. L’utente non saràin grado di aggiungere dati di carta di debito o credito pereffettuare pagamenti negli store con Apple Pay.

Touch ID Salta la configurazione di Touch ID. L’utente non sarà ingrado di impostare l’uso di un’impronta digitale invece di unpasscode.

Passcode Salta la creazione di un passcode per lo sblocco deldispositivo.

Termini e condizioni Salta la visualizzazione della pagina Termini e condizioni.

Guarda migrazione Salta il ripristino dei dati di Apple Watch da un backup di iCloudo iTunes.

Feedback pulsante Home Su iPhone 7 e versioni successive, salta la configurazione delfeedback aptico del tasto Home, ovvero il livello di feedbacktattile quando si clicca sul pulsante virtuale Home.

Informazioni sul supporto


Reparto Il nome del reparto o del luogo associato al profilo.

Questo nome è incluso tra le informazioni a cuil’utente può accedere cliccando su Informazionisulla configurazione durante la configurazione deldispositivo.

Numero telefonico Il numero di telefono del supporto per la vostra azienda.

Questo campo è prepopolato con il numero di telefonopresente nei dati di contatto del supporto tecnico.Vedere Configurazione del contatto del supportotecnico (pagina 15).

NotaIl numero di telefono viene salvato internamente nelprofilo DEP, ma non è disponibile per l'utente deldispositivo.




E-mail L’indirizzo e-mail del supporto per la vostra azienda.

Questo campo è prepopolato con l’indirizzo e-mailpresente nei dati di contatto del supporto tecnico.Vedere Configurazione del contatto del supportotecnico (pagina 15).

NotaL’indirizzo e-mail viene memorizzato internamentenel profilo DEP, ma non è disponibile per l'utente deldispositivo.

Associazione USB

Nella scheda Associazione USB è possibile configurare i computer host ai quali il dispositivo èautorizzato a connettersi tramite porte USB. Questa opzione può essere utilizzata per sincronizzare ildispositivo con iTunes o per gestirlo con Apple Configurator.


Consenti associazione USB con tutti gli host Per vietare la connessione USB o per limitarla a host specifici,deselezionare questa casella e caricare un file di certificato perciascun host al quale il dispositivo è autorizzato a connettersi.

Attività correlateCreazione di un profilo DEP (pagina 73)

11.8.9 Impostazioni del profilo DEP (macOS)



Nome Il nome del profilo DEP.

Descrizione Una descrizione opzionale per il profilo DEP.

Gruppo di dispositivi Un gruppo di dispositivi da assegnare ai dispositivi almomento della loro registrazione a Sophos Mobile.

Per informazioni sui gruppi di dispositivi, vedere Gruppidi dispositivi (pagina 83).

NotaPer semplificare la gestione dei dispositivi, si consiglia diutilizzare un gruppo di dispositivi diverso per i dispositiviDEP




Bundle operazioni Un bundle delle operazioni da trasferire sui dispositivial momento della loro registrazione a Sophos Mobile.

L’elenco include tutti i bundle delle operazioni iOS chenon contengono alcuna operazione di registrazione.

Per informazioni sui bundle delle operazioni, vedereBundle delle operazioni (pagina 272).

Registrazione


L’utente può saltare l'assegnazione delprofilo di MDM

L’utente sarà in grado di saltare il passaggio di impostazioneche applica il profilo di registrazione a Sophos Mobile.

Assegna utente al dispositivo Durante il processo di registrazione a Sophos Mobile, gli utentidovranno fornire le proprie credenziali del portale self-service,e successivamente verranno assegnati al dispositivo.

Utilizzare questa opzione per assegnareautomaticamente un utente al dispositivo.

Impostazione di macOS

Sotto la scheda Impostazione di iOS, è possibile disattivare i passaggi di configurazionedell’Impostazione Assistita che si avvia quando il dispositivo viene acceso per la prima volta.

NotaQueste impostazioni riguardano solamente l’impostazione di macOS. Se viene disattivato unpassaggio di configurazione, l’utente sarà pur sempre in grado di abilitare l’opzione richiesta in unsecondo momento. Per disattivare completamente una funzionalità, utilizzare una configurazionedi tipo Restrizioni. Vedere Configurazione Restrizioni (criterio del dispositivo macOS) (pagina211) e Configurazione Restrizioni (criterio utente macOS) (pagina 228).


Ripristina da backup Salta il ripristino dei dati da un backup di iCloud o iTunes e iltrasferimento dei dati da un dispositivo Android.

ID Apple Salta la configurazione di un ID Apple. L’utente non potràaccedere ai servizi di Apple con il proprio ID Apple.

Dati analitici di iCloud Salta la configurazione dei dati analitici di iCloud. I dati didiagnostica e di utilizzo dell’account iCloud non verranno inviatiad Apple.

Servizi di localizzazione Salta la configurazione dei servizi di localizzazione. I servizi dilocalizzazione saranno disattivati.

Termini e condizioni Salta la visualizzazione della pagina Termini e condizioni.

Registrazione Salta la creazione di un account del computer.




Diagnostica Salta la configurazione della diagnostica. I dati di diagnostica edi utilizzo non verranno inviati ad Apple.

Cifratura del disco FileVault Salta la configurazione della cifratura del disco FileVault.FileVault sarà disattivata.

Siri Salta la configurazione di Siri. Siri sarà disattivata.

Informazioni sul supporto


Reparto Il nome del reparto o del luogo associato al profilo.

Questo nome è incluso tra le informazioni a cuil’utente può accedere cliccando su Informazionisulla configurazione durante la configurazione deldispositivo.

Numero telefonico Il numero di telefono del supporto per la vostra azienda.

Questo campo è prepopolato con il numero di telefonopresente nei dati di contatto del supporto tecnico.Vedere Configurazione del contatto del supportotecnico (pagina 15).

NotaIl numero di telefono viene salvato internamente nelprofilo DEP, ma non è disponibile per l'utente deldispositivo.

E-mail L’indirizzo e-mail del supporto per la vostra azienda.

Questo campo è prepopolato con l’indirizzo e-mailpresente nei dati di contatto del supporto tecnico.Vedere Configurazione del contatto del supportotecnico (pagina 15).

NotaL’indirizzo e-mail viene memorizzato internamentenel profilo DEP, ma non è disponibile per l'utente deldispositivo.

Attività correlateCreazione di un profilo DEP (pagina 73)



12 Gruppi di dispositiviI gruppi di dispositivi vengono utilizzati per categorizzare i dispositivi. Permettono di gestire idispositivi in maniera efficace, in quanto prevedono l’esecuzione delle operazioni su un gruppo, perevitare di doverle ripetere per ciascun singolo dispositivo.

Un dispositivo appartiene sempre a un gruppo di dispositivi. È possibile assegnare un dispositivo aun gruppo di dispositivi durante la sua aggiunta a Sophos Mobile.

ConsiglioUnire nello stesso gruppo solo dispositivi con lo stesso sistema operativo. Ciò semplificherà l'usodei gruppi per le attività di installazione e per altre operazioni specifiche del sistema operativo.

12.1 Crea gruppo di dispositivi1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Gruppi dispositivi, e successivamente

su Crea gruppo di dispositivi.

2. Nella pagina Modifica il gruppo di dispositivi, inserire un nome e una descrizione per il nuovogruppo di dispositivi.

3. Nell’opzione Criteri di conformità, selezionare i criteri di conformità da applicare a dispositiviaziendali e personali.


NotaLe impostazioni del gruppo di dispositivi includono l'opzione Consenti la registrazioneautomatica per iOS. Questa opzione consente di effettuare la registrazione dei dispositiviiOS all'Apple Configurator. Per ulteriori informazioni, consultare la Sophos Mobile Guida peramministratori.

NotaLe impostazioni del gruppo di dispositivi includono l'opzione Consenti la registrazioneautomatica per iOS. Questa opzione consente di effettuare la registrazione dei dispositivi iOSall'Apple Configurator. Vedere Registrazione automatica di dispositivi iOS (pagina 44).

Il nuovo gruppo verrà così creato e visualizzato nella pagina Gruppi di dispositivi.

12.2 Eliminazione di gruppi di dispositivi1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Gruppi di dispositivi.

2. Nella pagina Gruppi di dispositivi, cliccare sul triangolo blu accanto al gruppo di dispositivi che sidesidera eliminare, e successivamente su Elimina.

3. Nella finestra di dialogo di conferma, selezionare uno dei rimanenti gruppi di dispositivi perriassegnare a un altro gruppo i dispositivi del gruppo di dispositivi appena eliminato.

Questa selezione non sarà disponibile se al gruppo eliminato non è stato assegnato alcundispositivo.





4. Cliccare su Sì per eliminare il gruppo di dispositivi.

NotaNon sarà possibile eliminare un gruppo di dispositivi nel caso in cui sia l’ultimo rimanente, equalora fossero presenti dispositivi ad esso assegnati.



13 UtentiSophos Mobile visualizza i dettagli degli account degli utenti che sono stati aggiunti a SophosCentral. Saranno inclusi solamente gli utenti che riguardano Sophos Mobile:

• Gli utenti che sono assegnati a un dispositivo gestito con Sophos Mobile.

• Gli utenti a cui è assegnata un’app Apple VPP.

Le informazioni relative agli utenti vengono visualizzate solamente a titolo informativo. Permodificare i dettagli degli account o per aggiungere utenti, utilizzare la pagina Persone in SophosCentral Admin.

Se è stato impostato l’Apple Volume Purchase Program (VPP) in Sophos Mobile, è possibile invitaregli utenti a iscriversi all’Apple VPP. Vedere Invita gli utenti a iscriversi all'Apple VPP (pagina 298).



14 Profili e criteri

Profili

I profili sono impostazioni che vengono definite per poi essere installate su un dispositivo o gruppo didispositivi.

Per installare un profilo su uno o più dispositivi, Sophos Mobile crea un’operazione e la esegueall’orario specificato. Quando un profilo viene aggiornato, occorre installarlo nuovamente, perconsentire l’implementazione sul dispositivo delle configurazioni modificate.

Sono disponibili i seguenti tipi di profilo:

Configurazioni per i profili del dispositivo Android (pagina 94)

Configurazioni per i profili del container Knox (pagina 157)

Configurazioni per i profili del dispositivo iOS (pagina 163)

Criteri

I criteri sono impostazioni che vengono definite e successivamente assegnate a un dispositivo ogruppo di dispositivi. A ciascun dispositivo è consentito assegnare solamente un criterio per ciascuntipo.

L'assegnazione di un criterio a un dispositivo attiva automaticamente una sincronizzazione, e leimpostazioni vengono applicate immediatamente. I criteri assegnati vengono attivati sul dispositivoogni volta che un dispositivo si connette al server di Sophos Mobile. Per cui quando si aggiorna uncriterio non occorre riapplicarlo esplicitamente al dispositivo.

Sono disponibili i seguenti tipi di criterio:

Configurazioni per i criteri del dispositivo Android Enterprise (pagina 128)

Configurazioni per i criteri del profilo di lavoro Android Enterprise (pagina 115)

Configurazioni per i criteri di Sophos Container per Android (pagina 143)

Configurazioni per i criteri di Mobile Security per Android (pagina 154)

Configurazioni per i criteri Android Things (pagina 163)

Configurazioni per i criteri di Sophos Container per iOS (pagina 197)

Configurazioni per i criteri del dispositivo macOS (pagina 209)

Configurazioni per i criteri utente macOS (pagina 226)

Configurazioni per i criteri di Windows Mobile (pagina 245)

Configurazioni per i criteri Windows (pagina 257)

Configurazioni per i criteri Android Things (pagina 163)

Configurazioni per i criteri di Windows IoT (pagina 269)



14.1 Impostazione iniziale dei criteri dei dispositiviLa procedura guidata Avvio per i criteri aiuta a creare criteri dei dispositivi di base per tutte lepiattaforme. I criteri possono essere ottimizzati in un secondo momento.

NotaA seconda della piattaforma, le impostazioni dei criteri possono essere configurate come profilo deldispositivo (Android, iOS) o come criterio del dispositivo (macOS, Windows, Windows Mobile). Perpraticità, in questa sezione viene utilizzato il termine criterio per indicare sia i profili che i criteri.

Per informazioni sulla differenza tra profili e criteri, vedere Profili e criteri (pagina 86).

1. Nel pannello di controllo, cliccare su Procedura guidata di avvio per i criteri nel widgetOperazioni per iniziare.

ConsiglioSe il widget non è visualizzato, cliccare su Aggiungi widget > Per iniziare.

2. Nella pagina Piattaforme, selezionare le piattaforme dei dispositivi per le quali si desidera creareun criterio.

Selezionare Android e iOS.

3. Nella pagina Criteri, configurare le seguenti impostazioni:

a) Immettere un nome del criterio.

Viene creato un criterio con questo nome per ciascuna piattaforma.

b) Selezionare gli ambiti che saranno gestiti dal criterio.

Se viene deselezionata una casella, verrà saltata la rispettiva pagina della proceduraguidata. Gli ambiti da ignorare (e altre opzioni) possono essere configurati in un secondomomento.

Si consiglia di selezionare come minimo Requisiti della password e Restrizioni.

4. Nella pagina Password, configurare i requisiti della password del dispositivo.

5. Nella pagina Restrizioni, configurare le restrizioni da applicare ai dispositivi, come ad es. ladisattivazione della fotocamera o di altre funzionalità del dispositivo che potrebbero costituire unrischio di sicurezza.

Selezionando Separa i dati di lavoro da quelli personali nel dispositivo, vengono impostaterestrizioni che impediscono la condivisione di dati aziendali con app personali (e viceversa),sempre che questa opzione sia supportata dal sistema operativo del dispositivo.

6. Nella pagina Wi-Fi, configurare la connessione alla rete Wi-Fi aziendale.

Se la rete Wi-Fi adopera un tipo di sicurezza diverso da WPA/WPA2 PSK, l’impostazione potràessere modificata in un secondo momento.

7. Nella pagina E-mail, configurare la connessione al server e-mail di Microsoft Exchange aziendale.

I segnaposti %_USERNAME_% e %_EMAILADDRESS_% verranno sostituiti dal nome e dall’indirizzo e-mail dell’utente assegnato al dispositivo.

8. Cliccare su Fine.

La procedura guidata creerà un criterio per ciascuna piattaforma selezionata.

Per visualizzare il criterio, cliccare su Profili, criteri nella barra laterale del menù e selezionare lapiattaforma del dispositivo.



Per modificare gli ambiti gestiti, cliccare sul nome del criterio e successivamente su Aggiungiconfigurazione.

14.2 Creazione di un profilo o di un criterioI profili e i criteri sono costituiti da una o più configurazioni. Aggiungendo configurazioni, si definisce lasfera di applicazione del profilo o del criterio, ovvero gli ambiti gestiti sui dispositivi.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamentesulla piattaforma per cui si desidera creare il gruppo.

2. Nella pagina Profili e criteri, cliccare su Crea. Se è presente più di un unico tipo di profilo o criterioper una piattaforma, Crea aprirà un menù dal quale sarà possibile selezionare il tipo richiesto.

Per un elenco dei tipi di profilo e criterio disponibili, vedere Profili e criteri (pagina 86).

3. Inserire nome e descrizione.

4. Per i profili del dispositivo iOS e macOS, immettere il nome della propria organizzazione.

5. Per i criteri di Sophos Container, la configurazione Generale è obbligatoria e viene aggiuntaautomaticamente al criterio. Nella pagina Modifica criterio, cliccare su Generale per aprire laconfigurazione ed effettuare le modifiche richieste.

6. Per i criteri per Android Enterprise , la configurazione Restrizioni è obbligatoria e viene aggiuntaautomaticamente al criterio. Nella pagina Modifica criterio, cliccare su Restrizioni per aprire laconfigurazione ed effettuare le modifiche richieste.

7. Per aggiungere altre configurazioni al profilo o al criterio, cliccare su Aggiungi configurazione, eselezionare la configurazione che si desidera aggiungere.

NotaLe configurazioni supportate possono dipendere dalla versione del sistema operativo, oppureda altre funzionalità del dispositivo. I requisiti vengono indicati da un’etichetta blu.

8. Nella pagina delle impostazioni della configurazione, immettere le impostazioni richieste.

9. Richiesto: Ripetere questi passaggi per aggiungere altre configurazioni.

10. Una volta aggiunte tutte le configurazioni necessarie cliccare su Salva.

Verrà creato il profilo o il criterio. Per informazioni su come applicare il profilo o il criterio ai dispositivi,vedere Installazione di un profilo sui dispositivi (pagina 92) o Assegnazione di un criterio aidispositivi (pagina 93).

Consiglioquando si aggiorna un profilo, se ne può facilmente effettuare la reinstallazione su tutti i dispositiviin cui è installato: nella pagina Profili e criteri, cliccare sul triangolo blu accanto al profilo esuccessivamente cliccare su Aggiorna dispositivi.

Quando viene aggiornato un criterio, quest’ultimo sarà automaticamente aggiornato su tutti idispositivi a cui è assegnato.

14.3 Importazione dei profili per dispositivi iOScreati con l'Apple ConfiguratorI profili creati con l'Apple Configurator possono essere importati direttamente in Sophos Mobile.



Apple Configurator può essere scaricato dall'App Store.

NotaPer importare profili dei dispositivi, seguire la stessa procedura utilizzata per i profili di provisioningdelle app iOS sviluppate autonomamente. Quando si carica un file per il profilo, Sophos Mobile neanalizza i contenuti, per distinguere tra i due tipi di profilo.

1. Una volta creato un profilo in Apple Configurator, esportarlo (non ancora cifrato e non firmato) esalvarlo nel computer.

2. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri > iOS.

3. Nella pagina Profili e criteri, cliccare su Crea > Importa profilo.Verrà visualizzata la pagina Modifica profilo.

4. Inserire nei campi corrispondenti un nome e una descrizione per il nuovo profilo.

5. Cliccare su Carica file e navigare sul file salvato sul proprio computer; selezionarlo e cliccare suApri.


Verrà creato il profilo, che potrà essere installato sui dispositivi. Vedere Installazione di un profilo suidispositivi (pagina 92).

14.4 Importazione di profili di provisioning per leapp iOSQuando si sviluppano app iOS in maniera autonoma, occorre creare profili di provisioning perconsentire l’installazione delle app da un file IPA anziché dall’App Store. Questi file di provisioningpossono essere caricati sul server di Sophos Mobile, per consentirne la distribuzione sui dispositivi.

Per informazioni dettagliate sui profili di provisioning, vedere la iOS Developer Library.

NotaI profili di provisioning vengono importanti seguendo la stessa procedura valida per i profili deidispositivi creati con Apple Configurator. Quando si carica un file per il profilo, Sophos Mobile neanalizza i contenuti, per distinguere tra i due tipi di profilo.

1. Dopo aver generato un profilo di provisioning nel proprio ambiente iOS di sviluppo, salvarlo nelcomputer.

2. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri > iOS.

3. Nella pagina Profili e criteri, cliccare su Crea > Importa profilo.Verrà visualizzata la pagina Modifica profilo.

4. Inserire nei campi corrispondenti un nome e una descrizione per il nuovo profilo.

5. Cliccare su Carica file e navigare sul file salvato sul proprio computer; selezionarlo e cliccare suApri.


Verrà creato il profilo, che potrà essere installato sui dispositivi. Vedere Installazione di un profilo suidispositivi (pagina 92).



14.5 Informazioni sui criteri macOSEsistono due tipi di criteri per i Mac:

• Criterio del dispositivo: Quando si assegna un criterio del dispositivo a un Mac, le impostazionisaranno applicate a tutti gli utenti che accedono al Mac, sia che siano o meno gestiti da SophosMobile.

• Criterio utente: Quando si assegna un criterio utente a un Mac, le impostazioni saranno applicatea tutti gli utenti gestiti che accedono al Mac.

Gli utenti gestiti sono:

• L’utente locale che ha registrato il Mac a Sophos Mobile.

• Tutti gli utenti della rete noti a Sophos Mobile, ovvero gli utenti della directory LDAP esternaconfigurata per il portale self-service.

Informazioni su criteri del dispositivo e criteri utente

• Oltre al criterio di registrazione (che è un criterio del dispositivo), a un Mac è possibile assegnareun criterio del dispositivo e un criterio utente.

• In caso di conflitti di configurazione tra un criterio del dispositivo e un criterio utente assegnati allostesso Mac, sarà applicata la configurazione più restrittiva.

• Nel Mac, i criteri assegnati sono elencati sotto Preferenze di sistema > Profili.

• Quando si aggiorna un criterio del dispositivo, le modifiche saranno implementate alla successivasincronizzazione del dispositivo.

• Quando si aggiorna un criterio utente, le modifiche saranno implementate al successivo accessodell’utente al Mac.

• Gli utenti possono rimuovere il criterio utente dal Mac, ma questo criterio sarà automaticamenteriassegnato al successivo accesso dell’utente.

• Gli utenti non possono rimuovere il criterio del dispositivo.

• Quando un utente rimuove il criterio di registrazione, viene annullata la registrazione del Mac aSophos Mobile. Questa opzione richiede privilegi di amministrazione.

Concetti correlatiConfigurazioni per i criteri del dispositivo macOS (pagina 209)

Configurazioni per i criteri utente macOS (pagina 226)

14.6 Regole di complessità della password perWindowsLe regole di complessità della password (ad es. lunghezza, numero di caratteri maiuscoli eminuscoli) per i dispositivi Windows sono fisse, e non possono essere determinate da un criterio diSophos Mobile. Ad account locali e Microsoft sono applicabili regole diverse.



Account locali

• La password non deve contenere il nome dell’account dell’utente, né più di due carattericonsecutivi del nome completo dell’utente.

• La password deve includere un minimo di sei caratteri.

• La password deve contenere caratteri che rientrano in tre di queste quattro categorie:

— Caratteri A-Z maiuscoli (alfabeto latino)

— Caratteri A-Z minuscoli (alfabeto latino)

— Cifre 0-9

— Caratteri speciali (!, $, #, %, ecc.)

Account Microsoft

• La password deve includere un minimo di otto caratteri.

• La password deve contenere caratteri che rientrano in due di queste quattro categorie:

— Caratteri A-Z maiuscoli (alfabeto latino)

— Caratteri A-Z minuscoli (alfabeto latino)

— Cifre 0-9

— Caratteri speciali (!, $, #, %, ecc.)

14.7 Supporto per Samsung KnoxÈ possibile gestire i dispositivi Samsung Knox con Sophos Mobile.

Per attivare il supporto per Samsung Knox, occorre registrare una chiave di licenza Samsung KnoxWorkspace in Sophos Mobile. Vedere Registrazione della licenza Samsung Knox (pagina 28).

Per configurare il container Knox dei dispositivi Samsung, vedere Configurazioni per i profili delcontainer Knox (pagina 157).

Per installare app in un container Samsung Knox, vedere Aggiungi app (pagina 284).

Per gestire i dispositivi Samsung Knox è possibile creare bundle delle operazioni in cui raccogliere leseguenti operazioni:

• Container Knox: blocca

• Container Knox: sblocca

• Container Knox: reimposta password

• Container Knox: rimuovi (rimuove dal dispositivo il container e tutte le configurazioni a essoassociate)

Per creare un bundle delle operazioni da applicare ai dispositivi Samsung Knox, vedere Creazione dibundle delle operazioni (pagina 272).



14.8 Segnaposti all’interno di profili e criteriI profili e i criteri possono includere segnaposti, che vengono sostituiti da dati reali durantel'esecuzione di un'operazione. Segue un elenco di segnaposti utilizzati:

• Segnaposti per i dati degli utenti:

— %_EMAILADDRESS_%

— %_USERNAME_%

• Segnaposti per le proprietà del dispositivo:

— %_DEVPROP(nome proprietà)_%

nome proprietà può essere una proprietà standard o una proprietà personalizzata deldispositivo. Vedere Proprietà personalizzate del dispositivo (pagina 64).

• Segnaposti per le proprietà del cliente:

— %_CUSTPROP(nome proprietà)_%

Vedere Creazione di proprietà del cliente (pagina 16).

Per macOS, i dati dell’utente vengono sostituiti come segue:

• Per l’utente Mac locale, saranno utilizzati i dati dell’utente di Sophos Mobile assegnato aldispositivo.

• Per gli utenti di rete, saranno utilizzati i dati dell’account utente LDAP.

14.9 Installazione di un profilo sui dispositivi1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamente

cliccare su una delle piattaforme dei dispositivi che supportano i profili:

• Android

• iOS

Verrà visualizzata la pagina Profili e criteri della piattaforma selezionata.

2. Cliccare sull'icona a forma di triangolo blu accanto al profilo da installare, e successivamentecliccare su Installa.Verrà visualizzata la pagina Seleziona dispositivi.


• Selezionare i dispositivi individuali su cui si desidera installare il profilo.

• Cliccare su Seleziona gruppi di dispositivi e selezionare uno o più gruppi di dispositivi.

4. Una volta effettuata la selezione, cliccare su Avanti.Verrà visualizzata la pagina Imposta data di esecuzione.

5. Sotto Data pianificata, selezionare Ora o indicare una data e un orario per l'esecuzionedell’operazione.

6. Cliccare su Fine.Viene aperta la pagina Vista operazioni.

Il profilo verrà installato sui dispositivi selezionati alla data e all’ora specificate.



ConsiglioUn profilo può anche essere installato utilizzando una delle seguenti opzioni:

• Per aggiornare un profilo su tutti i dispositivi su cui è installato questo profilo: nella paginaProfili e criteri, cliccare sul triangolo blu accanto al profilo e successivamente cliccare suAggiorna dispositivi.

• Per installare un profilo su un solo dispositivo: nella pagina Mostra dispositivo del dispositivo,selezionare la scheda Profili e successivamente cliccare su Installa profilo.

• Per installare un profilo su dispositivi multipli: nella pagina Dispositivi, selezionare i dispositivirichiesti e cliccare su Azioni > Installa profilo.

• Per installare un profilo su uno o più dispositivi come parte di un bundle delle operazioni:aggiungere un’operazione Installa profilo al bundle delle operazioni, e trasferirlo suidispositivi o gruppi di dispositivi desiderati.

14.10 Assegnazione di un criterio ai dispositivi1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamente

cliccare su una delle piattaforme dei dispositivi che supportano i criteri:

• Android

• Android Things

• iOS

• macOS

• Windows Mobile

• Windows

• Windows IoT

Verrà visualizzata la pagina Criteri della piattaforma selezionata.

2. Cliccare sull'icona a forma di triangolo blu accanto al criterio da assegnare, e successivamentecliccare su Assegna.Verrà visualizzata la pagina Seleziona dispositivi.


• Selezionare i singoli dispositivi a cui si desidera assegnare il criterio.

• Cliccare su Seleziona gruppi di dispositivi, e selezionare uno o più gruppi di dispositivi a cuiassegnare il criterio.

4. Una volta effettuata la selezione, cliccare su Fine.

Il criterio verrà assegnato ai dispositivi indicati, e verrà avviato automaticamente un processo disincronizzazione per i dispositivi selezionati.

NotaI criteri non possono essere rimossi da un dispositivo. Per disattivare un criterio, occorreràassegnare al dispositivo un criterio diverso.



ConsiglioUn criterio può anche essere assegnato utilizzando una delle seguenti opzioni:

• Per assegnare un criterio a un solo dispositivo: nella pagina Mostra dispositivo deldispositivo, selezionare la scheda Criteri e successivamente cliccare su Assegna criterio.

• Per assegnare un criterio a dispositivi multipli: nella pagina Dispositivi, selezionare idispositivi richiesti e cliccare su Azioni > Installa profilo.

• Per assegnare un criterio a uno o più dispositivi come parte di un bundle delle operazioni:aggiungere un’operazione Installa profilo al bundle delle operazioni, e trasferirlo suidispositivi o gruppi di dispositivi desiderati.

14.11 Disinstalla profiloUtilizzare una delle seguenti procedure per disinstallare un profilo dai dispositivi:

• Per disinstallare un profilo da un solo dispositivo: Nella pagina Mostra dispositivo del dispositivo,selezionare la scheda Profili. Cliccare sull'icona a forma di triangolo blu accanto al profilo che sidesidera rimuovere, e successivamente cliccare su Disinstalla.

• Per disinstallare un profilo da tutti i dispositivi in cui è installato: Nella pagina Profili e criteridi una piattaforma, cliccare sul triangolo blu accanto al profilo che si desidera rimuovere esuccessivamente cliccare su Disinstalla.

• Per disinstallare un profilo da dispositivi selezionati: Creare un bundle delle operazioni contenenteun’operazione Disinstalla profilo, e trasferirlo nei dispositivi o gruppi di dispositivi desiderati.

14.12 Download di profili e criteriI profili e i criteri configurati in Sophos Mobile Admin possono essere scaricati. Ciò è utile se, peresempio, si devono inoltrare le impostazioni definite al supporto Sophos.

1. Nella barra laterale del menù, navigare su Profili, criteri e cliccare sulla piattaforma del dispositivo.Verrà visualizzata la pagina Profili e criteri della piattaforma selezionata.

2. Cliccare sul nome del profilo o del criterio richiesto.Verrà visualizzata la pagina Mostra profilo o Mostra criterio.

3. Cliccare su Download.

Il profilo o criterio verrà salvato nel computer locale.

14.13 Configurazioni per i profili del dispositivoAndroidUn profilo del dispositivo Android permette di configurare vari aspetti dei dispositivi Android, come ades. criteri per le password, restrizioni, o impostazioni Wi-Fi.

Per informazioni su come creare un profilo del dispositivo, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).



14.13.1 Configurazione Criteri password (Profilo del dispositivoAndroid)

La configurazione Criteri password permette di definire i requisiti della password del blocco delloschermo.

NotaLe impostazioni supportate possono dipendere dalla versione del sistema operativo, oppure daaltre funzionalità del dispositivo. Sono indicate da etichette blu in Sophos Mobile Admin.

Tipo di password

Nell’elenco Tipo di password, selezionare il tipo di password che gli utenti sono autorizzati aconfigurare:


Sequenza, PIN o password Gli utenti devono impostare un tipo di bloccodello schermo. Per il blocco dello schermopossono scegliere tra le seguenti tipologie:Sequenza, PIN o Password. Non vengonoimposte ulteriori restrizioni.

Password semplice Gli utenti devono impostare un blocco delloschermo di tipo Password. I caratteri numericisono consentiti, ma la password deve contenerecome minimo un carattere alfabetico. Èpossibile definire una lunghezza minima.Vedere la seguente tabella.

PIN o password Gli utenti devono impostare un blocco delloschermo di tipo PIN o Password . È possibiledefinire una lunghezza minima. Vedere laseguente tabella.

Password alfanumerica Gli utenti devono impostare un blocco delloschermo di tipo Password. La password devecontenere sia caratteri alfabetici che numerici.È possibile definire una lunghezza minima.Vedere la seguente tabella.

Password complessa Gli utenti devono impostare un blocco delloschermo di tipo Password. La password devecontenere sia caratteri alfabetici che numerici. Èpossibile definire una lunghezza minima e unaquantità minima di caratteri numerici, caratteriminuscoli e maiuscoli, e caratteri speciali.Vedere le seguenti due tabelle.



Selezionando Password semplice, PIN o password, Password alfanumerica o Passwordcomplessa, vengono visualizzati i seguenti campi:


Lunghezza minima della password Il numero minimo di caratteri per password.

Tempo massimo di inattività prima chevenga richiesto di inserire la password

Il periodo di tempo al termine del quale ildispositivo sarà bloccato se non viene utilizzato.Il dispositivo può essere sbloccato inserendo lapassword.

NotaIl dispositivo potrebbe imporre un periododi tempo più breve di quello configurato inquesta opzione.

Durata massima della password in giorni Richiede agli utenti di modificare la passwordentro l'intervallo specificato. Range valore: da 0(non è richiesto di cambiare la password) a 730giorni.

Numero di tentativi non riusciti prima dellaformattazione del dispositivo

Il numero di tentativi non riusciti di inserimentodella password prima che venga effettuata laformattazione del dispositivo.

Cronologia password Il numero di password utilizzate che vengonomemorizzate in Sophos Mobile.

Quando l’utente imposta una nuova password,tale password deve essere diversa dallapassword già in uso.

Selezionando Password complessa, vengono visualizzati i seguenti campi aggiuntivi:


Numero minimo di lettere Il numero minimo di lettere per password.

Numero minimo di lettere in minuscolo Il numero minimo di lettere in minuscolo perpassword.

Numero minimo di lettere in maiuscolo Il numero minimo di lettere in maiuscolo perpassword.

Numero minimo caratteri non alfabetici Il numero minimo di caratteri non alfabetici (peres. & o !) per password.

Numero minimo di cifre Il numero minimo di caratteri numerici perpassword.

Numero minimo caratteri speciali Il numero minimo di caratteri speciali (per es. !"§$%&/()=,.-;:_@<>) per password.



Autenticazione biometrica


Consenti autenticazione medianteimpronta digitale

Se supportata dal dispositivo, questa funzionalitàconsente all’utente di adoperare l’autenticazionemediante impronta digitale per sbloccare il dispositivo.

Consenti autenticazione mediantescansione dell’iride

Se supportata dal dispositivo, questa funzionalitàconsente all’utente di adoperare l’autenticazionemediante scansione dell’iride per sbloccare ildispositivo.

14.13.2 Configurazione Restrizioni (Profilo del dispositivoAndroid)

La configurazione Restrizioni serve a definire restrizioni per i dispositivi.

Sicurezza


Forza cifratura Gli utenti dovranno cifrare i propri dispositivi.

Forza cifratura della scheda SD Quando il profilo è installato su un dispositivo, l’utentedovrà cifrare la scheda SD.

NotaPer alcuni tipi di dispositivo, gli utenti possonoscegliere di annullare la cifratura. Riceverannoun promemoria al successivo montaggio di unascheda SD.

Consenti ripristino veloce Gli utenti potranno modificare le opzioni della cifraturarapida nelle impostazioni del dispositivo.

Consenti ripristino delle impostazionidi fabbrica

Gli utenti potranno reimpostare i dispositivi alleimpostazioni di fabbrica.

Consenti "Opzioni sviluppatore" Gli utenti potranno modificare le opzioni persviluppatori.

Consenti modalità provvisoria Gli utenti potranno avviare il dispositivo in modalitàprovvisoria.




Consenti debugging USB Gli utenti potranno attivare il debug USB.

NotaPer i dispositivi Sony con Enterprise API versione9 o successiva, quando la casella di spuntaConsenti debugging USB viene deselezionata,tutte le opzioni sviluppatore risulteranno nondisponibili.

Consenti ripristino firmware Saranno autorizzati tutti i tipi di aggiornamento delfirmware (ad es. over-the-air, download, ecc.).

Consenti backup Gli utenti potranno creare backup del sistema.

Deselezionando questa casella, il backup di Googleverrà disattivato, ma altri metodi di backup (ad es. ibackup di Sophos Mobile) rimarranno disponibili.

Consenti le modifiche alleimpostazioni

Gli utenti potranno modificare le impostazioni deldispositivo.

NotaQuesta opzione deve essere attivata nei dispositiviSamsung in cui si desidera configurare un containerKnox.

Consenti Appunti Gli utenti potranno copiare qualsiasi tipo di contenutonegli Appunti.

Abilita condivisione degli Appunti Consente agli utenti di copiare i contenuti degli Appuntida un’app a un’altra.

Deselezionando questa casella, ciascuna app avràuna funzionalità Appunti individuale.

Questa impostazione è disponibile solamente se siseleziona Consenti Appunti.

Consenti acquisizione schermo Gli utenti possono scattare uno screenshot del display.

Consenti posizioni GPS fittizie Gli utenti potranno selezionare un’app di posizionefittizia nelle opzioni sviluppatore Android.

Consenti aggiornamenti over-the-airdi firmware

Gli aggiornamenti del firmware over-the-air sarannoconsentiti.

Consenti registrazione audio Gli utenti potranno effettuare registrazioni audio.




Consenti registrazione video Gli utenti potranno registrare video.

Deselezionando questa casella, gli utenti potrannocontinuare a scattare fotografie e visualizzare video instreaming.

Consenti blocco attivazione Gli utenti potranno modificare le opzioni del Bloccoattivazione nelle impostazioni del dispositivo.

Consenti S Beam Gli utenti potranno avviare l’app Samsung S Beam.

Consenti S Voice Gli utenti potranno avviare l’app Samsung S Voice.

Consenti "Condividi con" La funzionalità Condividi con sarà disponibile.

Account


Consenti account utenti multipli Deselezionando questa casella, verrà disattivato ilsupporto di account utenti multipli. Gli utenti o altre appnon saranno in grado di creare altri account utenti.

Consenti aggiunta di indirizzi e-mail Deselezionando questa casella, gli utenti non potrannoaggiungere account e-mail.

L’opzione non riguarda la creazione degli accountmediante il profilo di un dispositivo.

Consenti rimozione dell'accountGoogle

Se viene deselezionata questa casella, gli utenti nonpotranno rimuovere l’account Google dal dispositivo.

Consenti auto-sincronizzazione per gliaccount Google

Deselezionando questa casella, si disattiverà lasincronizzazione automatica degli account Google.Gli utenti potranno continuare a effettuare unasincronizzazione manuale dall’interno di alcune app,quali Gmail.

Rete e comunicazione


Consenti modalità aereo Deselezionando questa casella, gli utenti non potrannoabilitare la modalità aereo.

Consenti la sincronizzazione duranteil roaming

Deselezionando questa casella, verrà disattivata lasincronizzazione durante il roaming.




Consenti solo chiamate di emergenza Sarà possibile effettuare solamente chiamate diemergenza. Tutte le altre chiamate vengono bloccate.

Rendi sincronizzazione manualeobbligatoria mentre in roaming

La sincronizzazione automatica dei dati verràdisattivata quando il dispositivo è in roaming. Questaimpostazione riguarda tutti gli account configurati, qualiad es. Google o Exchange.

Rendi connessione dati obbligatoriaper i dispositivi mobili

Gli utenti non potranno disattivare la rete dati.

Consenti SMS Deselezionando questa casella, gli utenti non potrannoinviare messaggi SMS.

Consenti connessione dati deidispositivi mobili in roaming

Deselezionando questa casella, verrà disattivata laconnessione dati dei dispositivi durante il roaming.

Consenti le chiamate vocali durante ilroaming

Deselezionando questa casella, verranno disattivate lechiamate vocali durante il roaming.

Consenti soglia dati per dispositivomobile utente

Deselezionando questa casella, gli utenti non potrannoimpostare una soglia dati per il dispositivo mobile.

Consenti VPN Deselezionando questa casella, l’utente non potràutilizzare connessioni VPN.

Consenti Wi-Fi Direct Deselezionando questa casella, verrà disattivato iltrasferimento dei dati mediante Wi-Fi Direct.

Consenti Android Beam Deselezionando questa casella, verrà disattivato iltrasferimento dei dati mediante Android Beam. Èinclusa anche l’app Samsung S Beam.

Consenti criterio Miracast Deselezionando questa casella, verrà disattivato iltrasferimento dei dati mediante Miracast.

Consenti Bluetooth Deselezionando questa casella, verrà disattivatoBluetooth.

Consenti profilo Distribuzioneaudio avanzata (Advanced AudioDistribution Profile, A2DP)

Consenti profilo Controllo remotoaudio/video (Audio/Video RemoteControl Profile, AVRCP)

Consenti profilo Viva voce (Hands-Free Profile, HFP)

Consenti profilo Auricolari (HeadsetProfile, HSP)

Per autorizzare profili Bluetooth individuali,selezionare prima la casella Consenti Bluetooth esuccessivamente i profili che si desidera autorizzare.

Deselezionando la casella Consenti Bluetooth, leimpostazioni non avranno alcun effetto, ovvero tutti iprofili risulteranno non consentiti.




Consenti profilo Accesso alla rubrica(Phone Book Access Profile, PBAP)

Consenti profilo Porta seriale (SerialPort Profile, SPP)

Consenti NFC Deselezionando questa casella, la funzionalità NFC(near field communication) verrà disattivata.

Consenti Wi-Fi Deselezionando questa casella, verrà disattivato il Wi-Fi.

Tethering


Consenti tethering Deselezionando questa casella, verranno disattivatitutti i tipi di tethering. Ciò include anche il tetheringtramite Wi-Fi, USB e Bluetooth.

NotaSe si deseleziona questa casella, le impostazioniConsenti tethering Wi-Fi, Consenti tetheringUSB e Consenti tethering Bluetooth nonavranno alcun effetto.

Consenti tethering WiFi Deselezionando questa casella, verrà disattivato iltethering Wi-Fi (hotspot Wi-Fi).

Consenti tethering USB Deselezionando questa casella, verrà disattivato iltethering USB.

Consenti tethering Bluetooth Deselezionando questa casella, verrà disattivato iltethering Bluetooth.

Consenti configurazione del tetheringWi-Fi

L’utente potrà configurare le impostazioni dell’hotspotWi-Fi.

Hardware


Consenti fotocamera Se si deseleziona questa casella, la fotocamera nonsarà disponibile.




Consenti fotocamera nella schermatadi blocco

Deselezionando questa casella, la fotocamera nonsarà disponibile quando lo schermo è bloccato.

Per autorizzare la fotocamera nella schermata diblocco, occorre selezionare anche l’opzione Consentifotocamera.

Rendi GPS obbligatorio per le querydi posizione

Le informazioni del GPS verranno utilizzate perindividuare la posizione del dispositivo.

Consenti scheda SD Se si deseleziona questa casella, non sarà possibileutilizzare schede SD nei dispositivi.

Consenti spostamento delle app sullascheda SD

Se viene deselezionata questa casella, gli utenti nonpotranno trasferire app dalla memoria interna allascheda SD.

Consenti scrittura su scheda SD noncifrata

Deselezionando questa casella, non sarà consentita lascrittura su schede SD non cifrate.

Consenti microfono Se si deseleziona questa casella, il microfono non saràdisponibile.

Consenti USB La modalità di archiviazione di massa USB e lamodalità dispositivo multimediale USB (MTP) sarannodisponibili nel dispositivo.

Consenti lettore multimediale USB Deselezionando questa casella, Media TransferProtocol (MTP) non verrà reso disponibile. PoichéAndroid si serve del MTP per il trasferimento dei filetramite USB, verrà bloccato qualsiasi trasferimento deifile mediante USB.

Consenti modalità risparmio energia Deselezionando questa casella, il dispositivo nonentrerà in modalità risparmio energia.

Consenti archiviazione host USB Tutti i dispositivi di archiviazione esterni connessidall’utente verranno considerati unità montate, inclusidispositivi di archiviazione USB portatili, unità HDesterne e lettori di schede SD.

Deselezionando questa casella, i dispositivi diarchiviazione esterni non saranno considerati unitàmontate.

Applicazioni


Consenti installazione app Deselezionando questa casella, gli utenti non potrannoinstallare app.




Consenti disinstallazione app Deselezionando questa casella, gli utenti non potrannodisinstallare app.

Consenti installazione di app senzafirma

Deselezionando questa casella, gli utenti potrannoinstallare solamente file APK firmati.

Consenti Play Store Deselezionando questa casella, l’app Google PlayStore non sarà disponibile.

Consenti app con origini sconosciute Se si deseleziona questa casella, gli utenti potrannoinstallare app solamente dall’app Google Play Store.

Consenti browser nativo Deselezionando questa casella, il browser nativo nonsarà disponibile. Questa opzione non riguarda le appbrowser di terze parti.

Consenti i report di arresto delle app Deselezionando questa casella, le app non potrannoinviare report di arresto.

Consenti modifiche ai wallpaper Deselezionando questa casella, gli utenti non potrannomodificare i wallpaper.

Mostra info sul chiamante Deselezionando questa casella, non verrannovisualizzati i dettagli del chiamante nelle chiamatein arrivo. Tutti i chiamanti saranno visualizzati come“sconosciuti”.

Consenti riempimento automatico nelbrowser

L’utente sarà in grado di attivare il riempimentoautomatico nelle impostazioni del browser nativo diAndroid. Quando è abilitata questa opzione, le pagineweb potranno proporre suggerimenti quando l’utenteinserisce dati in un modulo.

Se si deseleziona questa casella, la funzionalitàdi riempimento automatico verrà disattivata, e leimpostazioni del browser verranno rese non disponibili.

Consenti l’uso di cookie nel browser L’utente sarà in grado di abilitare i cookie nelleimpostazioni del browser nativo di Android. Quandoè abilitata questa opzione, le pagine web potrannomemorizzare cookie sul dispositivo.

Se si deseleziona questa casella, i cookie sarannodisattivati, e le impostazioni del browser verranno resenon disponibili.

Consenti l’uso di JavaScript nelbrowser

L’utente sarà in grado di attivare JavaScript nelleimpostazioni del browser nativo di Android. Quandoè abilitata questa opzione, le pagine web potrannoeseguire codice JavaScript sul dispositivo.

Se si deseleziona questa casella, JavaScript saràdisattivato, e le impostazioni del browser verranno resenon disponibili.




Consenti popup nel browser L’utente sarà in grado di abilitare i popup nelleimpostazioni del browser nativo di Android. Quando èabilitata questa opzione, le pagine web potranno aprirenuove finestre del browser.

Se si deseleziona questa casella, i popup sarannodisattivati, e le impostazioni del browser verranno resenon disponibili.

Consenti modifica delle impostazionidi data e ora

L’utente potrà modificare le impostazioni di data e ora.

App consentite / App proibite È possibile configurare App consentite o Appproibite. Selezionare l'opzione desiderata dal primoelenco, e specificare nel secondo elenco il gruppo diapp contenente le app da autorizzare o da vietare.

Questa impostazione non prevede limitazioni per leinstallazioni di app avviate dal server di Sophos Mobile.

Per informazioni sulla creazione di gruppi di app,consultare la sezione Gruppi di app (pagina 303).

14.13.3 Configurazione Restrizioni di Knox Premium (Profilo deldispositivo Android)

La configurazione Restrizioni di Knox Premium serve a definire restrizioni per i dispositivi SamsungKnox. Queste restrizioni saranno applicabili al dispositivo, e non al container Knox.

NotaPer implementare le restrizioni di Knox Premium, occorre registrare una licenza Samsung KnoxWorkspace a Sophos Mobile e il dispositivo deve supportare l’SDK 2.x di Knox Premium.

Opzione Descrizione

Consenti opzione di auto-aggiornamento difirmware

Il dispositivo effettuerà automaticamente laverifica della presenza di aggiornamenti delfirmware. Gli utenti non potranno disattivarequesta impostazione nel dispositivo.

Abilita verifica di ODE Trusted Boot Il dispositivo decifrerà la partizione dati all’avviosolamente in presenza di una versione ufficialedi file binario e kernel, ovvero se il dispositivonon è stato sottoposto a rooting.

Deselezionando questa casella, il dispositivodecifrerà sempre la partizione dati in fase diavvio.



Opzione Descrizione

Impedisci installazione di un'altra app diamministrazione

Non sarà possibile installare app che richiedonoprivilegi di amministratore del dispositivo.Questa opzione non riguarda le app installateda Sophos Mobile.

Impedisci attivazione di un'altra app diamministrazione

Non sarà possibile attivare i privilegi diamministrazione per le app.

Consenti modalità criteri comuni Verrà attivata la modalità Criteri comuni(modalità CC) del dispositivo, e ciò garantisceche il dispositivo soddisfi i requisiti di sicurezzaprevisti dal Mobile Device FundamentalsProtection Profile (MDFPP).

Nota: La modalità CC sarà utilizzata solamentese vengono soddisfatti i seguenti requisitiaggiuntivi:

• La cifratura del dispositivo deve essere attivata.

• La cifratura rapida deve essere disattivata.

• La cifratura della memoria esterna deve essereattivata.

• Occorre impostare un numero di tentativi nonriusciti prima della formattazione dei dati daldispositivo.

• La revoca dei certificati deve essere attivata.

• La cronologia delle password deve esseredisattivata.

14.13.4 Configurazione dell'account di Exchange (Profilo deldispositivo Android)

La configurazione dell’Account Exchange consente di impostare una connessione a un server diposta Microsoft Exchange Server.


Nome account Il nome dell'account.

Server di Exchange L'indirizzo del server Exchange.

NotaSe si utilizza Sophos Mobile EAS proxy,inserire l'URL del server proxy EAS.

Dominio Il dominio dell’account.




Utente L’utente dell’account.

Se viene inserita la variabile %_USERNAME_%, il server la sostituirà con il nome effettivodell’utente.

Indirizzo e-mail L’indirizzo e-mail dell’account.

Se viene inserita la variabile %_EMAILADDRESS_%, il server la sostituirà con l’indirizzo e-maileffettivo.

Mittente Il nome del mittente per l’account.


Password La password dell’account.

Se si lascia questo campo vuoto, gli utentidovranno inserire la password nei propridispositivi.

Periodo di sincronizzazione Il periodo di tempo durante il quale verrannosincronizzate le e-mail.

Solamente le e-mail che rientrano nel periododi tempo specificato verranno sincronizzate neldispositivo gestito.

Intervallo di sincronizzazione L’intervallo di tempo tra i processi disincronizzazione delle e-mail.

SSL/TLS La connessione al server di Exchange è protettatramite SSL o TLS (a seconda della compatibilitàdel server).

Si consiglia di selezionare questa casella.

Account predefinito L’account verrà usato come account e-mailpredefinito.

Consenti tutti i certificati Autorizza tutti i certificati nei processi ditrasferimento dal server e-mail.

Certificato client Il certificato client per la connessione al server diExchange.

Consenti inoltro e-mail Consenti inoltro e-mail.

Consenti utilizzo di formato HTML Consente l'utilizzo del formato HTML nelle e-mail.

Dimensioni massime degli allegati in MB Le dimensioni massime di un singolo messaggioe-mail (1, 3, 5, 10, Illimitato).




Tipi di contenuto della sincronizzazione I tipi di contenuto da sincronizzare.

NotaPer i dispositivi Sony con Enterprise API versione 6.x o precedente, è importante che leinformazioni dell’account di Exchange corrispondano a quelle dell’utente assegnato al dispositivo.

Su questi dispositivi l’app Sophos Mobile Control non è in grado di inviare l’ID di ActiveSync alserver di Sophos Mobile. Quando il dispositivo contatta per la prima volta il proxy di EAS, l’ID diActiveSync inviato dal client di posta non è conosciuto a Sophos Mobile. Per verificare i dettaglidell’account, il proxy di EAS cerca un dispositivo con un ID di ActiveSync non conosciuto, e unutente assegnato che abbia informazioni corrispondenti a quelle fornite dal client di posta. Se vieneindividuato tale dispositivo, l’ID di ActiveSync viene assegnato a quel dispositivo, e la richiesta e-mail viene inoltrata al server di Exchange. Altrimenti la richiesta viene respinta.

Per informazioni più dettagliate, consultare l'articolo 121360 della knowledge base.

14.13.5 Configurazione Wi-Fi (Profilo del dispositivo Android)

La configurazione Wi-Fi permette di specificare le impostazioni per la connessione alle reti Wi-Fi.


SSID L’ID della rete Wi-Fi.

Tipo di sicurezza Il tipo di sicurezza della connessione Wi-Fi:

• Nessuno

• WEP

• WPA/WPA2 PSK

• EAP/PEAP

• EAP/TLS

• EAP/TTLS

Autorizzazione della fase 2 Il metodo di autenticazione per la fase 2 dellanegoziazione EAP:

• Nessuno

• PAP

• CHAP

• MSCHAP

• MSCHAPv2

Questo campo è disponibile per le connessioniEAP/PEAP e EAP/TTLS.





Identità L’identità dell’utente.

Questo campo è disponibile per le connessioniEAP.

Identità anonima L’identità dello pseudonimo inviata in chiaronella fase 1 della negoziazione EAP.


Password La password della rete Wi-Fi.

Certificato di identità Il certificato di identità per la connessione allarete Wi-Fi.

L’elenco include tutti i certificati provenienti dalleconfigurazioni Certificato client del criterioattuale.


Certificato attendibile La CA root del certificato del server EAP.

L’elenco include tutti i certificati provenientidalle configurazioni Certificato root del criterioattuale.


Server proxy e porta Il nome o indirizzo IP e il numero di porta di unserver proxy per la connessione Wi-Fi.

14.13.6 Configurazione App Protection (Profilo del dispositivoAndroid)

La configurazione App Protection permette di definire i requisiti delle password per la protezione delleapp.

Quando si utilizza App Protection, gli utenti dovranno creare una password al primo avvio di un’appprotetta. Dopo un tentativo di accesso non riuscito viene imposto un ritardo applicato al tentativo diaccesso successivo.

Se App Protection è attivata su un dispositivo, verrà visualizzato il comando Reimposta lapassword di App Protection nel menù Azioni della pagina Mostra dispositivo. L'utente puòreimpostare la password di App Protection anche nel Portale self-service di Sophos Central.


Complessità della password I requisiti di complessità minima per lepassword definite dagli utenti.




Periodo di tolleranza in minuti Una volta scaduto il periodo di tolleranza, le appprotette potranno essere sbloccate solamenteinserendo la relativa password.

Gruppo di app Selezionare il gruppo di app contenente le appprotette da password.

Per informazioni sulla creazione di gruppi diapp, vedere Gruppi di app (pagina 303).

Consenti autenticazione mediante improntadigitale

Gli utenti potranno utilizzare la propria improntadigitale per sbloccare un’app protetta.

14.13.7 Configurazione App Control (Profilo del dispositivoAndroid)

La configurazione App Control permette di definire le app che gli utenti non sono autorizzatiad avviare. È possibile utilizzare questa funzione per bloccare, ad esempio, le app preinstallatedall’azienda produttrice del dispositivo che non possono essere disinstallate.


Gruppo di app Selezionare il gruppo di app contenente le appbloccate.

Per informazioni sulla creazione di gruppidi app, consultare la sezione Gruppi di app(pagina 303).

14.13.8 Configurazione Autorizzazioni delle app (Android)

La configurazione Autorizzazioni delle app permette di configurare l’azione che verrà intrapresaquando una app richiede un’autorizzazione a livello di runtime.




Autorizzazioni runtime basate sulleapp

È possibile concedere o negare autorizzazioni a livellodi runtime specifiche per le singole app. Cliccaresu Aggiungi e successivamente configurare leimpostazioni di un’app:

Nel campo Identificatore app, inserire l’identificatoreinterno dell’app.

Per ciascuna autorizzazione a livello di runtime,selezionare lo stato desiderato:

• Selezionabile: L’utente potrà concedere o negarel’autorizzazione.

• Garantito: L’autorizzazione verrà concessa e non potràessere negata dall’utente.

• Negato: L’autorizzazione verrà negata e non potrà essereconcessa dall’utente.

14.13.9 Configurazione Modalità tutto schermo (Profilo deldispositivo Android)

La configurazione Modalità tutto schermo permette di definire le restrizioni da applicare ai dispositiviquando vengono impostati in modalità tutto schermo.

Cliccare su Seleziona origine e successivamente procedere in uno dei seguenti modi perspecificare un’app da avviare quando il profilo viene trasferito su un dispositivo:

• Selezionare Personalizza e inserire un identificatore app.

• Selezionare Elenco app, e successivamente selezionare un’app dall’elenco Identificatore app.L’elenco contiene tutte le app che sono state precedentemente configurate nella pagina App.Vedere Aggiungi app (pagina 284).

• Selezionare Nessuna app per configurare la modalità tutto schermo senza specificare un’app. Lelimitazioni per la modalità tutto schermo verranno applicate al dispositivo, ma senza avviare alcunaapp.

Sotto Opzioni, deselezionare le funzionalità hardware e software che si desidera disattivare inmodalità tutto schermo.

Quando il profilo viene trasferito su un dispositivo, verrà avviata l’app specificata. Tuttavia, se nonè stata disattivata alcuna delle funzionalità hardware o software disponibili, l’utente sarà in grado diuscire dall’app e adoperare il dispositivo come di consueto. Per impostare il dispositivo su una verae propria modalità tutto schermo, occorre deselezionare come minimo le caselle Consenti pulsanteHome e Consenti task manager.



Nota• L’app specificata deve essere installata nel dispositivo, altrimenti le operazioni di

trasferimento rimarranno nello stato Non completato sino a quando viene installata l’app.Per installare l’app, creare un bundle delle operazioni contenente ad es. un’operazioneInstalla app, e trasferirlo sui dispositivi.

• Per i dispositivi Sony con Enterprise API versione 9 o successiva, se si deseleziona unao più delle caselle Consenti aumento volume, Consenti riduzione volume o Consentidisattivazione volume, tutti i pulsanti del volume del dispositivo verranno disattivati.

14.13.10 Configurazione Access Point Name (Profilo deldispositivo Android)

Nella configurazione Access Point Name viene specificata una configurazione Access Point Name(APN) per i dispositivi mobili. Le configurazioni APN definiscono la modalità di connessione deidispositivi a una rete mobile.

ImportanteSi consiglia di chiedere al proprio operatore quali siano le impostazioni necessarie. Se si selezionaUtilizzare come APN predefinito e le impostazioni non sono corrette, il dispositivo non potràaccedere alle reti mobili.

NotaAd eccezione del campo APN, tutte le impostazioni sono opzionali e devono essere specificatesolamente se richiesto dall’operatore di rete mobile.


APN L’APN citato dal dispositivo quando apre unaconnessione con l’operatore di rete.

Deve corrispondere a un APN che vieneaccettato dall’operatore, altrimenti non saràpossibile stabilire la connessione.

Nome descrittivo Un nome opzionale che viene visualizzato suldispositivo oltre all’APN.

Server proxy e porta L’indirizzo e la porta del server HTTP utilizzatoper il traffico web.

Nome utente, Password utente Un nome utente e una password per laconnessione all’APN.

Server Il server del gateway WAP

MMSC Il Centro servizi di messaggistica multimediale(MMSC).




Server proxy e porta MMS L’indirizzo e la porta del server HTTP utilizzatoper comunicare con l’MMSC.

Mobile Country Code (MCC), Mobile NetworkCode (MNC)

L’MCC e l’MNC utilizzati per specificarel’operatore.

L’APN viene utilizzato solamente per questooperatore.

Tipo di autenticazione Il metodo di autenticazione per le connessioniPPP.

Tipo di APN I tipi di connessione dati per i quali vieneutilizzato l’APN.

Per utilizzare l’APN per tutti i tipi di dati, inserire* oppure lasciare il campo vuoto.

Connessione La Tecnologia di accesso radio (Radio AccessTechnology, RAT) utilizzata dall’operatore.

Protocollo Il protocollo di rete supportato dall’operatore.

Protocollo roaming Il protocollo di rete supportato dall’operatorequando il dispositivo si trova in roaming.

Utilizzare come APN predefinito Selezionando questa opzione, i dispositiviutilizzeranno questo APN per impostazionepredefinita.

Se questa opzione viene selezionata per più diuna configurazione Access Point Name, verràvisualizzato un errore.

14.13.11 Configurazione VPN (Profilo del dispositivo Android)

La configurazione VPN consente di definire le impostazioni della VPN per le connessioni di rete.

Impostazione/campo

Descrizione

Nomeconnessione

Il nome della connessione visualizzato sul dispositivo.

Server Il nome host o l'indirizzo IP del server.



Impostazione/campo

Descrizione

Tipo diconnessione

Il tipo di connessione VPN:

• L2TP/IPsec (PSK)

Se si sceglie questo tipo di connessione, vengono visualizzati i campiUtente, Password e L2TP/IPsec (PSK). Inserire l'utente e la password.Nel campo L2TP/IPsec (PSK), inserire la chiave precondivisa perl'autenticazione.

• L2TP/IPsec (certificato)

Se si seleziona questo tipo di connessione, vengono visualizzati icampi Certificato client, Certificato root, Utente e Password. Neicampi Certificato client e Certificato root, scegliere i relativi certificati.Inserire inoltre l'Utente e la relativa Password.

• Cisco AnyConnect

Selezionando questo tipo, sarà possibile caricare file XML con unprofilo VPN AnyConnect e/o un profilo NVM (Network Visibility Module).Consultare la guida per amministratori di Cisco AnyConnect perinformazioni su questi profili.

14.13.12 Configurazione Certificato root (Profilo del dispositivoAndroid)

La configurazione Certificato root permette di installare un certificato root sui dispositivi.

Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato vienevisualizzato nel campo Nome certificato. Inserire la password relativa al certificato selezionato.

Notail certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati in altriprofili o criteri, li si dovrà caricare nuovamente.

14.13.13 Configurazione Certificato client (Profilo del dispositivoAndroid)

La configurazione Certificato client permette di installare un certificato client sui dispositivi.





14.13.14 Configurazione di SCEP (Profilo del dispositivoAndroid)

La Configurazione di SCEP serve a permettere ai dispositivi di richiedere certificati da un’autorità dicertificazione utilizzando il Simple Certificate Enrollment Protocol (SCEP).

NotaOccorre aggiungere una configurazione del Certificato root per caricare il certificato dell’autoritàdi certificazione del server SCEP, prima di aggiungere una configurazione di SCEP.


URL L’indirizzo web del server dell’autorità dicertificazione.

Utilizzare la variabile %_SCEPPROXYURL_% perfare riferimento all’URL del server configuratonella scheda SCEP della pagina Impostazionedel sistema.

Nome alias Il nome con il quale comparirà il certificato nellefinestre di dialogo per la selezione.

Si consiglia di selezionare un nome significativoche consenta di identificare il certificato. È adesempio possibile utilizzare lo stesso valore delcampo Oggetto, ma senza il prefisso CN=.

Oggetto Il nome dell’entità (ad es. una persona o undispositivo) che riceverà il certificato.

È possibile utilizzare segnaposto per i datidell’utente, o proprietà del dispositivo.

Il valore inserito (i segnaposto verrannosostituiti dai dati effettivi) deve essere un validonome X.500.

Per esempio:

• Inserire CN=%_USERNAME_% per specificare unutente.

• Inserire CN=%_DEVPROP(serial_number)_% perspecificare un dispositivo Android.

Per informazioni sui segnaposti disponibili,vedere Segnaposti all’interno di profili e criteri(pagina 92).




Tipo di nome alternativo del soggetto

Valore del nome alternativo del soggetto

Per aggiungere un Nome alternativo delsoggetto (Subject Alternative Name, SAN) allaconfigurazione di SCEP, selezionare il tipo diSAN e immetterne il valore. I tipi di SAN sono:

• Nome RFC 822: un valido indirizzo e-mail.

• Nome DNS: il nome DNS del server CA.

• Uniform Resource Identifier: l’URL completo delserver CA.

Nome di accesso utente di AD Il valore Nome di accesso utente impostatoin Active Directory, ovvero il Nome dell’entitàutente (User Principal Name, UPN) dell’utente.

Challenge L’indirizzo web da utilizzare per ottenere unapassword challenge dal server SCEP.

Utilizzare la variabile %_CACHALLENGE_% perfare riferimento all’URL di challenge configuratonella scheda SCEP della pagina Impostazionedel sistema.

Certificato root Il certificato dell’autorità di certificazione (CA).

Selezionare il certificato dall'elenco. L’elencocontiene tutti i certificati caricati nelleconfigurazioni del Certificato root del profiloattuale.

Dimensioni chiave Le dimensioni della chiave pubblica nelcertificato emesso.

Verificare che questo valore sia corrispondentealle dimensioni configurate nel server SCEP.

Utilizza come firma digitale Quando è selezionata questa casella, èpossibile utilizzare la chiave pubblica comefirma digitale.

Utilizza per la cifratura Quando è selezionata questa casella, èpossibile utilizzare la chiave pubblica per lacifratura dei dati.

14.14 Configurazioni per i criteri del profilo di lavoroAndroid EnterpriseUn criterio del profilo di lavoro Android Enterprise permette di configurare le impostazioni relative alprofilo di lavoro di un dispositivo. Il criterio può essere applicato ai dispositivi Android Enterprise inmodalità proprietario del profilo.

Per informazioni su come creare un criterio del profilo di lavoro Android Enterprise, consultare lasezione Creazione di un profilo o di un criterio (pagina 88).



14.14.1 Configurazione “Criteri password - Dispositivo” (Criteriodel profilo di lavoro Android Enterprise)

La configurazione Criteri password - Dispositivo permette di definire i requisiti della password delblocco dello schermo.

Tipo di password











14.14.2 Configurazione “Criteri password - Profilo dilavoro” (criterio del profilo di lavoro Android Enterprise)

La configurazione Criteri password - Profilo di lavoro permette di definire i requisiti della passworddel profilo di lavoro. L’utente deve immettere questa password per aprire un’app, quando il profilo dilavoro è bloccato.


Tipo di password











Riconoscimento biometrico debole Agli utenti viene consentito di utilizzare metodidi riconoscimento biometrico deboli, ad es. ilriconoscimento facciale, per sbloccare il profilodi lavoro.

NotaI metodi di riconoscimento biometricodeboli offrono un livello di protezione similea quello di un PIN di 3 cifre. Ciò significache è presente 1 probabilità su 1000 chepossa essere effettuato uno sblocco nonautorizzato.





L'intervallo di tempo entro il quale, se il profilodi lavoro non è stato utilizzato, verrà bloccato.Il profilo potrà essere sbloccato inserendo lapassword.

NotaIl dispositivo potrebbe imporre un periodo ditempo più breve di quello configurato in questaopzione.



Il numero di tentativi non riusciti di inserimentodella password prima che venga effettuata laformattazione del profilo di lavoro.













14.14.3 Configurazione Restrizioni (Criterio del profilo di lavoroAndroid Enterprise)

La configurazione Restrizioni permette di configurare restrizioni e relative impostazioni per i profili dilavoro Android.

Sicurezza


Consenti acquisizione schermo Gli utenti potranno acquisire i contenuti dello schermodelle app installate nel profilo di lavoro.

Consenti all’utente di configurare lecredenziali

Gli utenti potranno installare o rimuovere certificati nelprofilo di lavoro.

Consenti uso degli Appunti di lavoronelle app personali

Gli utenti potranno copiare testo da un’app nel profilodi lavoro e incollarlo in un’app personale.

Copiare e incollare il testo degli Appunti da un’apppersonale a un’app nel profilo di lavoro è semprepossibile.

Consenti Smart Lock Gli utenti potranno attivare la funzionalità AndroidSmart Lock, che prevede il blocco automatico deldispositivo in situazioni specifiche.

NotaQuesta impostazione ha ripercussioni sul blocco deldispositivo. Viene ignorata se è stato configurato ancheun blocco per il profilo di lavoro.




Consenti condivisione della posizione Le app nel profilo di lavoro potranno accedere allefunzionalità di individuazione della posizione deldispositivo.

Quando questa casella è deselezionata, le app nelprofilo di lavoro non potranno accedere alle funzionalitàdi localizzazione del dispositivo, anche se l’utentedovesse aver attivato la condivisione della posizione.

Consenti apertura dei link web nelleapp personali

I link web selezionati in un’app nel profilo di lavoropotranno essere aperti da un’app browser personale.

Consenti debugging Gli utenti potranno attivare le funzionalità di debuggingnelle opzioni sviluppatore Android.

Consenti sblocco del dispositivotramite impronta digitale

Gli utenti potranno utilizzare il sensore dell’improntadigitale per sbloccare il dispositivo.

Consenti l'uso delle informazioni dicontatto per le telefonate personali

L'app del telefono personale visualizza il nome delchiamante per le telefonate in entrata provenienti daicontatti di lavoro.

Consenti informazioni sui contatti dilavoro per i dispositivi Bluetooth

I dispositivi Bluetooth connessi visualizzano il nomedel chiamante per le telefonate personali in entrataprovenienti dai contatti di lavoro.

Consenti ricerca dei contatti di lavoronel profilo personale

L'app del telefono personale include tra i risultati anchei contatti di lavoro, quando si ricercano i nomi deichiamanti.

Account


Consenti gestione degli account Gli utenti possono aggiungere o rimuovere account dalprofilo di lavoro, ma non l'account Google.



Consenti VPN Gli utenti potranno utilizzare le connessioni VPN per leapp nel profilo di lavoro.

Consenti Android Beam Gli utenti potranno adoperare Android Beam(trasferimento di dati tramite NFC) per inviare dati delleapp situate nel profilo di lavoro.



Hardware


Consenti fotocamera Le app nel profilo di lavoro potranno accedere allafotocamera.

Applicazioni


Consenti disinstallazione app Gli utenti potranno disinstallare app dal profilo dilavoro.

Consenti installazione di app conorigini sconosciute

Se questa casella è deselezionata, gli utenti potrannoinstallare nel profilo di lavoro solamente le appprovenienti da Google Play e non da fonti sconosciuteo Android Debug Bridge (ADB).

Consenti gestione delle app Se questa casella è deselezionata, gli utenti nonpotranno svolgere le seguenti operazioni per le app nelprofilo di lavoro:

• Disinstallazione delle app

• Disattivazione delle app

• Arresto delle app

• Cancellazione della cache delle app

• Cancellazione dei dati delle app

• Cancellazione dell’impostazione Apri perimpostazione predefinita

Consenti disattivazione dellescansioni di sicurezza di Google

Gli utenti possono disattivare l'impostazione disicurezza Google Analizza dispositivo per minaccealla sicurezza.

Questa impostazione è disponibile nell’appImpostazioni, sotto Google > Sicurezza > GooglePlay Protect.

Messaggio breve Un messaggio di supporto che l’azienda puòpersonalizzare e mostrare all’utente quando vieneinterrotta la funzionalità.

NotaSe vengono inseriti più di 200 caratteri, ilmessaggio rischia di essere troncato.




Messaggio lungo Testo aggiuntivo per completare il messaggio breve.Il testo viene visualizzato quando l’utente toccaUlteriori informazioni nelle schermate che mostrano ilmessaggio breve.

NotaQuesto testo viene visualizzato anche nellaschermata Amministratore dispositivo diAndroid per l’app Sophos Mobile Control.

14.14.4 Configurazione dell'account di Exchange (Criterio delprofilo di lavoro Android Enterprise)

La configurazione dell’Account Exchange consente di impostare una connessione a un server diposta Microsoft Exchange Server. Queste impostazioni vengono applicate all’app Gmail nel profilo dilavoro.








NotaLa password sarà inserita dall’utente.














14.14.5 Configurazione App Protection (Criterio del profilo dilavoro Android Enterprise)

La configurazione App Protection permette di definire i requisiti della password per proteggere le appdi Google Play gestito, ovvero le app installate nel profilo di lavoro.













14.14.6 Configurazione App Control (Criterio del profilo di lavoroAndroid Enterprise)

La configurazione App Control permette di definire le app che gli utenti non sono autorizzati adavviare.




14.14.7 Configurazione Autorizzazioni delle app (Criterio delprofilo di lavoro Android Enterprise)

La configurazione Autorizzazioni delle app permette di configurare l’azione da intraprendere quandoun’app di Google Play gestito richiede un’autorizzazione a livello di runtime.


Risposta predefinita per le richiestedelle autorizzazioni runtime

La risposta predefinita per le future autorizzazioni alivello di runtime:

• Richiesta: Le app richiederanno all’utente diconcedere un’autorizzazione.

• Accetta automaticamente: Tutte le richiestedi autorizzazione a livello di runtime verrannoautomaticamente approvate.

• Nega automaticamente: Tutte le richieste diautorizzazione a livello di runtime verrannoautomaticamente negate.

L’utente potrà modificare le autorizzazioni in unsecondo momento.










• Negato: L’autorizzazione verrà concessa e non potràessere negata dall’utente.

14.14.8 Configurazione Certificato root (Criterio del profilo dilavoro Android Enterprise)

La configurazione Certificato root permette di installare un certificato root sui dispositivi. Il certificatosarà disponibile per le app di Google Play gestito, ovvero le app installate nel profilo di lavoro.


NotaIl certificato che viene caricato qui è disponibile solo per questo criterio. Se si richiedono certificatiin altri profili o criteri, li si dovrà caricare nuovamente.

14.14.9 Configurazione Certificato client (Criterio del profilo dilavoro Android Enterprise)

La configurazione Certificato client permette di installare un certificato client sui dispositivi. Ilcertificato sarà disponibile per le app di Google Play gestito, ovvero le app installate nel profilo dilavoro.





14.14.10 Configurazione di SCEP (Criterio del profilo di lavoroAndroid Enterprise)

La Configurazione di SCEP serve a permettere ai dispositivi di richiedere certificati da un’autoritàdi certificazione utilizzando il Simple Certificate Enrollment Protocol (SCEP). Questi certificati sonodisponibili per le app installate nel profilo di lavoro.










Per esempio:






















14.15 Configurazioni per i criteri del dispositivoAndroid EnterpriseUn criterio del dispositivo Android Enterprise permette di configurare vari aspetti dei dispositivi Android,come ad es. i criteri per le password, le restrizioni o le impostazioni Wi-Fi. Il criterio può essereapplicato ai dispositivi Android Enterprise in modalità proprietario del dispositivo.

Per informazioni su come creare un criterio del dispositivo Android Enterprise, consultare la sezioneCreazione di un profilo o di un criterio (pagina 88).



14.15.1 Configurazione “Criteri password” (Criterio deldispositivo Android Enterprise)

La configurazione Criteri password permette di definire i requisiti della password del blocco delloschermo.

Tipo di password











14.15.2 Configurazione Restrizioni (Criterio del dispositivoAndroid Enterprise)


Sicurezza


Forza cifratura Gli utenti dovranno cifrare i propri dispositivi.

Consenti ripristino delle impostazionidi fabbrica

Gli utenti potranno reimpostare il dispositivo alleimpostazioni di fabbrica.

Consenti modalità provvisoria Gli utenti potranno avviare il dispositivo in modalitàprovvisoria.

Consenti debugging Gli utenti potranno attivare le funzionalità di debuggingnelle opzioni sviluppatore Android.


Consenti all’utente di configurare lecredenziali

Gli utenti potranno installare o rimuovere certificati.

Consenti Smart Lock Gli utenti potranno attivare la funzionalità AndroidSmart Lock, che prevede il blocco automatico deldispositivo in situazioni specifiche.

NotaQuesta impostazione ha ripercussioni sul blocco deldispositivo. Viene ignorata se è stato configurato ancheun blocco per il profilo di lavoro.

Consenti condivisione della posizione Gli utenti potranno attivare la condivisione dellaposizione.

Consenti sblocco del dispositivotramite impronta digitale

Gli utenti potranno utilizzare il sensore dell’improntadigitale per sbloccare il dispositivo.

Consenti modifica dell'immaginedell'account

Gli utenti potranno modificare la foto utilizzata per ilproprio account utente.

Nascondi informazioni di naturasensibile nella schermata di blocco

Se sono attivate le notifiche nella schermata di blocco,i contenuti delle notifiche di natura sensibile verrannonascosti.




Criterio per gli aggiornamenti disistema

Questa impostazione consente di selezionare quandoinstallare gli aggiornamenti di sistema:

• Nessun criterio: l’utente potrà decidere quando installaregli aggiornamenti di sistema.

• Installa automaticamente: gli aggiornamenti di sistemasaranno installati automaticamente, non appena vengonoresi disponibili.

• Installa nella finestra di manutenzione: gliaggiornamenti di sistema saranno installatiautomaticamente, come parte della manutenzionegiornaliera. Immettere un orario di inizio e fine.

• Posponi: gli aggiornamenti di sistema (a eccezione degliaggiornamenti di sicurezza) saranno bloccati per 30 giorni.

Account


Consenti gestione degli account Gli utenti potranno aggiungere o rimuovere account daldispositivo, ma non l’account Google.



Consenti SMS Deselezionando questa casella, gli utenti non potrannoinviare messaggi SMS.

Consenti connessione dati deidispositivi mobili in roaming

Deselezionando questa casella, verrà disattivata laconnessione dati dei dispositivi durante il roaming.

Consenti VPN Deselezionando questa casella, l’utente non potràutilizzare connessioni VPN.

Consenti Android Beam Gli utenti potranno adoperare Android Beam(trasferimento di dati tramite NFC) per inviare dati delleapp.

Consenti Bluetooth Deselezionando questa casella, verrà disattivatoBluetooth.

Consenti telefonate in uscita Gli utenti potranno effettuare chiamate telefoniche.

Consenti ripristino della rete Gli utenti potranno ripristinare le impostazioni di rete aivalori predefiniti.

Abilita impostazioni Wi-Fi Gli utenti potranno modificare le impostazioni Wi-Fi.




Consenti configurazione CellBroadcast

Gli utenti potranno attivare o disattivare i messaggiCell Broadcast (CB) nella loro app di messaggistica.

Abilita impostazioni reti cellulari Gli utenti potranno modificare le impostazioni della retecellulare.

Abilita impostazioni tethering Gli utenti potranno modificare le impostazioni ditethering e hotspot portatili.

Hardware


Consenti fotocamera Se si deseleziona questa casella, la fotocamera nonsarà disponibile.

Consenti microfono Se si deseleziona questa casella, il microfono non saràdisponibile.

Consenti unità esterne Gli utenti potranno connettere al dispositivo unitàesterne quali dispositivi di archiviazione USB.

Abilita archiviazione USB Gli utenti potranno connettere il dispositivo in modalitàdi archiviazione di massa USB (USB MSC) a uncomputer host, ovvero usarlo come se fosse un harddisk esterno.

Deselezionando questa casella, gli utenti potrannocontinuare a connettere il dispositivo in modalità MediaTransfer (USB MTP) o Picture Transfer (USB PTP) pertrasferire i file.

Consenti trasferimento di file su USB Gli utenti potranno trasferire i file tra il dispositivo e undispositivo di archiviazione USB esterno.

Applicazioni


Consenti disinstallazione app Gli utenti potranno disinstallare le app.

Consenti installazione di app conorigini sconosciute

Se questa casella è deselezionata, gli utenti potrannoinstallare solamente le app provenienti da Google Play,e non da fonti sconosciute o da Android Debug Bridge(ADB).

Consenti modifiche ai wallpaper Deselezionando questa casella, gli utenti non potrannomodificare i wallpaper.




Consenti gestione delle app Se questa casella è deselezionata, gli utenti nonpotranno svolgere le seguenti operazioni per le app:

• Disinstallazione delle app

• Disattivazione delle app

• Arresto delle app

• Cancellazione della cache delle app

• Cancellazione dei dati delle app

• Cancellazione dell’impostazione Apri perimpostazione predefinita

Consenti disattivazione dellescansioni di sicurezza di Google

Gli utenti possono disattivare l'impostazione disicurezza Google Analizza dispositivo per minaccealla sicurezza.

Questa impostazione è disponibile nell’appImpostazioni, sotto Google > Sicurezza > GooglePlay Protect.

Consenti impostazione di data e ora Gli utenti potranno impostare data e ora.

Se questa casella è deselezionata, verranno utilizzatela data e l’ora della rete.

Messaggio breve Un messaggio di supporto che l’azienda puòpersonalizzare e mostrare all’utente quando vieneinterrotta la funzionalità.

NotaSe vengono inseriti più di 200 caratteri, ilmessaggio rischia di essere troncato.

Messaggio lungo Testo aggiuntivo per completare il messaggio breve.Il testo viene visualizzato quando l’utente toccaUlteriori informazioni nelle schermate che mostrano ilmessaggio breve.

NotaQuesto testo viene visualizzato anche nellaschermata Amministratore dispositivo diAndroid per l’app Sophos Mobile Control.




Servizi di accessibilità consentiti Questa opzione consente di limitare l’elenco di appche possono offrire servizi di accessibilità:

• Selezionando Tutte le app disponibili, gli utenti potrannoutilizzare tutti i servizi di accessibilità.

• Selezionando Solo app di sistema, gli utenti potrannoutilizzare solamente i servizi di accessibilità delle app disistema.

• Selezionando un gruppo di app, gli utenti potrannoutilizzare solamente i servizi di accessibilità delle appappartenenti al gruppo selezionato, oltre a quelli delle appdi sistema.

14.15.3 Configurazione Account di Exchange (criterio deldispositivo Android Enterprise)









NotaLa password sarà inserita dall’utente.














14.15.4 Configurazione Wi-Fi (Criterio del dispositivo AndroidEnterprise )




Tipo di sicurezza Il tipo di sicurezza della connessione Wi-Fi:

• Nessuno

• WEP

• WPA/WPA2 PSK

• EAP/PEAP

• EAP/TLS

• EAP/TTLS




Autorizzazione della fase 2 Il metodo di autenticazione per la fase 2 dellanegoziazione EAP:

• Nessuno

• PAP

• CHAP

• MSCHAP

• MSCHAPv2

Questo campo è disponibile per le connessioniEAP/PEAP e EAP/TTLS.

Identità L’identità dell’utente.


Identità anonima L’identità dello pseudonimo inviata in chiaronella fase 1 della negoziazione EAP.


Password La password della rete Wi-Fi.

Certificato di identità Il certificato di identità per la connessione allarete Wi-Fi.

L’elenco include tutti i certificati provenienti dalleconfigurazioni Certificato client del criterioattuale.


Certificato attendibile La CA root del certificato del server EAP.

L’elenco include tutti i certificati provenientidalle configurazioni Certificato root del criterioattuale.


14.15.5 Configurazione App Protection (Criterio del dispositivoAndroid Enterprise)

La configurazione App Protection permette di definire i requisiti delle password per la protezione delleapp di Google Play gestito.












14.15.6 Configurazione App Control (criterio del dispositivoAndroid Enterprise)

La configurazione App Control permette di definire le app che gli utenti non sono autorizzatiad avviare. È possibile utilizzare questa funzione per bloccare, ad esempio, le app preinstallatedall’azienda produttrice del dispositivo che non possono essere disinstallate.




14.15.7 Configurazione Autorizzazioni delle app (Criterio deldispositivo Android Enterprise)

La configurazione Autorizzazioni delle app permette di configurare l’azione che verrà intrapresaquando un’app richiede un’autorizzazione a livello di runtime.




Risposta predefinita per le richiestedelle autorizzazioni runtime

La risposta predefinita per le future autorizzazioni alivello di runtime:

• Richiesta: Le app richiederanno all’utente diconcedere un’autorizzazione.

• Accetta automaticamente: Tutte le richiestedi autorizzazione a livello di runtime verrannoautomaticamente approvate.

• Nega automaticamente: Tutte le richieste diautorizzazione a livello di runtime verrannoautomaticamente negate.

L’utente potrà modificare le autorizzazioni in unsecondo momento.







• Negato: L’autorizzazione verrà concessa e non potràessere negata dall’utente.

14.15.8 Configurazione Modalità tutto schermo (criterio deldispositivo Android Enterprise)

La configurazione Modalità tutto schermo permette di definire le restrizioni da applicare ai dispositiviquando vengono impostati in modalità tutto schermo.


Seleziona origine • Nessuno: autorizza tutte le app. Le restrizioni dellaModalità tutto schermo saranno applicate al dispositivo,ma l’utente potrà avviare qualsiasi app disponibile neldispositivo.

• Personalizza, Elenco app : blocca una singola app sulloschermo.

• Gruppo di app: consente la visualizzazione di appmultiple sullo schermo.




Identificatore app L’app disponibile in modalità tutto schermo.

A seconda delle opzioni selezionate in Selezionaorigine, sarà possibile o specificare l’app con il relativoidentificatore, oppure selezionarla dall’elenco di appdisponibili.

Gruppo di app Le app disponibili in modalità tutto schermo.

Selezionare uno dei gruppi di app configurati.

Consenti modifica volume Se si deseleziona questa casella, i pulsanti del volumedel dispositivo saranno disattivati.

Disattiva blocco dello schermo Lo schermo del dispositivo non sarà mai bloccato.

Rimani acceso mentre in carica Lo schermo del dispositivo rimarrà acceso quando ildispositivo è connesso a un cavo di alimentazione.

14.15.9 Configurazione HTTP proxy globale (criterio deldispositivo Android Enterprise)

La configurazione HTTP proxy globale permette di definire un server proxy aziendale.


Proxy Selezionare Manualmente per configurare manualmente idettagli della connessione.

Selezionare Automatico se si dispone di un file proxy auto-config (PAC).

Server e porta Il nome (o indirizzo IP) e facoltativamente il numero di porta delproxy HTTP.

URL server proxy L’URL del file proxy auto-config (PAC).

14.15.10 Configurazione Certificato root (criterio del dispositivoAndroid Enterprise)






14.15.11 Configurazione Certificato client (criterio del dispositivoAndroid Enterprise)




14.15.12 Configurazione SCEP (criterio del dispositivo AndroidEnterprise)














Per esempio:






















14.16 Configurazioni per i criteri di SophosContainer per AndroidUn criterio di Sophos Container permette di configurare le impostazioni relative alle seguenti app:Sophos Secure Email e Sophos Secure Workspace.

Per informazioni su come creare un criterio di Sophos Container, consultare la sezione Creazione diun profilo o di un criterio (pagina 88).

14.16.1 Configurazione generale (Criterio di Sophos Containerper Android)

La configurazione Generale permette di definire le impostazioni per tutte le app Sophos Container, seapplicabili.


Abilita password di Sophos Container Gli utenti devono inserire una passwordaggiuntiva prima di poter avviare un'appSophos Container. Tale password deve esseredefinita al primo avvio dell'app container,dopo l'applicazione delle impostazioni diconfigurazione. Questa password vieneapplicata a tutte le app container.




Complessità della password Il livello minimo di complessità della passwordrichiesto per la password di Sophos Container.Password più complesse e quindi più sicuresono sempre consentite. Le password (formateda un insieme cifre e caratteri alfabetici)vengono comunemente considerate più sicurerispetto a PIN (formati solo da cifre).

• Qualsiasi: non è applicata alcunarestrizione alle password di SophosContainer.

• PIN di 4 cifre

• PIN di 6 cifre

• Password di 4 caratteri




Nascondi sempre i caratteri nei campi diinserimento della password

I caratteri nei campi di inserimento dellapassword non vengono visualizzati per pochiattimi prima di essere occultati.

Durata della password in giorni Il numero di giorni di validità di una passwordprima che venga richiesto agli utenti dimodificarla.

Tentativi di accesso non riusciti prima delblocco

Il numero di tentativi di accesso non riuscitiche vengono tollerati prima di implementare ilblocco delle app container. Una volta bloccatele app, lo sblocco dovrà essere effettuato daun amministratore, oppure, se consentito, dagliutenti attraverso il Portale self-service di SophosCentral.

Consenti impronta digitale Gli utenti potranno utilizzare la propria improntadigitale per sbloccare l’app.

Periodo di tolleranza in minuti Il periodo di tempo entro cui non è richiestol’inserimento di alcuna password di SophosContainer, quando l'app contenitore torna acomparire in primo piano.

Il periodo di tolleranza è applicabile a tutte leapp container. Durante il periodo di tolleranzaè anche possibile passare da un'app a un'altrasenza dover inserire la password.




Blocco nel blocco del dispositivo Quando viene bloccato il dispositivo, verràanche bloccato Sophos Container.

Se viene deselezionata questa casella, ilcontainer verrà bloccato solamente allascadenza del periodo di tolleranza.

Ultima connessione server Il periodo di tempo massimo concesso agliutenti per utilizzare un’app Sophos Containersenza connettersi al server di Sophos Mobile.

Quando un’app Sophos Container è attiva,ma non riesce a connettersi al server entro ilperiodo di tempo definito, verrà visualizzatauna schermata di blocco. L'unico modo adisposizione degli utenti per sbloccare l'appsarà toccare Prova di nuovo nella schermatadi blocco. L’app effettuerà quindi un tentativodi connessione al server. Se sarà possibilestabilire una connessione col server, l'appverrà sbloccata. In caso contrario verrà negatol'accesso.

• In accesso: la connessione al server è semprerichiesta e l'app viene bloccata ogniqualvolta siaimpossibile contattare il server.

• 1 ora: È necessario stabilire una connessione alserver quando l'app viene attivata almeno un'oradopo l'ultimo tentativo riuscito di connessione alserver.

• 3 ore

• 6 ore

• 12 ore

• 1 giorno

• 3 giorni

• 3 giorni

• Nessuno: non è richiesto alcun contatto regolarecol server.




L'accesso off-line viene avviato senzaconnessione server

In questo campo è possibile definire lafrequenza con cui gli utenti possono avviare leapp Sophos Container senza connessione alserver.

NotaQuesta impostazione richiede l'attivazionedella richiesta di password di SophosContainer.

Il conteggio viene incrementato ogniqualvoltagli utenti inseriscano la password di SophosContainer. Se il conteggio supera il numeroprefissato, viene visualizzata la stessaschermata di blocco descritta per l'impostazioneUltima connessione server. Se viene stabilitauna connessione col server di Sophos Mobile, ilconteggio verrà azzerato.

• Illimitato: non è richiesta alcuna connessione alserver.

• 0: impossibile avviare l'app senza connessione alserver.

• 1: dopo un primo avvio riuscito dell'app, ènecessario stabilire una connessione al server.

• 3

• 5

• 10

• 20

Accesso alla radice consentito Le app container avranno l’autorizzazione dieseguirsi sui dispositivi che sono stati sottopostia rooting.

Vincoli per l'uso dell'app

Con questa opzione è possibile definire vincoli relativi all'uso delle app Sophos Container. Cliccaresu Aggiungi per inserire vincoli.

Recinti virtuali Consente di aggiungere latitudine e longitudine,e un raggio all'interno del quale è consentitoutilizzare le app Sophos Container.

Intervalli temporali Consente di specificare un orario di inizio e unorario di fine, entro i quali è consentito utilizzarele app Sophos Container. È anche possibilespecificare i giorni della settimana in cui siaconsentito adoperare le app.




Recinti Wi-Fi Se si seleziona Connessione Wi-Fiobbligatoria, Sophos Container viene bloccatoquando non è presente una connessione Wi-Fiattiva.

Se si aggiungono reti Wi-Fi all’elenco, SophosContainer verrà bloccato quando il dispositivosi connette a una rete Wi-Fi che non è inclusanell’elenco.

ImportanteSi consiglia di non utilizzare i recinti Wi-Fi comeunico meccanismo di sicurezza, in quanto inomi delle rete Wi-Fi sono facilmente soggetti aspoofing.

14.16.2 Configurazione E-mail aziendale (Criterio di SophosContainer per Android)

La configurazione E-mail aziendale permette di definire le impostazioni utente per Microsoft ExchangeServer. Queste impostazioni vengono applicate all’app Sophos Secure Email, se è installata all’internodi Sophos Container.







Se viene inserita la variabile%_EMAILADDRESS_%, il server la sostituirà conl’indirizzo e-mail effettivo.


E-mail di contatto del Supporto L’indirizzo e-mail da utilizzare come indirizzo e-mail per l’opzione "Contatta il supporto".




Esporta contatti verso il dispositivo Agli utenti verrà consentito di esportare etrasferire i contatti di Exchange dotati di numerodi telefono nei contatti del dispositivo locale perconsentire l’identificazione dei contatti aziendalinelle chiamate in entrata.

Sophos Secure Email manterrà sincronizzate leinformazioni.

Notale informazioni di contatto locali vengonoeliminate automaticamente in questesituazioni:

• Quando viene rimossa laconfigurazione E-mail aziendale dalcriterio di Sophos Container (è richiestoil riavvio dell'app Secure Email).

• Quando viene rimosso SophosContainer dal dispositivo.

• Quando viene annullata la registrazionedel dispositivo a Sophos Mobile.

Dettagli notifiche Consente di selezionare la quantità diinformazioni da visualizzare nelle notifiche e-mail.

Questa impostazione influisce anche suipromemoria degli eventi. SelezionandoNessuna notifica, verranno disattivati ipromemoria degli eventi. Selezionando qualsiasialtro valore, i promemoria degli eventi verrannoattivati e includeranno informazioni relative aora, posizione e titolo.

Nega copia negli appunti Gli utenti non potranno copiare o tagliare eincollare testo dall’app Sophos Secure Email.

Nega screenshot Gli utenti non potranno catturare screenshotche mostrino l'app Sophos Secure Email.

Dimensioni massime e-mail I messaggi e-mail di dimensioni superiori aquelle selezionate (allegati inclusi) non verrannorecuperati dal server di Exchange.

Consenti visualizzazione/condivisione Agli utenti sarà permesso visualizzare ocondividere allegati e-mail.

Visualizza allegati Selezionare se autorizzare la visualizzazionedegli allegati in tutte le app o solamente nelleapp Sophos Secure Workspace e SophosSecure Email di Sophos Container.




Condividi allegati Con tutte le app: gli allegati potranno esserecondivisi con tutte le app che supportano ilformato di file dell’allegato.

Con le app container: gli allegati verrannocifrati con una chiave del dispositivo e potrannoessere aperti solamente in Sophos SecureWorkspace. L'azione di condivisione non vienebloccata.

Impostazioni avanzate Configurare queste impostazioni solamente serichiesto esplicitamente dal Supporto tecnicoSophos.

14.16.3 Configurazione Documenti aziendali (Criterio di SophosContainer per Android)

La configurazione Documenti aziendali permette di definire le impostazioni per la funzionalitàDocumenti aziendali dell’app Sophos Secure Workspace.

Configura provider di archiviazione

Per tutti i provider di archiviazione è possibile definire separatamente le seguenti impostazioni:


Abilita Il provider di archiviazione è disponibilenell’app.

Off-line Gli utenti possono aggiungere file dal providerdi archiviazione all'elenco Preferiti della app peruso off-line.

Apri con (cifrato) Gli utenti possono condividere file cifrati conaltre app utilizzando Apri con.

Apri con (non cifrato) Gli utenti possono condividere file non cifraticon altre app utilizzando Apri con.

Appunti Gli utenti possono copiare parti di undocumento e incollarle in altre app.

Impostazioni dei provider aziendali

Per il provider WebDAV, definito anche come provider aziendale, è possibile definire in manieracentrale le impostazioni e le credenziali di accesso dei server. Tali credenziali non potranno esseremodificate dagli utenti.



Le impostazioni relative alle credenziali non definite centralmente potranno essere scelte dagliutenti, all'interno della schermata delle credenziali del provider dell'app.

È per esempio possibile definire centralmente l'account server e utente da utilizzare, ma è altempo stesso possibile non definire il campo relativo alla password. Gli utenti dovranno essere aconoscenza della password per poter accedere al provider di archiviazione.


Nome Il nome del provider che viene visualizzatonell’app Sophos Secure Workspace.

Server In questo campo inserire:

• L'URL della cartella principale nel serverWebDAV di Documenti aziendali.

• L'URL della cartella principale nel server diWebDAV.

Utilizzare il seguente formato: https://server.azienda.com

Verrà supportato solamente il protocollo https.

Nome utente Il nome utente per il server applicabile. È anchepossibile adoperare la variabile %_USERNAME_%.

Password La password per l’account applicabile.

Carica cartella La cartella di upload relativa a un determinatoaccount.

Altre impostazioni


Abilita documenti Attiva la funzionalità Documenti per ladistribuzione sicura dei documenti aziendali.

Complessità della passphrase Il livello minimo richiesto di complessitàdelle passphrase per le chiavi di cifratura.Passphrase più complesse e quindi più sicuresono sempre consentite.

È possibile selezionare le seguentiimpostazioni:








Nega screenshot Gli utenti non possono catturare screenshot chemostrino l'app Sophos Secure Workspace.


14.16.4 Configurazione Browser aziendale (criterio di SophosContainer per Android)

La configurazione Browser aziendale permette di definire le impostazioni per la funzionalità Browseraziendale dell’app Sophos Secure Workspace.

Il Browser aziendale consente di accedere in maniera sicura alle pagine intranet aziendali, e ad altrepagine esplicitamente autorizzate. È possibile definire domini e segnalibro all’interno di un dominio.

Ciascun segnalibro appartiene a un dominio specifico. Quando si aggiunge un segnalibro, se la vocerelativa a un dominio non esiste, verrà creata automaticamente.



Nega screenshot Gli utenti non potranno catturare screenshotche mostrino il Browser aziendale.

Impostazioni del dominio


URL Il dominio che si desidera autorizzare.

Consenti copia/incolla Spuntando questa casella si consentirà agliutenti di copiare e incollare testo dal Browseraziendale ad altre app.

Consenti apri con Agli utenti verrà consentito di scaricare allegati,o di inoltrarli ad altre app.

Consenti salva password Agli utenti verrà permesso di salvare le propriepassword nel Browser aziendale.



Impostazioni del segnalibro


Nome Il nome del segnalibro.

URL L’indirizzo web del segnalibro.

14.16.5 Configurazione Certificato root (Criterio di SophosContainer per Android)

La configurazione Certificato root permette di installare un certificato root sui dispositivi. Questocertificato è disponibile per le app Sophos Secure Email e Sophos Secure Workspace, se sonoinstallate nel Sophos Container.



14.16.6 Configurazione Certificato client (Criterio di SophosContainer per Android)

La configurazione Certificato client permette di installare un certificato client sui dispositivi. Questocertificato è disponibile nell'app Sophos Secure Workspace, se è installata all'interno di SophosContainer.



14.16.7 Configurazione di SCEP (Criterio di Sophos Containerper Android)

La Configurazione di SCEP serve a permettere ai dispositivi di richiedere certificati da un’autorità dicertificazione utilizzando il Simple Certificate Enrollment Protocol (SCEP). Questi certificati vengonoresi disponibili nell’app Sophos Secure Workspace, se è installata all’interno di Sophos Container.












Per esempio:






















14.17 Configurazioni per i criteri di Mobile Securityper AndroidI criteri di Mobile Security consentono di configurare l’app Sophos Mobile Security.

Per informazioni su come creare un criterio di Mobile Security, vedere Creazione di un profilo o di uncriterio (pagina 88).

14.17.1 Configurazione della rete (criterio Sophos MobileSecurity per Android)

La configurazione Rete consente di gestire le impostazioni di rete dell’app Sophos Mobile Security perproteggere gli utenti dalle minacce della rete.

NotaQuando questa configurazione viene assegnata a un dispositivo, verranno disattivate leimpostazioni corrispondenti nell’app Sophos Mobile Security. L'utente non potrà modificarle.




Protezione contro gli attacchi man-in-the-middle

Sophos Mobile Security monitora la connessione Wi-Fiper individuare gli attacchi man-in-the-middle.

Impostazioni avanzate Configurare queste impostazioni solamente se richiestoesplicitamente dal Supporto tecnico Sophos.

14.17.2 Configurazione dell’antivirus (criterio Sophos MobileSecurity per Android)

La configurazione Antivirus consente di gestire le impostazioni della protezione antimalware dell’appSophos Mobile Security.



Modalità di scansione Cloud Seleziona quando Sophos Mobile Security carica le nuoveinformazioni sul malware dal server di Sophos.

Intervalli della scansionepianificata

Seleziona la frequenza delle scansioni antimalware.

Se si seleziona Ogni giorno mentre in carica, verràeffettuata una scansione quando il dispositivo è connessoa una fonte di alimentazione per più di 30 minuti.

Scansione delle app di sistema Effettua la scansione delle app di sistema.

Le app di sistema non vengono sottoposte a scansioneper impostazione predefinita, perché sono protette dalsistema operativo di Android e non possono esseredisinstallate dall’utente.

Effettua scansionedell'archiviazione

Sottopone a scansione tutti i file nell’archiviazionecondivisa interna, nella scheda SD e nei dispositivi USBconnessi, per individuare eventuali minacce; questascansione viene effettuata in aggiunta alla scansionepredefinita di tutte le app installate.

Rileva PUA Effettua la scansione alla ricerca di applicazionipotenzialmente indesiderate (PUA).

Le PUA sono app che, sebbene non siano malevole, sonogeneralmente considerate inadeguate per le reti aziendali.Le PUA sono principalmente classificate in adware, dialer,monitor di sistema, oltre che tool di amministrazioneremota e di hacking. Talune app che ricadono nellacategoria delle PUA, possono essere considerate utili daalcuni utenti.




Abilita l'utente a consentire PUA Gli utenti potranno autorizzare app che erano stateclassificate come PUA. Le app autorizzate verrannoignorate nelle scansioni successive.

Modalità Seleziona come procedere con le app con bassareputazione:

Consenti: disattiva la scansione delle app con bassareputazione.

Avviso: visualizza un avviso sul dispositivo qualora vengarilevata un’app con bassa reputazione. Gli utenti potrannoscegliere quale azione intraprendere per l’app rilevata.Potranno decidere di aggiungere l'app all'elenco delle appconsentite evitando così di ricevere avvisi quando questaapp verrà rilevata.

Blocca: l’utente non potrà avviare app con bassareputazione.

Notifica scansione Quando un’app viene sottoposta a scansione dopo lasua installazione, Sophos Mobile Security genererà unanotifica.

Se questa casella viene deselezionata, non verrannogenerate notifiche per le app innocue.

Monitora l'archiviazione Monitora l’archiviazione condivisa interna, la schedaSD e i dispositivi USB connessi, in modo da rilevareeventuali modifiche. Se vengono aggiunti nuovi file aquesti percorsi, tali file saranno sottoposti a scansione.

Gruppo di app Seleziona un gruppo di app autorizzate. Le app in questogruppo saranno escluse dalle scansioni.

14.17.3 Configurazione del filtro web (criterio Sophos MobileSecurity per Android)

La configurazione Filtro web consente di gestire le impostazioni del Filtro web dell'app Sophos MobileSecurity, per proteggere gli utenti dalla navigazione su siti malevoli, indesiderabili o dai contenutiillegali.


Browser supportati:

• Browser web per Android

• Browser ASUS

• Google Chrome



• Firefox

• Firefox Klar

• HTC Sense Browser

• Microsoft Edge

• Opera

• Opera Mini

• Samsung Internet per Android


Filtra siti Web malevoli Seleziona se gli utenti possano o meno accedere a sitiweb con contenuti malevoli.

Filtra siti Web per categoria Seleziona se gli utenti possano o meno accedere a sitiweb che rientrano in una categoria specifica.

Sophos Mobile Security Classifica i siti web in base ai datidei SophosLabs. I dati vengono aggiornati continuamente.

ConsiglioPer testare il filtro web, Sophos ha creato il sitosophostest.com, che contiene pagine di prova per ciascunacategoria. Sebbene alcune di queste pagine siano classificatecome potenzialmente offensive o pericolose, i contenuti dellepagine stesse sono innocui in tutti i casi.

Eccezioni per siti web Configura le eccezioni ai filtri basati sulle categorie:

Domini consentiti: siti web che sono consentiti, anche sela categoria a cui appartengono è bloccata.

Domini bloccati: siti web che sono bloccati, anche se lacategoria a cui appartengono è consentita.

È possibile inserire nomi di dominio o indirizzi IP. Esempi:

• www.esempio.com

• *.esempio.com

• 198.51.100.1

• 198.51.100.0/24

14.18 Configurazioni per i profili del container KnoxUn profilo del container Knox permette di configurare le impostazioni relative al container Knox deidispositivi Samsung.

Per informazioni su come creare un profilo del container Knox, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).


http://sophostest.com/


14.18.1 Configurazione Criteri password (Profilo del containerKnox)

La configurazione Criteri password permette di definire i requisiti della password del container Knox.


Tipo di password














L'intervallo di tempo entro il quale, se ilcontainer Knox non è stato utilizzato, verràbloccato. Il container può essere sbloccatoinserendo la password.

NotaIl dispositivo potrebbe imporre un periodo ditempo più breve di quello configurato in questaopzione.



Il numero di tentativi non riusciti di inserimentodella password prima che venga effettuata laformattazione del container Knox.













Autenticazione biometrica


Consenti autenticazione medianteimpronta digitale

Se supportata dal dispositivo, questa funzionalitàconsente all’utente di utilizzare l’autenticazionemediante impronta digitale per sbloccare il containerKnox.

Consenti autenticazione mediantescansione dell’iride

Se supportata dal dispositivo, questa funzionalitàconsente all’utente di utilizzare l’autenticazionemediante scansione dell’iride per sbloccare il containerKnox.

Consenti autenticazione mediantericonoscimento del volto

Se supportata dal dispositivo, questa funzionalitàconsente all’utente di utilizzare l’autenticazionemediante riconoscimento del volto per sbloccare ilcontainer Knox.

14.18.2 Configurazione Restrizioni (Profilo del container Knox)

La configurazione Restrizioni permette di configurare restrizioni e impostazioni relative al containerKnox dei dispositivi Samsung.


Consenti acquisizione schermo Gli utenti potranno acquisire i contenuti dello schermodelle app all’interno del container Samsung Knox.

Consenti fotocamera Le app all’interno del container Samsung Knoxpotranno accedere alla fotocamera.

Consenti Appunti Gli utenti potranno copiare qualsiasi tipo di contenutonegli Appunti.

Consenti "Condividi con" La funzionalità Condividi con che viene utilizzata daalcune app, sarà attivata.

Consenti microfono Le app all’interno del container Samsung Knoxpotranno accedere al microfono.

Imponi utilizzo della tastiera sicura Gli utenti devono utilizzare la tastiera sicura.

Consenti aggiunta di nuovi account e-mail

Gli utenti potranno aggiungere account di postaelettronica diversi da quelli configurati con i profili diSophos Mobile.

Consenti l’esportazione dei dati Le app private potranno accedere ai dati dall’internodel container Samsung Knox.




Consenti la copia dei file nel container I file privati potranno essere copiati o trasferiti nelcontainer Samsung Knox.

Consenti Bluetooth Le app all’interno del container Samsung Knoxpotranno utilizzare le connessioni Bluetooth.

Consenti NFC Le app all’interno del container Samsung Knoxpotranno utilizzare le connessioni NFC (near-fieldcommunication).

Implementa Multi-FactorAuthentication

Sarà richiesto più di un singolo metodo diautenticazione per sbloccare il container SamsungKnox, per esempio password e impronta digitale.

App consentite / App proibite È possibile configurare App consentite o Appproibite. Selezionare l'opzione desiderata dal primoelenco, e specificare nel secondo elenco il gruppo diapp contenente le app da autorizzare o da vietare.

Questa impostazione non prevede limitazioni per leinstallazioni di app avviate dal server di Sophos Mobile.

Per informazioni sulla creazione di gruppi di app,consultare la sezione Gruppi di app (pagina 303).

14.18.3 Configurazione dell'account di Exchange (Profilo delcontainer Knox)

La configurazione dell’Account Exchange consente di impostare una connessione a un server diposta Microsoft Exchange Server. Queste impostazioni vengono applicate al container Samsung Knox.






















Account predefinito L’account verrà usato come account e-mailpredefinito.


Consenti inoltro da altri account Questo account potrà essere utilizzato perinoltrare e-mail ricevute da un altro account.

Per esempio, se attribuiamo a questo account ilnome “A” e se nel container Knox è presente unaltro account “B”, un messaggio e-mail ricevutodall’account B potrà essere inoltrato utilizzandol’account A come mittente.

NotaQuesta impostazione viene utilizzata solamentedall’app di posta elettronica nativa di Android.

Consenti utilizzo di formato HTML Consente l'utilizzo del formato HTML nelle e-mail.




Dimensioni massime degli allegati in MB Le dimensioni massime di un singolo messaggioe-mail (1, 3, 5, 10, Illimitato).


14.19 Configurazioni per i criteri Android ThingsUn profilo del dispositivo Android Things permette di configurare vari aspetti dei dispositivi AndroidThings. Al momento sono supportate solamente le impostazioni Wi-Fi.

Per informazioni su come creare un criterio Android Things, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).

14.19.1 Configurazione Wi-Fi (Criterio Android Things)




Tipo di sicurezza Il tipo di sicurezza della rete Wi-Fi:

• Nessuno

• WEP

• WPA/WPA2

Se si selezionano WEP o WPA/WPA2, vienevisualizzato un campo Password. Inserire lapassword richiesta.

14.20 Configurazioni per i profili del dispositivo iOSUn profilo del dispositivo iOS permette di configurare vari aspetti dei dispositivi iOS, come ad es. criteriper le password, restrizioni, o impostazioni Wi-Fi.

Per informazioni su come creare un profilo del dispositivo, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).

14.20.1 Configurazione Criteri password (Profilo del dispositivoiOS)

La configurazione Criteri password permette di definire i requisiti della password del dispositivo.



NotaQuando a un dispositivo viene assegnata la configurazione Criteri password, comincia unperiodo di tolleranza di 60 minuti. Durante il periodo di tolleranza, viene chiesto all’utente dimodificare la password in conformità con i criteri, quando torna alla schermata Home. Al terminedel periodo di tolleranza, l’utente non potrà avviare alcuna app nel dispositivo, incluse quelleinterne.


Consenti valore semplice Gli utenti saranno autorizzati a utilizzarecaratteri sequenziali o ripetuti nelle password,per esempio 1111 o abcde.

Richiedi valore alfanumerico Le password devono contenere almeno unalettera o una cifra.

Lunghezza minima della password Indica il numero minimo di caratteri perpassword.

Numero minimo caratteri complessi Indica il numero minimo di caratteri nonalfabetici (per es. & o !) per password.


Blocco automatico massimo (in minuti) In questo campo è possibile indicare il valoremassimo configurabile nel dispositivo. Il Bloccoautomatico consente di impostare l'intervallo ditempo (in minuti) entro il quale, se il dispositivonon è stato utilizzato, verrà bloccato.



Periodo di tolleranza massimo per il bloccodel dispositivo

In questo campo è possibile indicare il valoremassimo configurabile nel dispositivo. Il periododi tolleranza per il blocco del dispositivo indicaper quanto tempo il dispositivo può restaresbloccato senza richiedere l'inserimento diuna password. Se si seleziona l'opzioneNessuno, l'utente può scegliere uno qualsiasidegli intervalli disponibili. Se si selezional'opzione Immediatamente, gli utenti dovrannoinserire una password tutte le volte desiderinosbloccare i dispositivi.





In questo campo è possibile indicare il numerodi tentativi non riusciti di inserimento dellapassword prima che venga effettuata laformattazione del dispositivo. Dopo sei tentativinon riusciti, viene imposto un ritardo primadi poter inserire nuovamente la password. Iltempo di attesa aumenta ad ogni tentativo diaccesso non riuscito. Dopo l'ultimo tentativonon riuscito, tutti i dati e le impostazionivengono rimossi dal dispositivo. Il ritardoinizia dopo il sesto tentativo non riuscito. Sequesto valore è impostato su 6 o su un numeroinferiore, non verrà applicato alcun ritardo e idati del dispositivo verranno rimossi una voltasuperato il numero stabilito di tentativi.

14.20.2 Configurazione Restrizioni (Profilo del dispositivo iOS)


NotaAlcune opzioni sono disponibili solo per versioni di iOS specifiche, oppure per i dispositivisupervisionati. Sono indicate da etichette blu in Sophos Mobile Admin.

Dispositivo


Consenti installazione app Deselezionando questa casella, l'App Store diverrànon disponibile e la relativa icona sarà rimossadalla schermata principale. Gli utenti non potrannoinstallare o aggiornare app dall'App Store o da AppleConfigurator.

Consenti installazione delle appdall'interfaccia utente del dispositivo

Deselezionando questa casella, l'App Store diverrànon disponibile e la relativa icona sarà rimossa dallaschermata principale. Gli utenti potranno comunqueinstallare o aggiornare app da Apple Configurator.

Consenti l'utilizzo della fotocamera Deselezionando questa casella, la fotocamera nonsarà disponibile, e la relativa icona sarà rimossa dallaschermata principale. Gli utenti non potranno fare foto,registrare video o utilizzare FaceTime.

Consenti FaceTime Gli utenti potranno effettuare o ricevere videochiamatecon FaceTime.





Consenti la sincronizzazioneautomatica durante il roaming

Deselezionando questa casella, i dispositivi in roamingverranno sincronizzati solo quando l'utente accede aun account.

Consenti Siri Deselezionando questa casella, gli utenti non potrannoutilizzare Siri, comandi vocali o programmi di dettatura.

Consenti l'utilizzo di Siri mentre ildispositivo è bloccato

Deselezionando questa casella, gli utenti dovrannosbloccare i dispositivi inserendo la propria passwordprima di poter utilizzare Siri.

Consenti contenuto domande a Siridal Web

Deselezionando questa casella, Siri non ricercheràcontenuti dal web.

Forza filtro linguaggio esplicito di Siri Deselezionando questa casella, il filtro linguaggioesplicito di Siri non verrà applicato al dispositivo.

Consenti riconoscimento vocalementre il dispositivo è bloccato

Deselezionando questa casella, gli utenti non potrannoutilizzare i comandi di riconoscimento vocale quando ildispositivo è protetto da password.

NotaSe l’utente non ha configurato una password per ildispositivo, il riconoscimento vocale sarà sempreautorizzato.

Consenti Passbook mentre ildispositivo è bloccato

Le notifiche di Passbook verranno visualizzate quandoil dispositivo è bloccato.

Consenti acquisti In-App Gli utenti potranno effettuare acquisti In-App.

Obbliga gli utenti ad inserire lapassword dello store per tutti gliacquisti effettuati

Gli utenti devono inserire la propria password ID Appleper effettuare acquisti.

Deselezionando questa casella, sarà presente unbreve periodo di tolleranza, durante il quale gli utentipotranno effettuare ulteriori acquisti senza doverinserire nuovamente la propria password.

Consenti i giochi con più giocatori Gli utenti potranno utilizzare i giochi con più giocatoriin Game Center.

Consenti Game Center Deselezionando questa casella, Game Center nonsarà disponibile.

Consenti di aggiungere amici in GameCenter

Gli utenti potranno aggiungere amici in Game Center.

Consenti modifiche a Trova i mieiamici

Deselezionando questa casella, le modifiche all'appTrova i miei amici non saranno disponibili.




Consenti abbinamento host Deselezionando questa casella, l'abbinamento hostsarà disattivato, eccezion fatta per il supervision host.Se non è stato configurato alcun certificato per ilsupervision host, tutti gli abbinamenti host sarannodisattivati.

Consenti associazione con AppleWatch

Deselezionando questa casella, gli utenti non potrannoabbinare il dispositivo a un Apple Watch. Eventualiabbinamenti di Apple Watch verranno annullati.

Consenti AirDrop Verrà attivata la condivisione dei contenuti conAirDrop.

Consenti Control Center nellaschermata di blocco

Deselezionando questa casella, Control Center nonsarà disponibile quando lo schermo del dispositivo èbloccato.

Consenti Notification Center nellaschermata di blocco

Deselezionando questa casella, Notification Centernon sarà disponibile quando lo schermo del dispositivoè bloccato.

Consenti vista della giornata correntenella schermata di blocco

Deselezionando questa casella, la vista della giornatacorrente non sarà disponibile quando lo schermo deldispositivo è bloccato.

Consenti news L’app News sarà disponibile.

Consenti aggiornamenti PKI over-the-air

Sarà possibile effettuare aggiornamenti PKI over-the-air.

Consenti iBooks Store Gli utenti potranno acquistare libri in iBooks.

Consenti contenuti sessuali esplicitiin iBooks Store

Deselezionando questa casella, verranno bloccati icontenuti sessuali espliciti in iBooks Store.

Consenti all'utente di installare profilidi configurazione

Gli utenti potranno installare profili di configurazione.

Consenti iMessage Gli utenti potranno utilizzare iMessage per inviare oricevere messaggi SMS.

Consenti rimozione app Gli utenti potranno disinstallare app dal dispositivo.

Consenti rimozione app di sistema Gli utenti potranno disinstallare le app di sistema daldispositivo.

Consenti cancellazione di tutti icontenuti e le impostazioni

Deselezionando questa casella, l’opzioneCancellazione di tutti i contenuti e le impostazioninell’interfaccia utente Ripristina verrà resa nondisponibile.




Consenti risultati da Internet inSpotlight

Deselezionando questa casella, Spotlight non restituiràrisultati durante le ricerche internet.

Consenti abilitazione dell'opzionerelativa alle restrizioni

Deselezionando questa casella, l’opzione Abilitarestrizioni nell’interfaccia utente Ripristina verrà resanon disponibile.

Consenti Handoff Gli utenti potranno utilizzare la funzionalità Handoffdi Apple Continuity. Con Handoff, gli utenti possonocominciare a lavorare su un documento, e-mailo messaggio in un dispositivo, e continuare in undispositivo diverso.

Consenti modifica del nome deldispositivo

Gli utenti potranno modificare il nome del dispositivo.

Consenti modifica dello sfondo Gli utenti potranno cambiare lo sfondo.

Consenti tasti di scelta rapida Gli utenti potranno utilizzare i tasti di scelta rapida.

Consenti dettatura per l'input datastiera

Gli utenti potranno attivare la dettatura nelleimpostazioni della tastiera.

Consenti download automatico app Deselezionando questa casella, verrà disattivatoil download automatico delle app acquistate sualtri dispositivi. Non vi saranno ripercussioni sugliaggiornamenti delle app già esistenti.

Consenti Apple Music Gli utenti potranno accedere al catalogo di AppleMusic.

Consenti Apple Music Radio Gli utenti potranno accedere ad Apple Music Radio.

Consenti modifica delle impostazioniBluetooth

Gli utenti potranno modificare le impostazioniBluetooth.

Consenti creazione VPN Gli utenti potranno aggiungere configurazioni VPN.

Forza impostazione automatica didata e ora

L'impostazione Attiva Automatiche, che si trova sottoData & Ora in iOS verrà disattivata e non potrà essereattivata dall'utente.

Ritardo aggiornamento del softwareiOS

Il numero di giorni di ritardo applicati a unaggiornamento del software iOS dopo la sua data dirilascio.

Inserire un valore compreso tra 0 (nessun ritardo) e90.



Dati aziendali


Consenti la condivisione documentisolo fra app/account gestiti

Questa impostazione limita l'apertura di documenti conapp o account gestiti da Sophos Mobile, ad esempioun account e-mail aziendale.

Se nei propri dispositivi gli utenti hanno un account e-mail gestito da Sophos Mobile e app gestite da SophosMobile, gli allegati provenienti dagli account e-mailgestiti potranno essere aperti solo con app gestite.

In questo modo sarà possibile evitare che documentiaziendali possano essere aperti da app non gestite.

La disattivazione di questa impostazione disattiveràanche le due impostazioni successive. Verrà abilitatala condivisione dei contatti di account gestiti con appnon gestite.

Consenti alle app gestite di scrivere icontatti su account non gestiti

Le app gestite saranno in grado di scrivere i contattisugli account non gestiti.

Consenti alle app non gestite dileggere i contatti negli account gestiti

Le app non gestite saranno in grado di leggere icontatti negli account gestiti.

Consenti la condivise documenti solofra app/account non gestiti

Questa impostazione limita l'apertura di documenti conapp/account non gestiti da Sophos Mobile, ad esempioun account e-mail privato.

Se nei propri dispositivi gli utenti dispongono di unaccount e-mail e di app non gestiti da Sophos Mobile,gli allegati provenienti da account e-mail non gestitipotranno essere aperti solo dalle app non gestite.

In questo modo sarà possibile evitare che documentipersonali possano essere aperti da app gestite.

Forza la modalità non gestita per l'usodi documenti AirDrop

AirDrop verrà considerato un obiettivo di rilascio nongestito.

Consenti sincronizzazione con iCloudper le app gestite

Le app gestite potranno utilizzare la sincronizzazionecon iCloud.

Consenti backup dei libri aziendali Verrà effettuato il backup dei libri aziendali.

Consenti sincronizzazione di note edevidenziazioni di libri aziendali

Le note e le evidenziazioni dei libri aziendali verrannosincronizzate.



Applicazioni


Consenti l'utilizzo di iTunes Store Deselezionando questa casella, l'iTunes Store diverrànon disponibile e la relativa icona sarà rimossa dallaschermata principale. Gli utenti non potranno avereanteprime, effettuare acquisti o scaricare contenuti.

Consenti l'utilizzo di Safari Deselezionando questa casella, il browser web Safaridiverrà non disponibile e la relativa icona sarà rimossadalla schermata principale. Ciò impedirà agli utenti diaprire clip Web.

Consenti riempimento automatico Disattivando questa opzione, Safari non effettueràil riempimento automatico dei moduli web coninformazioni precedentemente inserite.

Forza allarmi anti-frode L’impostazione di sicurezza di Safari che prevede lavisualizzazione di un avviso all’utente quando visitaun sito web che si sospetta sia di phishing è sempreattiva.

Blocca pop-up Verrà attivato il blocco dei pop-up di Safari.

Consenti l’uso di JavaScript nelbrowser

Le pagine web potranno eseguire codice JavaScriptsul dispositivo.

Accetta cookies In questo campo è possibile specificare se Safaripossa accettare cookie.

Quando si autorizzano i cookie, è possibile specificarese debbano essere accettati solo i cookie del sitoattuale, solo quelli dei siti visitati in precedenza oppurequelli di tutti i siti.

Consenti modifiche per app all'utilizzodella rete dati

Gli utenti potranno modificare l'utilizzo della rete datiper app.

App consentite / App proibite È possibile aggiungere App consentite e Appproibite. Selezionare l'opzione desiderata dal primoelenco, e specificare nel secondo elenco il gruppo diapp contenente le app da autorizzare o da vietare.Per informazioni sulla creazione di gruppi di app,consultare la sezione Gruppi di app (pagina 303).



iCloud


Consenti backup Gli utenti potranno effettuare il backup dei propridispositivi su iCloud.

Consenti sincronizzazione documento Gli utenti potranno memorizzare documenti e datirelativi alla configurazione delle app in iCloud.

Consenti streaming di foto Gli utenti potranno caricare foto su Il mio streamingfoto.

NotaSe si deseleziona questa casella per vietare l’usode Il mio streaming foto, verranno rimossi da tuttii dispositivi anche le foto attualmente esistentiche sono state condivise tramite Il mio streamingfoto. Se non si dispone di altre copie, queste fotoandranno perse.

Consenti iCloud Photo Library Gli utenti potranno utilizzare la Libreria foto di iCloud.

Consenti streaming di foto condivise Gli utenti potranno invitare altri utenti a visualizzarei propri stream di foto, e potranno vedere quelli deglialtri.

Consenti sincronizzazione delkeychain iCloud

Gli utenti potranno utilizzare il portachiavi iCloud persincronizzare le password in tutti i propri iPhone, iPade Mac.

Deselezionando questa casella, i dati del portachiaviiCloud saranno memorizzati solo localmente neldispositivo.

Protezione e privacy


Consenti l'invio di dati diagnostici adApple

Deselezionando questa casella, le informazionidiagnostiche di iOS non verranno inviate ad Apple.

Consenti all'utente di accettarecertificati TLS non attendibili

Deselezionando questa casella, agli utenti non verràchiesto se desiderano considerare come attendibili icertificati che non possono essere verificati.

Questa impostazione è applicabile a Safari, contatti e-mail e account del calendario.




Considera app aziendali comeattendibili

Le app aziendali verranno considerate attendibili.

Consenti modifica della password Gli utenti potranno aggiungere, modificare o rimuoverela password del dispositivo.

Consenti modifiche all'account Deselezionando questa casella, gli utenti non potrannomodificare gli account. Il menù Accounts non saràdisponibile.

Consenti Touch ID per sbloccare ildispositivo

Deselezionando questa casella, il dispositivo non potràessere sbloccato con Touch ID.

Forza Limit Ad-Tracking Non verranno più autorizzate app di raccolta di datianonimi sugli utenti, utilizzate per le pubblicità mirate.

Forza backup cifrati Gli utenti dovranno cifrare i backup su iTunes.

Forza uso di reti Wi-Fi configurate I dispositivi potranno connettersi solamente alle retiWi-Fi che sono state configurate da un profilo diSophos Mobile.

Consenti AirPrint Gli utenti potranno inviare file alle stampanti AirPrint.

Consenti memorizzazione dellecredenziali di AirPrint

Il nome utente e la password di AirPrint potrannoessere memorizzati nel portachiavi di sistema.

Consenta individuazione dellestampanti AirPrint con iBeacon

Il dispositivo utilizzerà iBeacon per individuare idispositivi AirPrint.

ImportanteSe viene autorizzata questa opzione, è possibile chedispositivi AirPrint malevoli sferrino attacchi di phishingrivolti al traffico di rete.

Forza certificati attendibili per AirPrintsu TLS

AirPrint su TLS viene rifiutata se il dispositivo AirPrintutilizza un certificato non attendibile.

Consenti trasferimento Quick Start aun nuovo dispositivo

L'utente potrà trasferire dati dal dispositivo a unnuovo dispositivo con la funzionalità Inizia subitodell'Impostazione Assistita di iOS.

Consenti riempimento automaticodella password

Se questa casella di spunta viene deselezionata,verrà disattivata l'impostazione iOS Riempimentoautomatico delle password, che consente agli utenti diadoperare una password salvata su Safari o altre app.

Questa opzione disattiva anche il suggerimentoautomatico che consiglia di impostare password sicure.

Richiedi password Wi-Fi ai dispositivivicini

Il dispositivo richiederà password dai dispositivi vicinidurante l'impostazione di una connessione Wi-Fi.




Consenti condivisione della passwordcon AirDrop

Gli utenti potranno condividere le password con altriutenti tramite AirDrop dal servizio di gestione dellepassword di iOS.

Classificazioni del contenuto


Consenti musica e podcast espliciti Deselezionando questa casella, nell'iTunes Storeverranno nascosti tutti i contenuti musicali e videoespliciti. I contenuti espliciti vengono segnalati daiprovider dei contenuti (per es. case discografiche)quando inclusi nell'iTunes Store.

14.20.3 Configurazione dell'account di Exchange (Profilo deldispositivo iOS)
















OAuth L'account utilizza OAuth per l'autenticazione,il che significa che gli utenti effettuanol'autenticazione con le credenziali Microsoft.





Consenti spostamento Gli utenti potranno spostare messaggi e-mail daquesto account a un altro. Ciò consente ancheagli utenti di utilizzare un account diverso pereffettuare azioni di risposta o inoltro dei messaggiprovenienti da questo account.

Consenti sincronizzazione dell'indirizzo piùrecente

L’account verrà incluso nella sincronizzazionedegli indirizzi e-mail usati di recente con altridispositivi che adoperano iCloud.

Utilizza solo in E-mail L’account potrà essere utilizzato solo per inviaremessaggi dall’app di posta elettronica. Non potràessere scelto come account di invio per messaggicreati utilizzando altre app, per esempio Foto oSafari.

Certificato di identità Selezionare il certificato di identità per laconnessione al server di Exchange.

L’elenco include tutti i certificati provenientidalle configurazioni Certificato client del profiloattuale.

Abilita S/MIME Supporta lo standard di cifratura S/MIME.

Certificato per la firma

Certificato di cifratura

I certificati che vengono utilizzati per la firma e lacifratura delle e-mail.

Per selezionare un certificato, occorre primacaricarlo in una delle configurazioni Certificatoclient del profilo attualmente in uso.




Consenti all’utente di inviare e-mail noncifrate

L’utente potrà decidere se ciascuna e-mail inuscita debba essere cifrata oppure no.

14.20.4 Configurazione Wi-Fi (Profilo del dispositivo iOS)




Connetti automaticamente Effettua automaticamente la connessione alla rete didestinazione.

Rete nascosta La rete di destinazione non sarà né aperta névisibile.





• Nessuno

• WEP (personale)

• WPA/WPA2 (personale)

• Tutti (privati)

• WEP (Enterprise)

• WPA/WPA2 (Enterprise)

• Tutti (Enterprise)

Se si seleziona un tipo che include nel nome ladicitura Personale, verrà visualizzato un campoPassword. Inserire la password richiesta.

Se si seleziona un tipo che include nel nome ladicitura Enterprise, verranno visualizzate le schedeProtocolli, Autenticazione e Attendibile.

Nella scheda Protocolli, configurare le seguentiimpostazioni:

• Sotto Tipi di EAP consentiti, selezionare i metodi EAPda utilizzare per l’autenticazione. A seconda dei tipiselezionati in questa scheda, i valori nel campo Identitàinterna di questa scheda diverranno selezionabili.

• Sotto EAP-FAST, configurare le impostazioni dellecredenziali per l'accesso protetto EAP-FAST.

• In Versione minima TLS e Versione massima TLS,selezionare la versione minima e la versione massimadi TLS che è possibile utilizzare nell’autenticazioneEAP.

Nella scheda Autenticazione, configurare leimpostazioni di autenticazione relative al client:

• Nel campo Utente, inserire il nome utente per laconnessione alla rete Wi-Fi.

• Selezionare Richiedi password per tutte leconnessioni, se la password è sottoposta a query pertutte le connessioni e trasferita con l'autenticazione.

• Nel campo Password, inserire la password richiesta.

• Nell’elenco Certificato di identità, scegliere il certificatoper la connessione alla rete Wi-Fi.

NotaIl certificato da utilizzare deve essere indicato nellaconfigurazione Certificato client .

• Nel campo Identità esterna, inserire l'ID visibileesternamente (per TTLS, PEAP e EAP-FAST).

Nella scheda Attendibile, configurare leimpostazioni di autenticazione relative al server:

Selezionare i certificati attendibili dall'elenco.

NotaOccorre specificare i certificati in unaconfigurazione Certificato root.




Proxy Nell’elenco è possibile selezionare le impostazioniproxy per la connessione Wi-Fi:

• Nessun proxy

• Manualmente

• Automatico

Se si seleziona Manualmente, verranno visualizzatii campi Server e porta, Autenticazione ePassword. Inserire le informazioni proxy richieste.Se si seleziona Automatico, verrà visualizzato ilcampo URL server proxy. Inserire l'URL del serverproxy:

14.20.5 Configurazione Modalità applicazione singola (profilodel dispositivo iOS)

La configurazione Modalità applicazione singola permette di definire le impostazioni per la modalitàoperativa, che limita i dispositivi all'utilizzo di una singola app, evitando così che gli utenti possanopassare ad altre app.


Seleziona origine Selezionare come deve essere definita l’app per laModalità applicazione singola:

• Elenco app: Selezionare l’app da un elenco di tuttele app iOS disponibili.

• Personalizzata: Inserire manualmente l’ID delbundle dell’app.

Identificatore app L’app per la Modalità applicazione singola.

Selezionare l’app da un elenco o inserire un ID delbundle.

Disabilita touchscreen I movimenti di tocco non saranno disponibili per l’uso.

Disabilita rotazione Lo schermo non ruoterà.

Disabilita tasti volume I tasti volume non saranno disponibili per l’uso.

Disabilita interruttore Suoneria/Silenzioso

L’interruttore Suoneria/Silenzioso non sarà disponibileper l’uso.

Disabilita il tasto Standby/Riattiva Il tasto Standby/Riattiva non sarà disponibile per l’uso.

Disabilita blocco automatico La funzionalità di blocco automatico che sospendeil dispositivo dopo un periodo di inattività verràdisattivata.




Abilita VoiceOver VoiceOver sarà disponibile.

Abilita Zoom La funzionalità Zoom sarà disponibile.

Abilita Inverti colori La funzionalità Inverti colori sarà disponibile.

Abilita AssistiveTouch AssistiveTouch sarà disponibile.

Abilita Pronuncia selezione La funzionalità Pronuncia selezione sarà disponibile.

Abilita Audio mono La funzionalità Audio mono sarà disponibile.

VoiceOver La regolazione di VoiceOver sarà disponibile.

Zoom La regolazione dello Zoom sarà disponibile.

Inverti colori La regolazione di Inverti colori sarà disponibile.

AssistiveTouch La regolazione di AssistiveTouch sarà disponibile.

14.20.6 Configurazione Access Point Name (Profilo deldispositivo iOS)

Nella configurazione Access Point Name viene specificata una configurazione Access Point Name(APN) per i dispositivi iOS. Le configurazioni APN definiscono la modalità di connessione dei dispositivia una rete mobile.

NotaLa configurazione Access Point Name viene sostituita dalla configurazione Cellulare. VedereConfigurazione Cellulare (Profilo del dispositivo iOS) (pagina 179).

ImportanteSe queste impostazioni non sono corrette, il dispositivo non potrà accedere ai dati utilizzando larete del vettore. Per annullare le modifiche apportate alle impostazioni, sarà necessario rimuovereil profilo dal dispositivo.


APN L’APN citato dal dispositivo quando apre unaconnessione GPRS con l’operatore di rete.





Nome utente per punto di accesso Nome utente del punto di accesso.

NotaiOS supporta nomi utente APN aventi unmassimo di 64 caratteri.

Password per punto di accesso Password per il punto di accesso.

NotaiOS supporta password APN aventi unmassimo di 64 caratteri.

Server proxy e porta L'indirizzo e il numero di porta del server proxy.

14.20.7 Configurazione Roaming/Hotspot (Profilo del dispositivoiOS)

La configurazione Roaming/Hotspot permette di definire le impostazioni per il roaming e per glihotspot personali.

NotaGli utenti possono cambiare queste impostazioni in ogni memento.


Abilita roaming voce Il roaming voce sarà disponibile.

Abilita roaming dati Il roaming dati sarà disponibile.

Abilita Hotspot personale L’utente potrà configurare il dispositivo in modoche possa fungere da hotspot personale.

14.20.8 Configurazione Cellulare (Profilo del dispositivo iOS)

La configurazione Cellulare permette di definire le impostazioni della rete cellulare per i dispositivi iOS.

NotaNon è possibile installare una configurazione Cellulare su un dispositivo, se è già presente unaconfigurazione Access Point Name.




Autenticazione PAP

CHAP

APN L’APN citato dal dispositivo quando apre unaconnessione GPRS con l’operatore di rete.


Nome utente per punto di accesso Nome utente del punto di accesso.

NotaiOS supporta nomi utente APN aventi unmassimo di 64 caratteri.

Password per punto di accesso Password per il punto di accesso.

NotaiOS supporta password APN aventi unmassimo di 64 caratteri.

Server proxy e porta L'indirizzo e il numero di porta del server proxy.

14.20.9 Configurazione delle regole di utilizzo per la rete (profilodel dispositivo iOS)

La configurazione delle Regole di utilizzo per la rete consente di specificare il modo in cui le appgestite sono autorizzate a usare le reti mobili.

Regole generali

In Regole per tutte le app gestite, immettere le impostazioni per le app gestite in generale.


Consenti uso rete dati Le app gestite saranno autorizzate a utilizzare lacomunicazione dei dati tramite reti mobili.

Consenti roaming dati Le app gestite saranno autorizzate a utilizzare lacomunicazione dei dati quando il dispositivo si trova inroaming su una rete mobile estera.



Eccezioni

Le eccezioni assumeranno la priorità rispetto alle regole generali. Utilizzare Aggiungi eccezioneper definire regole da applicare specificamente a un gruppo di app.


Gruppo di app Seleziona gruppo di app.

L’eccezione verrà applicata a tutte le app gestite di questogruppo.

Consenti uso rete dati Le app gestite del gruppo di app selezionato sarannoautorizzate a utilizzare la comunicazione dei dati tramitereti mobili.

Consenti roaming dati Le app gestite del gruppo di app selezionato sarannoautorizzate a utilizzare la comunicazione dei dati quando ildispositivo si trova in roaming su una rete mobile estera.

NotaNon è possibile definire eccezioni multiple per lo stesso gruppo di app.

14.20.10 Configurazione VPN (Profilo del dispositivo iOS)



Nome connessione Il nome della connessione visualizzato suldispositivo.

Tipo di connessione Il tipo di connessione VPN:


• Cisco Legacy AnyConnect

• IPsec (Cisco)

• F5

• Check Point

• SSL/TLS personalizzato

Nella pagina VPN vengono visualizzati campidiversi a seconda del tipo di connessione quiselezionato.

Identificatore (formato DNS inverso) L'identificatore personalizzato in formato DNSinverso.





Account L'account utente per l'autenticazione dellaconnessione.

Impostazioni terze parti Se il vendor ha specificato proprietà diconnessione personalizzate, è possibile inserirlein questo campo.

Per immettere una proprietà, cliccare suAggiungi, e successivamente specificare laChiave e il Valore della proprietà nella casella didialogo.

Invia tutto il traffico tramite VPN L’intero traffico viene inviato tramite VPN.

Gruppo Il gruppo richiesto per l'autenticazione dellaconnessione.

Autenticazione utente Il tipo di autenticazione utente per laconnessione:

• Password

Se si seleziona questa opzione, il campoPassword viene visualizzato sotto il campoAutenticazione utente. Inserire la passwordper l'autenticazione.

• Certificato

Se si seleziona questa opzione, il campoCertificato viene visualizzato sotto il campoAutenticazione utente. Selezionare uncertificato.




Autenticazione dispositivo Il tipo di autenticazione del dispositivo:

• Chiavi (segreto condiviso)/Nome gruppo

Se si seleziona questa opzione, i campiNome gruppo, Chiavi (segreto condiviso),Utilizza autenticazione ibrida e Richiedipassword vengono visualizzati sottoil campo Autenticazione dispositivo.Inserire le informazioni di autenticazionerichieste nei campi Nome gruppo e Chiavi(segreto condiviso). Selezionare Utilizzaautenticazione ibrida e quindi Richiedipassword.

• Certificato

Se si seleziona questa opzione, i campiCertificato e Includi PIN utente vengonovisualizzati sotto il campo Autenticazionedispositivo. Nell’elenco Certificato,selezionare il certificato richiesto.Selezionare Includi PIN utente perincludere il PIN utente nell'autenticazione deldispositivo.

Proxy Le impostazioni proxy per la connessione:

• Nessun proxy

• Manualmente

Se si seleziona questa opzione, venganovisualizzati i campi Server e porta,Autenticazione e Password. Nel campoServer e porta, inserire un indirizzo e unaporta del server proxy validi. Nel campoAutenticazione, inserire il nome utenteper la connessione al server proxy. Nelcampo Password, inserire la password perla connessione al server proxy.

• Automatico

Se si seleziona questa opzione, vienevisualizzato il campo URL server proxy. Èpossibile inserire in questo campo l'URL delserver con impostazioni proxy.

Tipo di provider Il tipo di connessione VPN.

• Proxy app: Il traffico di rete vieneinviato attraverso un tunnel VPN a livelloapplicazione.

• Tunnel pacchetti: Il traffico di rete vieneinviato attraverso un tunnel VPN a livellorete.



14.20.11 Configurazione per app VPN (profilo del dispositivoiOS)

La configurazione Per app VPN consente di definire le impostazioni della VPN per le singole app.

Le app possono essere configurate in modo da connettersi automaticamente a una VPN quandovengono avviate. È per esempio possibile verificare che i dati trasmessi da app gestite viaggino viaVPN.

Dopo aver impostato le configurazioni Per app VPN, è possibile selezionare una configurazionenella pagina Modifica pacchetto di un’app. Vedere Configurazione per app VPN e impostazioni perapp iOS (pagina 301).






• F5

• Check Point







Per immettere una proprietà, cliccare suAggiungi, e successivamente specificare laChiave e il Valore della proprietà nella caselladi dialogo.







• Password

Se si seleziona questa opzione, il campoPassword viene visualizzato sotto ilcampo Autenticazione utente. Inserire lapassword per l'autenticazione.

• Certificato



• Nessun proxy

• Manualmente


• Automatico








Domini Safari In questo campo è possibile inserire un elencodi stringhe di dominio. Utilizzare una nuova rigaper ogni stringa di dominio.

Quando un dominio che trova corrispondenzacon una delle stringhe di dominio viene aperto inSafari o in un’altra app browser, la connessioneVPN verrà attivata automaticamente.

Il comportamento in caso di corrispondenza alleregole è il seguente:

• I punti all'inizio e alla fine vengono ignorati.Ad esempio, la stringa .example.come la stringa example.com trovanocorrispondenza con gli stessi domini.

• Ciascun componente della stringadeve trovare corrispondenza con unintero componente di dominio. Adesempio, la stringa example.comtroverà corrispondenza con il dominiowww.example.com, ma non conwww.myexample.com.

• Le stringhe con un solo componentetrovano corrispondenza solamente con ildominio specifico in questione. Ad esempio,la stringa example troverà corrispondenzacon il dominio example, ma non conwww.example.com.

14.20.12 Configurazione Clip web (Profilo del dispositivo iOS)

La configurazione Clip web consente di definire clip web da aggiungere alla schermata principaledei dispositivi degli utenti. Le clip Web consentono accesso rapido alle pagine web preferite. È anchepossibile aggiungere clip Web con un numero telefonico di supporto, in modo tale, per esempio, dapoter contattare rapidamente l'helpdesk.


Descrizione Una descrizione della clip web.

URL L’indirizzo web della clip web.

Può essere rimosso. Deselezionando questa casella, l’utente nonpotrà rimuovere la clip web. Non potrà esserecancellato dal dispositivo, a meno che nonvenga rimosso il profilo installato.

Schermo intero La clip Web viene aperta a pieno schermo neldispositivo. Una clip Web a pieno schermo aprel'URL come app web.




Icona Selezionare un'immagine da utilizzare comeicona del Clip web nella schermata iniziale.Deve essere un'immagine PNG, GIF o JPEGcon file dalle dimensioni massime di 1 MB.

L'immagine viene ritagliata a forma di quadratoe ridimensionata in base alla risoluzione deldisplay. Per risultati ottimali, si consiglia diutilizzare un'immagine dalle dimensioni di180 px X 180 px.

NotaQuando nel codice HTML della pagina webviene definita una favicon, il dispositivo potrebbevisualizzare tale favicon come icona web clip.Questo fenomeno si verifica solo per alcunepagine web e dipende da come viene configuratala favicon nel codice della pagina web inquestione.

14.20.13 Configurazione Sfondo (Profilo del dispositivo iOS)

La configurazione Sfondo permette di definire le immagini di sfondo per la schermata di blocco e/o laschermata iniziale dei dispositivi iOS.


Applica a Selezionare se utilizzare l’immagine per la Schermata di blocco,la Schermata iniziale, o entrambe.

Immagine Selezionare un'immagine PNG o JPEG con file dalle dimensionimassime di 5 MB da usare come sfondo.

iOS taglia e ridimensiona l'immagine secondo necessità. Perrisultati ottimali, utilizzare le seguenti dimensioni per l'immagine(in pixel):

• 640 × 1136 (iPhone 5)

• 750 × 1334 (iPhone 6/7)

• 1242 × 2208 (iPhone 6/7 Plus)

• 1536 × 2048 (iPad, iPad mini, iPad Air)

• 2048 × 2732 (iPad Pro)

NotaGli utenti possono modificare lo sfondo quando desiderano.



14.20.14 Configurazione Filtro contenuto web (Profilo deldispositivo iOS)

La configurazione Filtro contenuto web permette di definire gli URL bloccati e gli URL autorizzati conbookmark (segnalibri).


URL bloccati Selezionando questa casella, è possibiledefinire un elenco di URL bloccati a cui non èconsentito accedere dai dispositivi.

Cliccare su Avanti per visualizzare la paginaFiltro contenuto Web. In questa pagina èpossibile aggiungere URL individuali.

Utilizzare una nuova riga per ogni URL.

URL consentiti con segnalibri Selezionando questa casella, è possibiledefinire gli URL autorizzati con segnalibri daaggiungere al browser Safari nei dispositivi.Tutti gli altri siti vengono bloccati.

Cliccare su Avanti per visualizzare lapagina Filtro contenuto Web. Cliccare suAggiungi per aggiungere come bookmark URLindividuali.

Blocca contenuti per soli adulti Nella pagina Filtro contenuto Web, questaopzione può essere utilizzata per attivareun filtro Apple che blocchi i contenuti persoli adulti. Ad esempio, pagine web checontengono linguaggio volgare o sessualmenteesplicito.

14.20.15 Configurazione HTTP proxy globale (Profilo deldispositivo iOS)









Autenticazione Il nome utente per la connessione al server proxy.

Password La password per la connessione al server proxy.


14.20.16 Configurazione Domini gestiti (Profilo del dispositivoiOS)

La configurazione Domini gestiti permette di definire i domini gestiti per i dispositivi iOS.

Domini e-mail

Immettere i domini e-mail gestiti dalla propria organizzazione. I messaggi e-mail provenienti da unindirizzo che non trova corrispondenza con uno dei domini configurati saranno segnalati come fuoridominio nell’app Mail.

Domini Web

I file scaricati da uno dei domini configurati vengono elaborati come documenti gestiti. Se si attiva larestrizione Consenti la condivisione documenti solo fra app/account gestiti, questi documentipotranno essere aperti solamente dalle app gestite.

Per informazioni sulle app gestite, vedere App gestite per iOS (pagina 296).

NotaSe la voce relativa a un dominio Web gestito include un numero di porta, solo gli indirizzi chespecificano tale porta saranno considerati gestiti. Solo le porte standard verranno altrimenticonsiderate gestite (porta 80 per http e 443 per https).

14.20.17 Configurazione di CalDAV (Profilo del dispositivo iOS)

La configurazione di CalDAV consente di impostare la sincronizzazione dei dati del calendario conun server CalDAV. Può essere utilizzata, ad esempio, per sincronizzare Google Calendar con undispositivo iOS.


Nome account Il nome visualizzato nell’account CalDAV del dispositivo.

Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numerodi porta del server CalDAV.

Ad esempio, per Google Calendar, inserire:

calendar.google.com:443




URL principale Se richiesto dal server CalDAV, inserire l’URL principaledella risorsa calendario.

Ad esempio, per effettuare la sincronizzazione con uncalendario diverso da quello principale in un accountGoogle, inserire:

https://apidata.googleusercontent.com/caldav/ v2/id_calendario/user

ove id_calendario è l’ID del calendario con ilquale si desidera effettuare la sincronizzazione.Nell’applicazione web Google Calendar, l’ID del calendarioviene visualizzato nelle impostazioni del calendario.Consultare la guida di Google Calendar per informazionipiù dettagliate.

Nome utente, Password Le credenziali di accesso per l’account CalDAV.

Ad esempio, per Google Calendar, inserire le credenzialidell’account Google.

SSL/TLS La connessione al server CalDAV è protetta tramite SSL oTLS (a seconda della compatibilità del server).


14.20.18 Configurazione di CardDAV (Profilo del dispositivoiOS)

La configurazione di CardDAV consente di impostare la sincronizzazione dei dati dei contatti conun server CardDAV. Può essere utilizzata, ad esempio, per sincronizzare i Contatti Google con undispositivo iOS.


Nome account Il nome visualizzato nell’account CardDAV del dispositivo.

Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numerodi porta del server CardDAV.

Ad esempio, per i Contatti Google, inserire:

google.com




URL principale Se richiesto dal server CardDAV, inserire l’URL principaledella risorsa contatti.

L’API CardDAV di Google supporta ad es. i seguenti URLprincipali:

https://www.googleapis.com/carddav/ v1/principals/[email protected]

ove nome_account è il nome dell’account Google.

Nome utente, Password Le credenziali di accesso per l’account CardDAV.

Ad esempio, per i Contatti Google, inserire le credenzialidell’account Google.

SSL/TLS La connessione al server CardDAV è protetta tramite SSLo TLS (a seconda della compatibilità del server).


14.20.19 Configurazione IMAP/POP (Profilo del dispositivo iOS)

La configurazione IMAP/POP permette di aggiungere un account e-mail IMAP o POP al dispositivoiOS.


Nome account Il nome visualizzato nell’account e-mail del dispositivo.

Tipo di account Il tipo di server di posta per le e-mail in entrata (IMAP oPOP).

Nome utente visualizzato Il nome utente che viene visualizzato per le e-mail inuscita.

Utilizzare la variabile %_USERNAME_% per fare riferimentoal nome dell’utente assegnato al dispositivo.


Utilizzare la variabile %_EMAILADDRESS_% per fareriferimento all’indirizzo e-mail dell’utente assegnato aldispositivo.

Consenti spostamento Gli utenti potranno spostare messaggi e-mail da questoaccount a un altro. Ciò consente anche agli utenti diutilizzare un account diverso per effettuare azioni dirisposta o inoltro dei messaggi provenienti da questoaccount.

Consenti sincronizzazionedell'indirizzo più recente

L’account verrà incluso nella sincronizzazione dell’elencodegli indirizzi più recenti.




Utilizza solo in E-mail L’account potrà essere utilizzato solo per inviare messaggidall’app di posta elettronica. Non potrà essere scelto comeaccount di invio per messaggi creati utilizzando altre app,per esempio Foto o Safari.

Consenti ricezione posta Consente l’uso di Apple Mail Drop per questo account.

Abilita S/MIME Supporta lo standard di cifratura S/MIME.

Certificato per la firma

Certificato di cifratura

I certificati che vengono utilizzati per la firma e la cifraturadelle e-mail.

Per selezionare un certificato, occorre prima caricarloin una delle configurazioni Certificato client del profiloattualmente in uso.

Consenti all’utente di inviare e-mailnon cifrate

L’utente potrà decidere se ciascuna e-mail in uscita debbaessere cifrata oppure no.

E-mail in arrivo

Server di posta e porta Il nome host o indirizzo IP e il numero di porta del serverper le e-mail in arrivo (server di posta in arrivo).

Nome utente Il nome utente da utilizzare per connettersi al server diposta in arrivo.

Tipo di autenticazione Il metodo di autenticazione da utilizzare per connettersi alserver di posta in arrivo.

Password La password da utilizzare per connettersi al server diposta in arrivo (se richiesto).

SSL/TLS La connessione al server di posta in arrivo è protettatramite SSL o TLS (a seconda della compatibilità delserver).

E-mail in uscita

Server di posta e porta Il nome host o indirizzo IP e il numero di porta del serverper le e-mail in uscita (server di posta in uscita).

Nome utente Il nome utente da utilizzare la connessione al server diposta in uscita.

Tipo di autenticazione Il metodo di autenticazione da utilizzare per laconnessione al server di posta in uscita.

Password La password da utilizzare per la connessione al server diposta in uscita (se richiesto).

Utilizza la stessa password delle e-mail in arrivo

Utilizza la password specificata per le e-mail in arrivo.




SSL/TLS La connessione al server di posta in uscita è protettatramite SSL o TLS (a seconda della compatibilità delserver).

14.20.20 Configurazione dell’account Google (profilo deldispositivo iOS)

La configurazione dell'Account Google permette di impostare un account Google. Dopo averassegnato la configurazione a un dispositivo, verrà richiesto all’utente di autenticarsi per l’accountGoogle. Dopo l’autenticazione, l’account Google verrà impostato sul dispositivo e l’utente sarà in gradodi abilitare i servizi di Google.


Indirizzo e-mail Google L’indirizzo e-mail completo dell’account Google.

Descrizione dell'account Una descrizione opzionale dell’account. Questovalore viene visualizzato nelle app Mail eImpostazioni.

Nome utente Il nome dell’utente. Questo valore viene utilizzatoper i messaggi e-mail in uscita.

14.20.21 Configurazione Single sign-on (profilo del dispositivoiOS)

La configurazione Single sign-on permette di definire le impostazioni di single sign-on per le app diterze parti.


Nome Un nome leggibile per l'account.

Nome principlae Kerberos Il nome principale di Kerberos.

Se non viene inserito un valore, l’utente dovràspecificare il nome durante l’installazione delprofilo.

Area autenticazione Il nome dell'area di autenticazione di Kerberos.

Il nome deve essere inserito utilizzandocaratteri maiuscoli.




URL Un elenco di prefissi URL con cui occorretrovare corrispondenza per poter utilizzarel’account con l’autenticazione Kerberos suHTTP.

I valori devono iniziare con http:// ohttps://

Se un valore non termina con /, il carattere /viene aggiunto da Sophos Mobile.

Per i dispositivi con iOS 9.0 o versionisuccessive, è possibile utilizzare un singoloasterisco (*) per trovare corrispondenzacon tutti i valori. Per esempio, https://*.example.com/ troverà corrispondenzacon https://www.example.com/ o con https://m.example.com/.

Identificatori app Un elenco di ID bundle delle app.

I valori devono essere corrispondenze esatte(ad es. com.sophos.smsec), o prefissi,utilizzando i caratteri .* al termine della stringa(ad es. com.sophos.*).

14.20.22 Configurazione di AirPrint (profilo del dispositivo iOS)

La configurazione AirPrint consente di aggiungere stampanti AirPrint all’elenco di stampanti AirPrintdell’utente.


Indirizzo IP L’indirizzo IP della stampante AirPrint.

Percorso risorsa Il percorso risorsa associato alla stampante.

Esempi:

• printers/<modello stampante>

• ipp/print

Porta La porta di ascolto della stampante AirPrint.

Force TLS Le connessioni AirPrint verranno protette conTLS.

14.20.23 Configurazione Certificato root (Profilo del dispositivoiOS)






14.20.24 Configurazione Certificato client (Profilo del dispositivoiOS)




14.20.25 Configurazione di SCEP (Profilo del dispositivo iOS)





Nome CA Un nome comprensibile per l'Autorità dicertificazione. Questo nome può essere peresempio utilizzato per distinguere fra istanze.






Il valore inserito (i segnaposto verranno sostituitidai dati effettivi) deve essere un valido nomeX.500.

Per esempio:


• Inserire CN=%_DEVPROP(SerialNumber)_% perspecificare un iPhone o iPad.








Nome di accesso utente di AD Il valore Nome di accesso utente impostato inActive Directory, ovvero il Nome dell’entità utente(User Principal Name, UPN) dell’utente.



Nuovi tentativi Il numero di tentativi che verranno effettuati se ilserver invia una risposta di tipo in sospeso.

Ritardo del nuovo tentativo Il numero di secondi tra un tentativo e un altro.

Dimensioni chiave Le dimensioni della chiave pubblica nel certificatoemesso.


Utilizza come firma digitale Quando è selezionata questa casella, è possibileutilizzare la chiave pubblica come firma digitale.




Utilizza per la cifratura Quando è selezionata questa casella, è possibileutilizzare la chiave pubblica per la cifratura deidati.

14.20.26 Certificato del dispositivo Duo (profilo del dispositivoiOS)

La configurazione Certificato dispositivo Duo consente di abilitare i dispositivi a richiedere uncertificato proveniente dal server SCEP di Duo Security. Se questo certificato è installato in undispositivo, l’app iOS Duo Mobile classificherà il dispositivo come attendibile.

Le impostazioni richieste sono comuni per tutti gli account di Duo Security. I valori prepopolati nondevono essere modificati.

14.21 Configurazioni per i criteri di SophosContainer per iOSUn criterio di Sophos Container permette di configurare le impostazioni relative alle seguenti app:Sophos Secure Email e Sophos Secure Workspace.

Per informazioni su come creare un criterio di Sophos Container, consultare la sezione Creazione diun profilo o di un criterio (pagina 88).

14.21.1 Configurazione generale (Criterio di Sophos Containerper iOS)

La configurazione Generale permette di definire le impostazioni per tutte le app Sophos Container, seapplicabili.


Abilita password di Sophos Container Gli utenti devono inserire una passwordaggiuntiva prima di poter avviare un'appSophos Container. Tale password deve esseredefinita al primo avvio dell'app container,dopo l'applicazione delle impostazioni diconfigurazione. Questa password vieneapplicata a tutte le app container.




Complessità della password Il livello minimo di complessità della passwordrichiesto per la password di Sophos Container.Password più complesse e quindi più sicuresono sempre consentite. Le password (formateda un insieme cifre e caratteri alfabetici)vengono comunemente considerate più sicurerispetto a PIN (formati solo da cifre).

• Qualsiasi: non è applicata alcunarestrizione alle password di SophosContainer.

• PIN di 4 cifre

• PIN di 6 cifre





Nascondi sempre i caratteri nei campi diinserimento della password

I caratteri nei campi di inserimento dellapassword non vengono visualizzati per pochiattimi prima di essere occultati.

Durata della password in giorni Il numero di giorni di validità di una passwordprima che venga richiesto agli utenti dimodificarla.

Tentativi di accesso non riusciti prima delblocco

Il numero di tentativi di accesso non riuscitiche vengono tollerati prima di implementare ilblocco delle app container. Una volta bloccatele app, lo sblocco dovrà essere effettuato daun amministratore, oppure, se consentito, dagliutenti attraverso il Portale self-service di SophosCentral.

Consenti impronta digitale Gli utenti potranno utilizzare la propria improntadigitale per sbloccare l’app.

Periodo di tolleranza in minuti Il periodo di tempo entro cui non è richiestol’inserimento di alcuna password di SophosContainer, quando l'app contenitore torna acomparire in primo piano.

Il periodo di tolleranza è applicabile a tutte leapp container. Durante il periodo di tolleranzaè anche possibile passare da un'app a un'altrasenza dover inserire la password.




Ultima connessione server Il periodo di tempo massimo concesso agliutenti per utilizzare un’app Sophos Containersenza connettersi al server di Sophos Mobile.

Quando un’app Sophos Container è attiva,ma non riesce a connettersi al server entro ilperiodo di tempo definito, verrà visualizzatauna schermata di blocco. L'unico modo adisposizione degli utenti per sbloccare l'appsarà toccare Prova di nuovo nella schermatadi blocco. L’app effettuerà quindi un tentativodi connessione al server. Se sarà possibilestabilire una connessione col server, l'appverrà sbloccata. In caso contrario verrà negatol'accesso.

• In accesso: la connessione al server è semprerichiesta e l'app viene bloccata ogniqualvolta siaimpossibile contattare il server.

• 1 ora: È necessario stabilire una connessione alserver quando l'app viene attivata almeno un'oradopo l'ultimo tentativo riuscito di connessione alserver.

• 3 ore

• 6 ore

• 12 ore

• 1 giorno

• 3 giorni

• 3 giorni

• Nessuno: non è richiesto alcun contatto regolarecol server.




L'accesso off-line viene avviato senzaconnessione server

In questo campo è possibile definire lafrequenza con cui gli utenti possono avviare leapp Sophos Container senza connessione alserver.

NotaQuesta impostazione richiede l'attivazionedella richiesta di password di SophosContainer.

Il conteggio viene incrementato ogniqualvoltagli utenti inseriscano la password di SophosContainer. Se il conteggio supera il numeroprefissato, viene visualizzata la stessaschermata di blocco descritta per l'impostazioneUltima connessione server. Se viene stabilitauna connessione col server di Sophos Mobile, ilconteggio verrà azzerato.

• Illimitato: non è richiesta alcuna connessione alserver.

• 0: impossibile avviare l'app senza connessione alserver.

• 1: dopo un primo avvio riuscito dell'app, ènecessario stabilire una connessione al server.

• 3

• 5

• 10

• 20

Jailbreak consentito Le app container avranno l’autorizzazione dieseguirsi su dispositivi che sono stati sottopostia jailbreak.

Vincoli per l'uso dell'app

Con questa opzione è possibile definire vincoli relativi all'uso delle app Sophos Container. Cliccaresu Aggiungi per inserire vincoli.

Recinti virtuali Consente di aggiungere latitudine e longitudine,e un raggio all'interno del quale è consentitoutilizzare le app Sophos Container.

Intervalli temporali Consente di specificare un orario di inizio e unorario di fine, entro i quali è consentito utilizzarele app Sophos Container. È anche possibilespecificare i giorni della settimana in cui siaconsentito adoperare le app.




Recinti Wi-Fi Se si seleziona Connessione Wi-Fiobbligatoria, Sophos Container viene bloccatoquando non è presente una connessione Wi-Fiattiva.

Se si aggiungono reti Wi-Fi all’elenco, SophosContainer verrà bloccato quando il dispositivosi connette a una rete Wi-Fi che non è inclusanell’elenco.

ImportanteSi consiglia di non utilizzare i recinti Wi-Fi comeunico meccanismo di sicurezza, in quanto inomi delle rete Wi-Fi sono facilmente soggetti aspoofing.

14.21.2 Configurazione E-mail aziendale (Criterio di SophosContainer per iOS)

La configurazione E-mail aziendale permette di definire le impostazioni utente per Microsoft ExchangeServer. Queste impostazioni vengono applicate all’app Sophos Secure Email, se è installata all’internodi Sophos Container.







Se viene inserita la variabile%_EMAILADDRESS_%, il server la sostituirà conl’indirizzo e-mail effettivo.


E-mail di contatto del Supporto L’indirizzo e-mail da utilizzare come indirizzo e-mail per l’opzione "Contatta il supporto".




Usa campi di testo sicuri Il contenuto dei campi di immissione verràprotetto. Le funzionalità di completamentoautomatico e correzione automatica sarannodisattivate nell’app Sophos Secure Email, perimpedire che parole di natura sensibile venganosalvate nella memoria del dispositivo.

Esporta contatti verso il dispositivo Agli utenti verrà consentito di esportare etrasferire i contatti di Exchange dotati di numerodi telefono nei contatti del dispositivo locale perconsentire l’identificazione dei contatti aziendalinelle chiamate in entrata.

Sophos Secure Email manterrà sincronizzate leinformazioni.

Notale informazioni di contatto locali vengonoeliminate automaticamente in questesituazioni:

• Quando viene rimossa laconfigurazione E-mail aziendale dalcriterio di Sophos Container (è richiestoil riavvio dell'app Secure Email).

• Quando viene rimosso SophosContainer dal dispositivo.

• Quando viene annullata la registrazionedel dispositivo a Sophos Mobile.

Identificazione chiamata Le informazioni sui contatti di Sophos SecureEmail possono essere utilizzate per identificarei contatti di un’azienda nelle telefonate inarrivo, senza bisogno di esportare i contatti diSophos Secure Email e salvarli nella rubrica deldispositivo.

Per utilizzare questa funzionalità, gli utentidevono attivare le seguenti impostazioni deldispositivo:

• Nella app Impostazioni: Telefono > Bloccochiamate e identificazione > Email

• Nella app Sophos Secure Email: Impostazioni >Contatti > Identificazione chiamata




Notifiche Il tipo di notifica per le nuove e-mail:

• Sistema: Le notifiche vengono gestite daiOS. Non includono dettagli quali Mittente origa Oggetto.

• App: Le notifiche vengono gestite dallaapp Sophos Secure Email. È possibileselezionare la quantità di dettagli davisualizzare. Quando la app non è inesecuzione, non vengono visualizzatenotifiche.

• Nessuno: Non vengono visualizzatenotifiche.

Questa impostazione influisce anche suipromemoria degli eventi:

• Sistema, Nessuno: I promemoria deglieventi includono solamente informazionirelative all'ora.

• App: I promemoria degli eventi includonoinformazioni relative a ora, posizione e titolo.

Nega copia negli appunti Gli utenti non potranno copiare o tagliare eincollare testo dall’app Sophos Secure Email.

Apri allegati In tutte le app: gli allegati potranno essereaperti in tutte le app che supportano il formato difile dell’allegato.

Nelle app container: gli allegati verrannocifrati con una chiave del dispositivo e potrannoessere aperti solamente in Sophos SecureWorkspace. L’azione Apri in non viene bloccata.

Dimensioni massime e-mail I messaggi e-mail di dimensioni superiori aquelle selezionate (allegati inclusi) non verrannorecuperati dal server di Exchange.


14.21.3 Configurazione Documenti aziendali (Criterio di SophosContainer per iOS)

La configurazione Documenti aziendali permette di definire le impostazioni per la funzionalitàDocumenti aziendali dell’app Sophos Secure Workspace.



Configura provider di archiviazione

Per tutti i provider di archiviazione è possibile definire separatamente le seguenti impostazioni:


Abilita Il provider di archiviazione è disponibilenell’app.

Off-line Gli utenti possono aggiungere file dal providerdi archiviazione all'elenco Preferiti della app peruso off-line.

Apri con (cifrato) Gli utenti possono condividere file cifrati conaltre app utilizzando Apri con.

Apri con (non cifrato) Gli utenti possono condividere file non cifraticon altre app utilizzando Apri con.

Appunti Gli utenti possono copiare parti di undocumento e incollarle in altre app.

Impostazioni dei provider aziendali

Per i provider Egnyte e WebDAV, definito anche provider aziendale, è possibile definire in manieracentrale le impostazioni e le credenziali di accesso dei server. Tali credenziali non potranno esseremodificate dagli utenti.

Le impostazioni relative alle credenziali non definite centralmente potranno essere scelte dagliutenti, all'interno della schermata delle credenziali del provider dell'app.

È per esempio possibile definire centralmente l'account server e utente da utilizzare, ma è altempo stesso possibile non definire il campo relativo alla password. Gli utenti dovranno essere aconoscenza della password per poter accedere al provider di archiviazione.


Nome Il nome del provider che viene visualizzatonell’app Sophos Secure Workspace.

Server In questo campo inserire:

• L'URL della cartella principale nel serverWebDAV di Documenti aziendali.

• L'URL della cartella principale nel server diEgnyte.

• L'URL della cartella principale nel server diWebDAV.

Utilizzare il seguente formato: https://server.azienda.com




Nome utente Il nome utente per il server applicabile. È anchepossibile adoperare la variabile %_USERNAME_%.

Password La password per l’account applicabile.

Carica cartella La cartella di upload relativa a un determinatoaccount.

Altre impostazioni


Abilita documenti Attiva la funzionalità Documenti per ladistribuzione sicura dei documenti aziendali.

Complessità della passphrase Il livello minimo richiesto di complessitàdelle passphrase per le chiavi di cifratura.Passphrase più complesse e quindi più sicuresono sempre consentite.

È possibile selezionare le seguentiimpostazioni:






14.21.4 Configurazione Browser aziendale (Criterio di SophosContainer per iOS)

La configurazione Browser aziendale permette di definire le impostazioni per la funzionalità Browseraziendale dell’app Sophos Secure Workspace.

Il Browser aziendale consente di accedere in maniera sicura alle pagine intranet aziendali, e ad altrepagine esplicitamente autorizzate. È possibile definire domini e segnalibro all’interno di un dominio.

Ciascun segnalibro appartiene a un dominio specifico. Quando si aggiunge un segnalibro, se la vocerelativa a un dominio non esiste, verrà creata automaticamente.



Impostazioni del dominio


URL Il dominio che si desidera autorizzare.

Consenti copia/incolla Spuntando questa casella si consentirà agliutenti di copiare e incollare testo dal Browseraziendale ad altre app.

Consenti apri con Agli utenti verrà consentito di scaricare allegati,o di inoltrarli ad altre app.

Consenti salva password Agli utenti verrà permesso di salvare le propriepassword nel Browser aziendale.

Impostazioni del segnalibro


Nome Il nome del segnalibro.

URL L’indirizzo web del segnalibro.

14.21.5 Configurazione Certificato root (Criterio di SophosContainer per iOS)

La configurazione Certificato root permette di installare un certificato root sui dispositivi. Questocertificato è disponibile per le app Sophos Secure Email e Sophos Secure Workspace, se sonoinstallate nel Sophos Container.



14.21.6 Configurazione Certificato client (Criterio di SophosContainer per iOS)

La configurazione Certificato client permette di installare un certificato client sui dispositivi. Questocertificato è disponibile nell'app Sophos Secure Workspace, se è installata all'interno di SophosContainer.





14.21.7 Configurazione di SCEP (Criterio di Sophos Containerper iOS)

La Configurazione di SCEP serve a permettere ai dispositivi di richiedere certificati da un’autorità dicertificazione utilizzando il Simple Certificate Enrollment Protocol (SCEP). Questi certificati vengonoresi disponibili nell’app Sophos Secure Workspace, se è installata all’interno di Sophos Container.













Per esempio:


• Inserire CN=%_DEVPROP(SerialNumber)_% perspecificare un iPhone o iPad.




















14.22 Configurazioni per i criteri di Mobile Securityper iOSI criteri di Mobile Security consentono di configurare l’app Sophos Mobile Security.

Per informazioni su come creare un criterio di Mobile Security, vedere Creazione di un profilo o di uncriterio (pagina 88).

14.22.1 Configurazione della rete (criterio Sophos MobileSecurity per iOS)

La configurazione Rete consente di gestire le impostazioni di rete dell’app Sophos Mobile Security perproteggere gli utenti dalle minacce della rete.



Protezione contro gli attacchi man-in-the-middle

Sophos Mobile Security monitora la connessione Wi-Fiper individuare gli attacchi man-in-the-middle.

Impostazioni avanzate Configurare queste impostazioni solamente se richiestoesplicitamente dal Supporto tecnico Sophos.

14.23 Configurazioni per i criteri del dispositivomacOS

Un criterio del dispositivo macOS permette di configurare vari aspetti dei Mac, come ad es. i criteriper le password, le restrizioni o le impostazioni Wi-Fi. Il criterio del dispositivo è applicabile a tutti gliutenti che accedono al Mac a cui viene assegnato il criterio, sia che siano gestiti da Sophos Mobile omeno.



Concetti correlatiInformazioni sui criteri macOS (pagina 90)Configurazioni per i criteri utente macOS (pagina 226)

Attività correlateCreazione di un profilo o di un criterio (pagina 88)

14.23.1 Configurazione dei criteri password (criterio deldispositivo macOS)

La configurazione Criteri password permette di definire i requisiti della password degli account utenteMac.


















14.23.2 Configurazione Restrizioni (criterio del dispositivomacOS)

La configurazione Restrizioni serve a definire restrizioni per i Mac.

NotaAlcune opzioni sono disponibili solo per versioni di macOS specifiche. Sono indicate da etichetteblu in Sophos Mobile Admin.

Dispositivo









Ritardo aggiornamento del softwaremacOS

Il numero di giorni di ritardo applicati a unaggiornamento del software macOS dopo la sua datadi rilascio.


iCloud








Consenti Torna al mio Mac Gli utenti potranno utilizzare la funzione Torna al mioMac di iCloud, ovvero la condivisione di file e schermotra un Mac remoto e uno locale.

Consenti Trova il mio Mac Gli utenti potranno utilizzare la funzione Torna al mioMac di iCloud per individuare, bloccare o formattare ilproprio Mac in remoto.

Consenti Preferiti di iCloud Gli utenti potranno utilizzare i Preferiti di iCloud persincronizzare i segnalibri per le pagine web tra ibrowser e le piattaforme.

Consenti iCloud Mail Gli utenti potranno impostare un account iCloud Mailnel proprio Mac.

Consenti Calendario di iCloud Gli utenti potranno utilizzare il Calendario di iCloud percondividere i calendari con i propri dispositivi e con altriutenti iCloud.




Consenti Promemoria di iCloud Gli utenti potranno utilizzare i Promemoria di iCloudper condividere elenchi di promemoria con i propridispositivi e con altri utenti iCloud.

Consenti Contatti di iCloud Gli utenti potranno utilizzare la Rubrica indirizzi diiCloud per condividere contatti con i propri dispositivi econ altri utenti iCloud.

Consenti Note di iCloud Gli utenti potranno utilizzare le Note di iCloud perscrivere note e condividerle con i propri dispositivi econ altri utenti.

Consenti iCloud Drive per desktop edocumenti

Gli utenti potranno memorizzare il proprio DesktopMac e la propria cartella Documenti nell’iCloud Drive eaccedervi da altri dispositivi.





Consenti ricerca definizioni Gli utenti potranno leggere le definizioni delle paroleevidenziate.

Consenti sblocco automatico Gli utenti potranno utilizzare lo Sblocco automatico persbloccare automaticamente il Mac dal proprio AppleWatch.

Consenti iTunes File Sharing Gli utenti potranno utilizzare la Condivisione file iniTunes per copiare i file dal Mac a un iPhone o iPad eviceversa.









14.23.3 Configurazione Wi-Fi (criterio del dispositivo macOS)










• Nessuno

• WEP (personale)


• Tutti (privati)
























• Nessun proxy

• Manualmente

• Automatico


14.23.4 Configurazione Gatekeeper (criterio del dispositivomacOS)

La configurazione Gatekeeper consente di configurare macOS Gatekeeper, che blocca l’installazionedi app da origini vietate.


Consenti app scaricate da Selezionare l’impostazione richiesta:

• Qualsiasi pagina: gli utenti potrannoaprire tutte le app, indipendentemente dallaprovenienza.

• Mac App Store: gli utenti potranno apriresolamente le app provenienti dal Mac AppStore.

• Mac App Store e sviluppatori identificati:gli utenti potranno aprire solamente leapp provenienti dal Mac App Store o dasviluppatori identificati, ovvero sviluppatoriapprovati da Apple.

14.23.5 Configurazione VPN (criterio del dispositivo macOS)










• IPsec (Cisco)

• F5

• Check Point











• Password


• Certificato








• Certificato



• Nessun proxy

• Manualmente


• Automatico







14.23.6 Configurazione Filtro dei contenuti web (criterio deldispositivo macOS)

La configurazione Filtro contenuto Web consente di definire le impostazioni del filtro contenuti web diun’app di terze parti.


Filtra nome Un nome personalizzato per la configurazione del filtro.

Filtra ID L’ID bundle dell’app di terze parti.

Server Il server che ospita il servizio del filtro (nome host, indirizzo IP oURL).

Organizzazione Il nome dell’azienda. Il valore sarà inoltrato al servizio del filtro.

Nome utente

PasswordLe credenziali richieste per la connessione al servizio del filtro.

Certificato Un certificato per l’autenticazione al servizio del filtro.

Filtra intervallo Il traffico che dovrà essere filtrato dall’app di terze parti:

• Filtra traffico browser: il traffico del browser WebKit saràfiltrato.

• Filtra traffico socket: il traffico dei socket sarà filtrato.

• Filtra traffico browser e socket: il traffico del browserWebKit e dei socket sarà filtrato.

Impostazioni terze parti Impostazioni di configurazione aggiuntive, se richieste dall’app diterze parti.

14.23.7 Configurazione HTTP proxy globale (criterio deldispositivo macOS)












14.23.8 Configurazione Domini gestiti (criterio del dispositivomacOS)

La configurazione Domini gestiti permette di definire i domini gestiti per i Mac.

Domini e-mail


14.23.9 Configurazione del Single Sign-On (criterio deldispositivo macOS)
















14.23.10 Configurazione di AirPrint (criterio del dispositivomacOS)

La configurazione AirPrint consente di aggiungere stampanti AirPrint all’elenco di stampanti AirPrintdell’utente.


Indirizzo IP L’indirizzo IP della stampante AirPrint.

Percorso risorsa Il percorso risorsa associato alla stampante.

Esempi:

• printers/<modello stampante>

• ipp/print

14.23.11 Configurazione dei servizi di directory (criterio deldispositivo macOS)

La configurazione Servizio directory consente di specificare un dominio di Active Directory a cui vieneassegnato un Mac quando riceve il criterio.

NotaSe il dominio di Active Directory configurato in questa opzione è lo stesso dominio utilizzato per ilPortale self-service di Sophos Central, il criterio utente macOS assegnato al Mac verrà applicato atutti gli utenti di Active Directory che accedono a quel Mac.



Nome host di dominio Il nome host DNS del dominio di Active Directorya cui viene assegnato il computer.




Nome amministratore di AD

Password

Le credenziali dell’account utente utilizzato per laconnessione al server di Active Directory.

L'utente deve essere autorizzato ad aggiungeredispositivi al database di Active Directory.

Unità organizzativa (OU) L’unità organizzativa (OU) all’interno deldatabase di Active Directory a cui viene aggiuntoil computer in fase di assegnazione.

Esperienza utente


Crea account per dispositivi mobili macOS creerà un account mobile quando unutente di rete effettua l’accesso per la prima volta.

Con un account mobile, gli utenti possonoaccedere al Mac con le proprie credenziali diActive Directory, anche quando il Mac non èconnesso al server di Active Directory.

Richiedi conferma prima di creare unaccount per dispositivi mobili

L’utente potrà decidere se creare o meno unaccount mobile.

Forza home directory locale Selezionare questa casella per implementarela creazione forzata di profili utente nel discodi avvio. È un’impostazione obbligatoria per gliaccount mobili.

Deselezionando questa casella, verrannoutilizzate le normali directory Inizio di rete.

Utilizza percorso UNC tratto da ActiveDirectory

macOS attiverà la cartella Inizio specificatanell’account utente di Active Directory.

Protocollo di rete Il protocollo per l’attivazione della cartella Inizio.

Shell utente predefinita La shell linea di comando per l’utente.

Se questo campo viene lasciato vuoto, verràutilizzato /bin/bash.

Mapping


Attributo UID L’attributo di Active Directory mappato all’UID (IDutente unico) in macOS.




Attributo GID dell'utente L’attributo di Active Directory mappato all’IDgruppo primario negli account utente macOS.

Attributo GID del gruppo L’attributo di Active Directory mappato all’IDgruppo negli account di gruppo macOS.

ImportanteSe si dovessero modificare queste impostazioni di mappatura in un secondo momento, l’utentepotrebbe perdere la possibilità di accedere a file creati in precedenza.

Di amministrazione


Server controller di dominio preferito Il controller di dominio (DC) di Active Directoryconsultato per primo.

Se questo campo viene lasciato vuoto, macOSselezionerà il controller di dominio in base alleinformazioni dei siti e alla velocità di risposta deicontroller.

Intervallo di attendibilità password ingiorni

Questa opzione specifica la frequenza con cuimacOS modifica la password del suo accountcomputer di Active Directory.

Se questo campo viene lasciato vuoto, macOSmodificherà la password ogni 14 giorni.

Se si imposta un valore pari a 0, macOS nonmodificherà la password automaticamente.

Spazio dei nomi • Foresta

Il supporto di namespace è attivato. Saràabilitato l’accesso da parte di utenti multipliche hanno lo stesso nome di accesso e cheesistono in domini diversi della foresta diActive Directory.

Gli utenti dovranno immettere il proprio nomedi accesso nel formato DOMINIO\nome.

• Dominio

Il supporto di namespace è disattivato. Gliutenti dovranno avere un nome di accessounico ed esclusivo.




Firma pacchetti

Cifratura pacchetti

macOS potrà firmare e cifrare le connessioniLDAP utilizzate per comunicare con ActiveDirectory.

• Consenti: macOS deciderà se firmare e/o cifrare leconnessioni LDAP.

• Disattiva: macOS non firmerà né cifrerà leconnessioni LDAP.

• Richiedi: macOS firmerà e cifrerà sempre leconnessioni LDAP.

• SSL/TLS: macOS utilizzerà sempre LDAP su SSL/TLS.

Autenticazione multidominio L’accesso sarà consentito agli utenti di tutti idomini della foresta di Active Directory.

Gruppi amministratori di dominio Un elenco di gruppi di Active Directory.

Ai membri di questi gruppi verranno concessiprivilegi di amministrazione nel Mac.

Per inserire più di un gruppo, premere Invio dopoogni immissione.

Limita DDNS Un elenco di interfacce di rete.

Per impostazione predefinita, macOS utilizza ilDNS dinamico (DDNS) per tutte le interfacce direte. Per limitare il DDNS a interfacce specifiche,immetterne i nomi BSD.

Ad esempio, per limitare il DDNS alla portaEthernet predefinita, immettere en0.

Per immettere più di un’interfaccia, premere Inviodopo ogni immissione.

14.23.12 Configurazione Certificato root (criterio del dispositivomacOS)

La configurazione Certificato root permette di installare un certificato root nei Mac.





14.23.13 Configurazione Certificato client (criterio del dispositivomacOS)

La configurazione Certificato client permette di installare un certificato client nei Mac.



14.23.14 Configurazione SCEP (criterio del dispositivo macOS)









Per esempio:


• Inserire CN=%_DEVPROP(SerialNumber)_% perspecificare un Mac.


















14.24 Configurazioni per i criteri utente macOS

Un criterio utente macOS permette di configurare vari aspetti dei Mac, come ad es. i criteri per lepassword, le restrizioni o le impostazioni Wi-Fi. Il criterio utente è applicabile a tutti gli utenti gestitidel Mac a cui viene assegnato il criterio.

Concetti correlatiInformazioni sui criteri macOS (pagina 90)Configurazioni per i criteri del dispositivo macOS (pagina 209)

Attività correlateCreazione di un profilo o di un criterio (pagina 88)

14.24.1 Configurazione Criteri password (criterio utente macOS)

La configurazione Criteri password permette di definire i requisiti della password degli account utenteMac.






14.24.2 Configurazione Restrizioni (criterio utente macOS)

La configurazione Restrizioni serve a definire restrizioni per i Mac.

NotaAlcune opzioni sono disponibili solo per versioni di macOS specifiche. Sono indicate da etichetteblu in Sophos Mobile Admin.

Dispositivo






Ritardo aggiornamento del softwaremacOS

Il numero di giorni di ritardo applicati a unaggiornamento del software macOS dopo la sua datadi rilascio.




iCloud








Consenti Torna al mio Mac Gli utenti potranno utilizzare la funzione Torna al mioMac di iCloud, ovvero la condivisione di file e schermotra un Mac remoto e uno locale.

Consenti Trova il mio Mac Gli utenti potranno utilizzare la funzione Torna al mioMac di iCloud per individuare, bloccare o formattare ilproprio Mac in remoto.

Consenti Preferiti di iCloud Gli utenti potranno utilizzare i Preferiti di iCloud persincronizzare i segnalibri per le pagine web tra ibrowser e le piattaforme.

Consenti iCloud Mail Gli utenti potranno impostare un account iCloud Mailnel proprio Mac.

Consenti Calendario di iCloud Gli utenti potranno utilizzare il Calendario di iCloud percondividere i calendari con i propri dispositivi e con altriutenti iCloud.

Consenti Promemoria di iCloud Gli utenti potranno utilizzare i Promemoria di iCloudper condividere elenchi di promemoria con i propridispositivi e con altri utenti iCloud.

Consenti Contatti di iCloud Gli utenti potranno utilizzare la Rubrica indirizzi diiCloud per condividere contatti con i propri dispositivi econ altri utenti iCloud.

Consenti Note di iCloud Gli utenti potranno utilizzare le Note di iCloud perscrivere note e condividerle con i propri dispositivi econ altri utenti.




Consenti iCloud Drive per desktop edocumenti

Gli utenti potranno memorizzare il proprio DesktopMac e la propria cartella Documenti nell’iCloud Drive eaccedervi da altri dispositivi.





Consenti ricerca definizioni Gli utenti potranno leggere le definizioni delle paroleevidenziate.

Consenti sblocco automatico Gli utenti potranno utilizzare lo Sblocco automatico persbloccare automaticamente il Mac dal proprio AppleWatch.

Consenti iTunes File Sharing Gli utenti potranno utilizzare la Condivisione file iniTunes per copiare i file dal Mac a un iPhone o iPad eviceversa.







14.24.3 Configurazione Account di Exchange (criterio utentemacOS)

La configurazione dell'Account Exchange consente di impostare un account dei Servizi Web diExchange (Exchange Web Services, EWS) per i Contatti, la Posta, i Promemoria e il Calendario.















OAuth L'account utilizza OAuth per l'autenticazione,il che significa che gli utenti effettuanol'autenticazione con le credenziali Microsoft.

URL di accesso OAuth L'URL della pagina di accesso perl'autenticazione OAuth.

Utilizzare questa impostazione se il servizio diindividuazione automatica del server di Exchangeè disattivato.



14.24.4 Configurazione Wi-Fi (criterio utente macOS)








• Nessuno

• WEP (personale)


• Tutti (privati)
























• Nessun proxy

• Manualmente

• Automatico


14.24.5 Configurazione VPN (criterio utente macOS)







• IPsec (Cisco)

• F5

• Check Point














• Password


• Certificato





• Certificato






• Nessun proxy

• Manualmente


• Automatico





14.24.6 Configurazione Clip web (criterio utente macOS)

La configurazione Clip web consente di definire clip web da aggiungere al desktop del macOS. Leclip Web consentono accesso rapido alle pagine web preferite. È anche possibile aggiungere clip Webcon un numero telefonico di supporto, in modo tale, per esempio, da poter contattare rapidamentel'helpdesk.


Descrizione Una descrizione della clip web.

URL L’indirizzo web della clip web.

Può essere rimosso. Deselezionando questa casella, l’utente nonpotrà rimuovere la clip web. Non potrà esserecancellato dal dispositivo, a meno che nonvenga rimosso il profilo installato.

Schermo intero La clip Web viene aperta a pieno schermo neldispositivo. Una clip Web a pieno schermo aprel'URL come app web.




Icona Selezionare un'immagine da utilizzare comeicona del Clip web nella schermata iniziale.Deve essere un'immagine PNG, GIF o JPEGcon file dalle dimensioni massime di 1 MB.

L'immagine viene ritagliata a forma di quadratoe ridimensionata in base alla risoluzione deldisplay. Per risultati ottimali, si consiglia diutilizzare un'immagine dalle dimensioni di180 px X 180 px.

NotaQuando nel codice HTML della pagina webviene definita una favicon, il dispositivo potrebbevisualizzare tale favicon come icona web clip.Questo fenomeno si verifica solo per alcunepagine web e dipende da come viene configuratala favicon nel codice della pagina web inquestione.

14.24.7 Configurazione Filtro dei contenuti web (criterio utentemacOS)

La configurazione Filtro contenuto Web consente di definire le impostazioni del filtro contenuti web diun’app di terze parti.


Filtra nome Un nome personalizzato per la configurazione del filtro.

Filtra ID L’ID bundle dell’app di terze parti.

Server Il server che ospita il servizio del filtro (nome host, indirizzo IP oURL).

Organizzazione Il nome dell’azienda. Il valore sarà inoltrato al servizio del filtro.

Nome utente

PasswordLe credenziali richieste per la connessione al servizio del filtro.

Certificato Un certificato per l’autenticazione al servizio del filtro.




Filtra intervallo Il traffico che dovrà essere filtrato dall’app di terze parti:

• Filtra traffico browser: il traffico del browser WebKit saràfiltrato.

• Filtra traffico socket: il traffico dei socket sarà filtrato.

• Filtra traffico browser e socket: il traffico del browserWebKit e dei socket sarà filtrato.

Impostazioni terze parti Impostazioni di configurazione aggiuntive, se richieste dall’app diterze parti.

14.24.8 Configurazione HTTP proxy globale (criterio utentemacOS)









14.24.9 Configurazione Domini gestiti (criterio utente macOS)

La configurazione Domini gestiti permette di definire i domini gestiti per i Mac.

Domini e-mail




14.24.10 Configurazione CalDAV (criterio utente macOS)

La configurazione di CalDAV consente di impostare la sincronizzazione dei dati del calendario con unserver CalDAV. Può essere utilizzata, ad esempio, per sincronizzare Google Calendar con un Mac.


Nome account Il nome visualizzato nell’account CalDAV del dispositivo.

Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numerodi porta del server CalDAV.

Ad esempio, per Google Calendar, inserire:

calendar.google.com:443

URL principale Se richiesto dal server CalDAV, inserire l’URL principaledella risorsa calendario.

Ad esempio, per effettuare la sincronizzazione con uncalendario diverso da quello principale in un accountGoogle, inserire:

https://apidata.googleusercontent.com/caldav/ v2/id_calendario/user

ove id_calendario è l’ID del calendario con ilquale si desidera effettuare la sincronizzazione.Nell’applicazione web Google Calendar, l’ID del calendarioviene visualizzato nelle impostazioni del calendario.Consultare la guida di Google Calendar per informazionipiù dettagliate.

Nome utente, Password Le credenziali di accesso per l’account CalDAV.

Ad esempio, per Google Calendar, inserire le credenzialidell’account Google.

SSL/TLS La connessione al server CalDAV è protetta tramite SSL oTLS (a seconda della compatibilità del server).


14.24.11 Configurazione CardDAV (criterio utente macOS)

La configurazione di CardDAV consente di impostare la sincronizzazione dei dati dei contatti con unserver CardDAV. Può essere utilizzata, ad esempio, per sincronizzare i Contatti Google con un Mac.


Nome account Il nome visualizzato nell’account CardDAV del dispositivo.




Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numerodi porta del server CardDAV.

Ad esempio, per i Contatti Google, inserire:

google.com

URL principale Se richiesto dal server CardDAV, inserire l’URL principaledella risorsa contatti.

L’API CardDAV di Google supporta ad es. i seguenti URLprincipali:

https://www.googleapis.com/carddav/ v1/principals/[email protected]

ove nome_account è il nome dell’account Google.

Nome utente, Password Le credenziali di accesso per l’account CardDAV.

Ad esempio, per i Contatti Google, inserire le credenzialidell’account Google.

SSL/TLS La connessione al server CardDAV è protetta tramite SSLo TLS (a seconda della compatibilità del server).


14.24.12 Configurazione IMAP/POP (criterio utente macOS)

La configurazione IMAP/POP permette di aggiungere un account e-mail IMAP o POP ai Mac.








E-mail in arrivo




Server di posta e porta Il nome host o indirizzo IP e il numero di porta del serverper le e-mail in arrivo (server di posta in arrivo).


Tipo di autenticazione Il metodo di autenticazione da utilizzare per connettersi alserver di posta in arrivo.


SSL/TLS La connessione al server di posta in arrivo è protettatramite SSL o TLS (a seconda della compatibilità delserver).

E-mail in uscita

Server di posta e porta Il nome host o indirizzo IP e il numero di porta del serverper le e-mail in uscita (server di posta in uscita).

Nome utente Il nome utente da utilizzare la connessione al server diposta in uscita.

Tipo di autenticazione Il metodo di autenticazione da utilizzare per laconnessione al server di posta in uscita.

Password La password da utilizzare per la connessione al server diposta in uscita (se richiesto).

Utilizza la stessa password delle e-mail in arrivo

Utilizza la password specificata per le e-mail in arrivo.

SSL/TLS La connessione al server di posta in uscita è protettatramite SSL o TLS (a seconda della compatibilità delserver).

14.24.13 Configurazione Single Sign-On (criterio utente macOS)
















14.24.14 Configurazione LDAP (criterio utente macOS)

La configurazione LDAP consente di aggiungere all’app Rubrica indirizzi del macOS informazionisugli utenti tratte da una directory LDAP.

NotaPer configurare un Mac in modo che venga inserito in un dominio di Active Directory, utilizzarela configurazione Servizio directory. Vedere Configurazione dei servizi di directory (criterio deldispositivo macOS) (pagina 221).


Descrizione dell'account Una descrizione della connessione LDAP.

Nome host Il nome host o l’indirizzo IP del server LDAP.

Nome utente

Password

Le credenziali di accesso dell’utente che SophosMobile adopera per connettersi al server LDAP.

Utilizza SSL/TLS La connessione al server LDAP è protetta tramiteSSL o TLS (a seconda della compatibilità delserver).

Impostazioni di ricerca I nodi nell’albero LDAP da cui cominciare laricerca e l’ambito in cui cercare.




Base Il percorso del nodo da cui comincia la ricerca.Per esempio: ou=users,o=my company

Ambito L’ambito dei sottonodi da includere nella ricerca:

• Solo nodo base: solo il nodo base.

• Nodo base e nodi figlio diretti: il nodo basee i relativi nodi figli, ovvero i sottonodi di primolivello.

• Nodo base e tutti i sottonodi: il nodo base etutti i sottonodi all’infinito.

Descrizione Una descrizione dell’impostazione di ricerca.

14.24.15 Configurazione Certificato root (criterio utente macOS)

La configurazione Certificato root permette di installare un certificato root nei Mac.



14.24.16 Configurazione Certificato client (criterio utentemacOS)

La configurazione Certificato client permette di installare un certificato client nei Mac.



14.24.17 Configurazione SCEP (criterio utente macOS)











Per esempio:


• Inserire CN=%_DEVPROP(SerialNumber)_% perspecificare un Mac.


















14.25 Configurazioni per i criteri di Windows MobileUn criterio di Windows Mobile permette di configurare vari aspetti dei dispositivi Windows Mobile, comead es. criteri per le password, restrizioni, o impostazioni Wi-Fi.

Per informazioni su come creare un criterio di Windows Mobile, consultare la sezione Creazione diun profilo o di un criterio (pagina 88).

14.25.1 Configurazione Criteri password (Criterio di WindowsMobile)

La configurazione Criteri password permette di definire i requisiti della password del dispositivo.


Tipo di password Il tipo di password che gli utenti devono definire:

• Alfanumerici: la password deve conteneresia caratteri numerici che alfabetici

• Numerici: la password deve contenere solocaratteri numerici

Per Windows Phone 8.1, l’opzioneAlfanumerici include le password checontengono caratteri numerici e/o alfabetici.




Complessità minima delle passwordalfanumeriche

Questa opzione definisce le categorie dicaratteri che devono essere utilizzati nellepassword alfanumeriche.

Per Windows 10 Mobile:

• 1: non applicabile (se selezionata, viene utilizzato2)

• 2: sono obbligatori caratteri numerici e minuscoli

• 3: sono obbligatori caratteri numerici, minuscoli emaiuscoli

• 4: sono obbligatori caratteri numerici, minuscoli,maiuscoli e speciali

Per Windows Phone 8.1, il valore selezionatoè il numero di categorie di caratteri diversi chedevono essere adoperati in una password. Lecategorie di caratteri sono:

• Caratteri numerici

• Caratteri minuscoli

• Caratteri maiuscoli

• Caratteri speciali

Consenti password semplice Le password potranno contenere caratterisequenziali o ripetuti, come ad esempio abcdeo 1111.


Numero massimo di tentativi non riusciti Il numero di tentativi non riusciti di inserimentodella password in fase di accesso, prima chevenga effettuata la formattazione del dispositivo.

Inserire un valore compreso tra 1 e 999, oppure0 per non imporre alcuna restrizione.

Tempo in minuti prima che il dispositivovenga bloccato

Il periodo di tempo (in minuti) al termine delquale verrà bloccato il dispositivo se non è statoutilizzato. L'utente potrà sbloccare il dispositivo.







Durata massima della password in giorni Il numero di giorni al termine dei quali gli utentidovranno modificare la propria password.


Consenti che venga impostato il periodo ditolleranza della password

Gli utenti saranno autorizzati a definire ilperiodo di tolleranza della password.

14.25.2 Configurazione Restrizioni (Criterio di Windows Mobile)


Dispositivo


Vieta scheda SD Gli utenti non potranno accedere alla scheda dimemoria. Ciò non impedirà l’accesso delle appalla scheda di memoria.

Vieta dispositivi non cifrati Viene attivata la cifratura della memoria interna.

ImportanteUna volta attivata la cifratura della memoriainterna su un dispositivo, non potrà esseredisattivata con un criterio.

NotaOccorrerà abilitare BitLocker sul dispositivoprima di applicare il criterio.

Vieta che notifiche del centro operativovengano visualizzate sopra la schermata diblocco

Nessuna notifica del centro operativo verràvisualizzata sopra la schermata di blocco.

Vieta aggiunta manuale di account e-mailnon Microsoft

Vieta l'aggiunta di tutte le tipologie di account e-mail, inclusi gli account Exchange, Office 365 eOutlook.com.




Vieta connessione ad account Microsoft La connessione a servizi Microsoft qualisincronizzazione, backup, Skype o MicrosoftStore non sarà possibile.

ImportanteQuesta impostazione viene applicata solamenteagli account Microsoft che vengono impostati suldispositivo dopo l’assegnazione del criterio.

Vieta modalità sviluppatore La modalità sviluppatore di Windows verràdisattivata.

Vieta Microsoft Store L’app store non sarà disponibile.

Vieta browser nativo Il browser Microsoft Edge non sarà disponibile.

Vieta fotocamera L’impostazione di Privacy Consenti alle app diusare la fotocamera sarà disattivata.




Livello di telemetria La quantità di dati di diagnostica e di utilizzo Windowsche i dispositivi sono autorizzati a inviare.

Windows 10:

• Completa: tutti i dati necessari per l'identificazionee l'analisi dei problemi.

• Avanzata: i dati inerenti alla modalità d'uso e allaperformance di Windows e delle app.

• Di base: un set limitato di dati che sono essenzialiper capire il dispositivo e la sua configurazione.

• Disattivata (solo per Windows Phone 8.1):opzione non supportata nei dispositivi Windows 10.Se si seleziona questa opzione, sarà utilizzato illivello Di base.

NotaI livelli sono cumulativi dal basso verso l'alto, percui Avanzata include, ad esempio, tutti i dati dellacategoria Di base.

ConsiglioPer informazioni dettagliate sui livelli ditelemetria, consultare il seguente articolo diMicrosoft: Configurare la telemetria di Windowsnell'organizzazione (collegamento esterno).

Windows Phone 8.1 non supporta livelli ditelemetria diversi:

• Completa, Avanzata, Di base: gli utenti possonoattivare e disattivare la telemetria.

• Disattivata (solo per Windows Phone 8.1): nonvengono inviati dati di telemetria.

Vari


Vieta copia e incolla Gli Appunti non sono disponibili.

Vieta Cortana La funzionalità Cortana sarà disattivata.

Vieta "Salva con nome" per file Office Gli utenti non potranno salvare un file suldispositivo come file Office.

Vieta acquisizione schermo Le opzioni di acquisizione schermo verrannodisattivate.

Vieta condivisione di file Office Gli utenti non potranno condividere file Office.


https://docs.microsoft.com/it-it/windows/configuration/configure-windows-telemetry-in-your-organization




Vieta "Sincronizza le impostazioni" Le impostazioni del dispositivo non potrannoessere sincronizzate con altri dispositiviWindows.

Vieta registrazione voce La registrazione della voce verrà disattivata.

Wi-Fi


Vieta Wi-Fi Le connessioni Wi-Fi verranno disattivate.

Vieta condivisioni Internet La Condivisione connessione Internet (InternetConnection Sharing, ICS) sarà disattivata.

Vieta Sensore Wi-Fi (connessioneautomatica hotspot)

Il dispositivo non si connetterà automaticamenteagli hotspot Wi-Fi.

Vieta report su hotspot Il dispositivo non invierà informazioni sulleconnessioni Wi-Fi.

Vieta configurazione manuale Gli utenti non potranno configurare connessioniWi-Fi che non siano già state configurate daSophos Mobile.

Connettività


Vieta NFC La NFC (near-field communication) saràdisattivata.

Vieta bluetooth Bluetooth sarà disattivato.

Vieta connessioni USB Saranno vietate le connessioni USB trail dispositivo e un computer a scopo disincronizzazione dei file, o per l’uso di strumentidi sviluppo a fini di distribuzione o debug delleapp. Ciò non avrà alcun effetto sulla messa incarica tramite USB.



Roaming e costi


Vieta roaming su reti dati Le connessioni dati su reti mobili estereverranno disattivate.

Vieta VPN su reti cellulari Le connessioni VPN su reti mobili verrannodisattivate.

Vieta roaming VPN su cellulari Le connessioni VPN su reti mobili estereverranno disattivate.



Vieta che Bing Vision archivi immaginiderivanti da ricerche Bing Vision

Bing Vision non ricorderà i contenuti delleimmagini catturate durante le ricerche BingVision.

Vieta utilizzo del localizzatore durantericerche

La ricerca non potrà utilizzare le informazionirelative all’ubicazione.

Vieta installazione manuale di certificati root Gli utenti non potranno installare manualmentecertificati root o di CA intermediarie.

Vieta localizzatore Tutte le impostazioni di privacy relativeall’ubicazione del dispositivo verrannodisattivate. Nessuna app potrà utilizzare illocalizzatore. Attivando questa opzione siimpedisce anche la geolocalizzazione deldispositivo da parte di Sophos Mobile.

Autorizzazione SafeSearch Il livello di filtraggio dei risultati di ricerca daimplementare sul dispositivo:

• Moderato: Filtraggio moderato dei contenutiper soli adulti. I risultati di ricerca validi nonverranno filtrati.

• Rigido: Il livello di filtraggio più severo deicontenuti per soli adulti.



Cancella registrazione


Vieta che l'utente possa resettare il telefono Gli utenti non potranno resettare il dispositivoriportandolo alle impostazioni di fabbricadal pannello di controllo o utilizzando unacombinazione di tasti.

Vieta cancellazione manuale dellaregistrazione MDM

Gli utenti non potranno eliminare l’account dellasocietà.

14.25.3 Configurazione account di Exchange (criterio WindowsMobile)






















14.25.4 Configurazione Wi-Fi (Criterio per Windows Mobile)



SSID Inserire l'ID della rete Wi-Fi.

Connetti automaticamente La connessione verrà stabilita in manieraautomatica.


Tipo di sicurezza Selezionare il tipo di sicurezza dall’elenco.Se si seleziona WPA (personale) o WPA2(personale), occorrerà specificare la password.

Proxy Se dall'elenco si seleziona Manualmente,occorrerà specificare server e porta.

14.25.5 Configurazione Restrizioni app (Criterio di WindowsMobile)

La configurazione Restrizioni app permette di specificare le app da autorizzare o bloccare suidispositivi.




App consentite Contiene un set di singole app che gli utentisono autorizzati a installare e utilizzare suldispositivo. Gli utenti non saranno in grado diinstallare o utilizzare nessuna app che non siastata specificata nell'elenco.

Utilizzare App consentite quando si conosconole app da autorizzare, e si desidera bloccaretutte le altre app.

App proibite Contiene un set di singole app che gli utenti nonsono autorizzati a installare sul dispositivo. Gliutenti saranno in grado di installare qualsiasiapp che non sia stata specificata nell'elenco.

Utilizzare App proibite quando si conoscono leapp da bloccare, e si desidera autorizzare tuttele altre app.

Gruppo di app Selezionare il gruppo di app che contienel'elenco di app che si desidera autorizzare obloccare.

NotaIl gruppo di app deve essere creatoprecedentemente. Vedere Gruppi di app(pagina 303).

14.25.6 Configurazione IMAP/POP (Criterio di Windows Mobile)

La configurazione IMAP/POP permette di aggiungere un account e-mail IMAP o POP al dispositivo.












Dominio La parte di dominio delle credenziali da utilizzare per ilserver di posta in arrivo (se richiesto).


Server per e-mail in arrivo Il nome host (o indirizzo IP) e il numero di porta del serverper le e-mail in arrivo (server di posta in arrivo).

Formato: nome server:numero porta

Non occorre specificare il nome della porta se vieneutilizzata la porta standard:

• 143 (IMAP)

• 993 (IMAP con SSL)

• 110 (POP3)

• 995 (POP3 con SSL)

Utilizza SSL/TLS per e-mail inarrivo

Utilizza Secure Sockets Layer per il trasferimento dellaposta in arrivo.

Server per e-mail in uscita Il nome host (o indirizzo IP) e il numero di porta del serverper le e-mail in uscita (server di posta in uscita).


Utilizza SSL/TLS per e-mail inuscita

Utilizza Secure Sockets Layer per il trasferimento dellaposta in uscita.

È richiesta l'autenticazione per laconnessione in uscita

Il server di posta in uscita richiede l’autenticazione.

Vengono utilizzate le stesse credenziali del server di postain arrivo, secondo quanto specificato nei campi Nomeutente, Dominio e Password.

Periodo di sincronizzazione Il periodo di tempo durante il quale verranno sincronizzatele e-mail.

Solamente le e-mail che rientrano nel periodo di tempospecificato verranno sincronizzate nel dispositivo gestito.

Sincronizzazione automatica L’intervallo di tempo per la sincronizzazione automaticadelle e-mail.

14.25.7 Configurazione Certificato root (Criterio per WindowsMobile)






14.25.8 Configurazione di SCEP (Criterio per Windows Mobile)



Descrizione Una descrizione per definire la configurazione.






Per esempio:




Nome alternativo del soggetto Offre l’opzione di configurare uno o più valoriper il nome alternativo del soggetto (SubjectAlternative Name, SAN).

Cliccare su Aggiungi e successivamente inserireun tipo di SAN e un valore per il SAN.














Algoritmo hash Selezionare uno o più algoritmi hash supportatidal server SCEP.

AvvisoL'uso dell'algoritmo SHA-1 non è consigliato,in quanto non è ritenuto sicuro.

14.26 Configurazioni per i criteri WindowsUn criterio Windows permette di configurare vari aspetti dei computer Windows, come ad es. i criteriper le password, le restrizioni, o le impostazioni Wi-Fi.

Per informazioni su come creare un criterio di Windows, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).



14.26.1 Configurazione Criteri password (Criterio di Windows)

La configurazione Criteri password permette di definire i requisiti della password degli account utentedi Windows.

NotaLe regole di complessità della password (ad es. lunghezza, numero di caratteri maiuscoli eminuscoli) per i dispositivi Windows sono fisse, e non possono essere determinate da un criteriodi Sophos Mobile. Per ulteriori informazioni, vedere Regole di complessità della password perWindows (pagina 90).

NotaI criteri password non possono essere assegnati ai computer Windows se si verificano entrambe leseguenti condizioni:

• Nel dispositivo sono stati configurati altri utenti locali, oltre all’utente registrato a SophosMobile.

• Uno o più di questi utenti non sono autorizzati a modificare la propria password.


Numero massimo di tentativi non riusciti Il numero di tentativi non riusciti di inserimentodella password in fase di accesso, prima chevenga effettuata la formattazione del dispositivo.


Tempo in minuti prima che il dispositivovenga bloccato

Il periodo di tempo (in minuti) al termine delquale verrà bloccato il dispositivo se non è statoutilizzato. L'utente potrà sbloccare il dispositivo.




Durata massima della password in giorni Il numero di giorni al termine dei quali gli utentidovranno modificare la propria password.


14.26.2 Configurazione Restrizioni (Criterio per Windows)




Dispositivo



Vieta aggiunta manuale di account e-mailnon Microsoft

Vieta l'aggiunta di tutte le tipologie di account e-mail, inclusi gli account Exchange, Office 365 eOutlook.com.



Disattiva riempimento automatico in Edge L’impostazione Salva i dati immessi neimoduli del browser web Edge verrà disattivatae non potrà essere attivata dall’utente.

Deselezionando questa casella, l’impostazioneverrà attivata e non potrà essere disattivatadall’utente.

Disattiva Strumenti di sviluppo F12 in Edge Gli Strumenti di sviluppo F12 del browser webEdge verranno resi non disponibili.

Disattiva blocco popup in Edge L’impostazione Blocca popup del browserweb Edge verrà disattivata e non potrà essereattivata dall’utente.


Disattiva impostazioni di AutoPlay

Disattiva impostazioni di data e ora

Disattiva impostazioni della lingua

Disattiva impostazioni di alimentazione esospensione

Disattiva impostazioni relative alla regione

Disattiva impostazioni di accesso

Disattiva impostazioni della VPN

Disattiva impostazioni dell’area di lavoro

Le sezioni corrispondenti nel Pannello dicontrollo Windows verranno rese non disponibili.L’utente non potrà modificare alcuna di questeimpostazioni una volta che questo criterio èstato assegnato al dispositivo.

NotaDisattiva impostazioni di AutoPlay noninfluisce sulle impostazioni dei dispositiviconnessi, come ad es. i telefoni cellulari.




Disattiva impostazioni dell’account





• Sicurezza: informazioni necessarie per proteggereil dispositivo con i più recenti aggiornamenti disicurezza.

NotaI livelli sono cumulativi dal basso verso l'alto, percui Avanzata include, ad esempio, tutti i dati dellecategorie Di base e Sicurezza.


Vari


Vieta Cortana La funzionalità Cortana sarà disattivata.

Vieta "Sincronizza le impostazioni" Le impostazioni del dispositivo non potrannoessere sincronizzate con altri dispositiviWindows.

Disattiva Suggerimenti di Windows L’impostazione di notifica Windows Mostrasuggerimenti su Windows verrà deselezionatae resa non disponibile.

Wi-Fi










Connettività





Vieta utilizzo del localizzatore durantericerche

La ricerca non potrà utilizzare le informazionirelative all’ubicazione.

Cancella registrazione


Vieta cancellazione manuale dellaregistrazione MDM

Gli utenti non potranno eliminare l’account dellasocietà.

14.26.3 Configurazione dell'account di Exchange (Criterio perWindows)


ImportanteSe si utilizzano configurazioni multiple per impostare account e-mail di Exchange, i dispositivipotrebbero essere in grado di recuperare solamente la posta di un unico account. Ciò avvienetipicamente quando gli account sono situati su server di Exchange diversi, e sui server sonostati impostati criteri diversi per le mailbox. Poiché i computer Windows possono implementaresolamente un unico criterio mailbox, non si connetteranno agli account che utilizzano un criteriodiverso.

NotaWindows consente all’utente di rifiutare tutte le modifiche effettuate dall’amministratore allaconfigurazione di Exchange.




















14.26.4 Configurazione Wi-Fi (Criterio Windows)









14.26.5 Configurazione della modalità tutto schermo (criterio diWindows)

La configurazione Modalità tutto schermo consente di impostare un computer Windows in modo daeseguire la modalità tutto schermo.

Nella modalità tutto schermo, può essere eseguita una sola app (l’app della modalità tutto schermo).La modalità tutto schermo si attiva quando l’utente associato alla modalità tutto schermo (l’utentedella modalità tutto schermo) effettua l’accesso.

NotaPer impostazione predefinita, il computer rimane in modalità tutto schermo dopo un riavvio. Permodificare questo comportamento, accedere al computer con l’account dell’utente della modalitàtutto schermo, selezionare Impostazioni > Account > Opzioni di accesso e disattivare Usale mie informazioni di accesso per completare automaticamente la configurazione deldispositivo dopo un aggiornamento o un riavvio.


Account utente L’utente associato alla modalità tutto schermo (l’utente dellamodalità tutto schermo).

Formato:

<nome computer>\<nome utente> (account locale)

<dominio>\<nome utente> (account di dominio)

La parte <dominio> può essere omessa se il nome utente èunivoco per tutti i domini.

AUMID della app L’ID modello utente applicazione (AUMID) dell’app che vieneavviata quando è attivata la modalità tutto schermo (l’app dellamodalità tutto schermo).

Per informazioni su come ottenere il valore dell’AUMID,consultare il documento Microsoft Find the Application UserModel ID of an installed app (Trova l’ID modello utenteapplicazione di un’app installata).


https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/find-the-application-user-model-id-of-an-installed-app

https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/find-the-application-user-model-id-of-an-installed-app


14.26.6 Configurazione IMAP/POP (Criterio di Windows)

La configurazione IMAP/POP permette di aggiungere un account e-mail IMAP o POP ai computerWindows.









Dominio La parte di dominio delle credenziali da utilizzare per ilserver di posta in arrivo (se richiesto).


Server per e-mail in arrivo Il nome host (o indirizzo IP) e il numero di porta del serverper le e-mail in arrivo (server di posta in arrivo).


Non occorre specificare il nome della porta se vieneutilizzata la porta standard:

• 143 (IMAP)

• 993 (IMAP con SSL)

• 110 (POP3)

• 995 (POP3 con SSL)

Utilizza SSL/TLS per e-mail inarrivo

Utilizza Secure Sockets Layer per il trasferimento dellaposta in arrivo.

Server per e-mail in uscita Il nome host (o indirizzo IP) e il numero di porta del serverper le e-mail in uscita (server di posta in uscita).





Utilizza SSL/TLS per e-mail inuscita

Utilizza Secure Sockets Layer per il trasferimento dellaposta in uscita.

È richiesta l'autenticazione per laconnessione in uscita

Il server di posta in uscita richiede l’autenticazione.

Vengono utilizzate le stesse credenziali del server di postain arrivo, secondo quanto specificato nei campi Nomeutente, Dominio e Password.

Periodo di sincronizzazione Il periodo di tempo durante il quale verranno sincronizzatele e-mail.

Solamente le e-mail che rientrano nel periodo di tempospecificato verranno sincronizzate nel dispositivo gestito.

Sincronizzazione automatica L’intervallo di tempo per la sincronizzazione automaticadelle e-mail.

14.26.7 Configurazione di Device Guard (criterio di Windows)

La configurazione Device Guard permette di configurare la sicurezza basata su virtualizzazione (VBS)nei computer Windows.

NotaTutte le impostazioni vengono applicate al primo avvio del computer Windows dopol’assegnazione del criterio.


Attiva sicurezza basata su virtualizzazione(VBS)

La sicurezza basata su virtualizzazione (VBS) èattiva.

Configurazione di Credential Guard • Disattiva: disattiva Credential Guard.

Questa opzione non funzionerà se CredentialGuard è stata attivata con l'opzione Attivacon blocco UEFI.

• Attiva con blocco UEFI: attiva CredentialGuard e verifica che possa essere disattivatain remoto.

Credential Guard potrà essere nuovamentedisattivata solamente nelle impostazioni delBIOS, e ciò richiederà l'accesso fisico alcomputer.

• Attiva senza blocco: attiva CredentialGuard.

Credential Guard potrà essere nuovamentedisattivata con l'opzione Disattiva, oppurecon un criterio di gruppo Windows.




Livello di sicurezza della piattaforma • Avvio protetto: la VBS sarà attivata con lamassima protezione supportata dall'hardwaredel computer.

Se il computer non dispone di unità digestione della memoria input/output (input/output memory management unit, IOMMU),la VBS utilizzerà la funzionalità UEFI avvioprotetto.

Se il computer dispone di IOMMU, VBSutilizzerà l'avvio protetto con protezionedell'accesso diretto alla memoria (directmemory access, DMA).

• Avvio protetto e protezione DMA: la VBSutilizzerà l'avvio protetto con protezionedell'accesso diretto alla memoria (directmemory access, DMA).

la VBS non sarà attivata se il computer nonsupporta il DMA.

14.26.8 Configurazione Certificato root (Criterio Windows)




14.26.9 Configurazione del certificato client (criterio Windows)

La configurazione Certificato client permette di installare un certificato client sui dispositivi Windows.


File Il certificato che si desidera installare.

Cliccare su Carica file e cercare il file che contiene il certificato.

È possibile caricare certificati PEM e PKCS #12.

Nome certificato Una volta caricato il file del certificato, questo campo mostrerà ilvalore soggetto del certificato.




Archivio di destinazione L'archivio certificati dove è installato il certificato:

Utente: il certificato sarà disponibile per l’utente registrato aSophos Mobile.

Dispositivo: il certificato sarà disponibile a tutti gli utenti delcomputer.

Ubicazione chiave il luogo in cui è memorizzata la chiave privata del certificato:

Software: la chiave verrà memorizzata in un archivio chiavibasato su software.

TPM o software: la chiave sarà memorizzata nel TPM, se èdisponibile. Altrimenti, la chiave verrà memorizzata in un archiviochiavi basato su software.

TPM: la chiave sarà memorizzata nel chip hardware TrustedPlatform Module (TPM). Se il computer non dispone di un chipTPM o se il TPM è disattivato nel BIOS, il certificato non verràinstallato.

Windows Hello for Business: la chiave sarà memorizzata in uncontainer Windows Hello for Business.

La chiave è esportabile Quando esportano il certificato, gli utenti potranno esportareanche la chiave privata.

Nome container Il nome del container Windows Hello for Business in cui èmemorizzata la chiave privata del certificato.

14.26.10 Configurazione di SCEP (criterio Windows)



Descrizione Una descrizione per definire la configurazione.









Per esempio:




Nome alternativo del soggetto Offre l’opzione di configurare uno o più valoriper il nome alternativo del soggetto (SubjectAlternative Name, SAN).

Cliccare su Aggiungi e successivamente inserireun tipo di SAN e un valore per il SAN.














Algoritmo hash Selezionare uno o più algoritmi hash supportatidal server SCEP.

AvvisoL'uso dell'algoritmo SHA-1 non è consigliato,in quanto non è ritenuto sicuro.

14.27 Configurazioni per i criteri di Windows IoTUn criterio di Windows IoT permette di configurare vari aspetti dei dispositivi Windows IoT, come ad es.restrizioni o impostazioni Wi-Fi.

Per informazioni su come creare un criterio di Windows IoT, consultare la sezione Creazione di unprofilo o di un criterio (pagina 88).

14.27.1 Configurazione Restrizioni (Criterio per Windows IoT)


Dispositivo





Disattiva riempimento automatico in Edge L’impostazione Salva i dati immessi neimoduli del browser web Edge verrà disattivatae non potrà essere attivata dall’utente.





Disattiva blocco popup in Edge L’impostazione Blocca popup del browserweb Edge verrà disattivata e non potrà essereattivata dall’utente.






• Sicurezza: informazioni necessarie per proteggereil dispositivo con i più recenti aggiornamenti disicurezza.

NotaI livelli sono cumulativi dal basso verso l'alto, percui Avanzata include, ad esempio, tutti i dati dellecategorie Di base e Sicurezza.


Wi-Fi





Connettività







14.27.2 Configurazione Wi-Fi (Criterio Windows IoT)







14.27.3 Configurazione Certificato root (Criterio Windows IoT)






15 Bundle delle operazioniUtilizzando i bundle delle operazioni è possibile raggruppare diverse operazioni in un'unicatransazione. Ciò permette di inserire in un unico bundle tutte le operazioni necessarie per completarela registrazione e la configurazione di un dispositivo:

• Registrazione del dispositivo.

• Applicazione dei criteri richiesti.

• Installazione delle app richieste (per es. app gestite per dispositivi iOS).

• Applicazione dei profili richiesti.

Nei bundle delle operazioni è inoltre possibile includere operazioni di cancellazione dei dati, in modotale da effettuare la cancellazione automatica dei dispositivi non conformi (per es. in caso di jailbreako root). Per ulteriori informazioni, vedere Criteri di conformità (pagina 30).

Sono disponibili bundle delle operazioni per le seguenti piattaforme:

• Android

• iOS

• macOS

• Windows

15.1 Creazione di bundle delle operazioni1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni e

successivamente sulla piattaforma per cui si desidera creare un bundle delle operazioni.

2. Nella pagina Bundle delle operazioni, cliccare su Crea bundle delle operazioni.Verrà visualizzata la pagina Modifica bundle delle operazioni.

3. Inserire nei campi corrispondenti nome e, opzionalmente, una descrizione per il nuovo bundle delleoperazioni.

Il numero della versione viene incrementato automaticamente a ogni salvataggio del bundle delleoperazioni.

4. Richiesto: Selezionare Selezionabile per effettuare azioni di conformità per trasferire il bundledelle operazioni su un dispositivo, quando viola una regola di conformità. Vedere Criteri diconformità (pagina 30).

NotaQuesta opzione è disattivata durante la modifica di bundle delle operazioni esistenti, o nelcaso in cui il bundle delle operazioni sia già utilizzato per effettuare azioni di conformità.

5. Richiesto: Per i bundle delle operazioni iOS, selezionare Ignora errori di installazione delle appper procedere all’elaborazione del bundle delle operazioni anche se non dovesse essere possibileinstallare un’app.

Questa opzione è disattivata quando il bundle delle operazioni non contiene alcuna operazioneInstalla app.

6. Cliccare su Crea operazione.

7. Selezionare un tipo di operazione e cliccare su Avanti.



La vista che verrà ora visualizzata dipenderà dal tipo di operazione selezionata. In ciascuna vistaè possibile scegliere nomi significativi per le operazioni. I nomi prescelti per le operazioni verrannovisualizzati durante l'installazione nel Portale self-service di Sophos Central.

8. Seguire i passaggi della procedura guidata per aggiungere l'operazione richiesta, e cliccare suApplica per creare l'operazione.

9. Richiesto: Aggiungere altre operazioni al bundle delle operazioni.

NotaPer i bundle delle operazioni Android, non è possibile utilizzare contemporaneamenteoperazioni Android e Android Enterprise.

ConsiglioÈ possibile modificare l'ordine di installazione delle operazioni utilizzando le frecce diordinamento nella parte destra dell'elenco delle operazioni.

10. Una volta aggiunte tutte le operazioni necessarie al bundle delle operazioni, cliccare su Salva nellapagina Modifica bundle delle operazioni.

Il bundle delle operazioni sarà ora disponibile per il trasferimento e verrà visualizzato nella paginaBundle delle operazioni.

NotaQuando si apportano modifiche a un bundle delle operazioni utilizzato come Pacchettoiniziale nelle impostazioni del portale self-service, non sarà possibile eliminare l'operazione diregistrazione. Vedere Configurazione delle impostazioni del portale self-service (pagina 18).

Concetti correlatiTipi di operazioni Android disponibili (pagina 273)Tipi di operazioni iOS disponibili (pagina 277)Tipi di operazioni macOS disponibili (pagina 280)Tipi di operazioni Windows disponibili (pagina 281)

15.2 Tipi di operazioni Android disponibiliI seguenti tipi di operazioni sono disponibili per i bundle delle operazioni su Android:

Registrati

Quando l’operazione viene trasferita sui dispositivi, viene inviata un’e-mail di registrazioneall’indirizzo e-mail configurato per ciascun dispositivo. Gli utenti devono seguire la proceduradescritta nell’e-mail per registrare il proprio dispositivo.

Quando l’operazione viene trasferita su un dispositivo già registrato, non viene inviata alcuna e-maildi registrazione.



Registra Sophos Container



Installa profilo

Selezionare un profilo o un criterio dall’elenco di profili e criteri disponibili. Per informazioni generalisu come aggiungere profili o criteri a questo elenco, vedere Profili e criteri (pagina 86).

Quando l’operazione viene trasferita sui dispositivi, il profilo viene installato automaticamente e inmaniera invisibile, oppure il criterio viene assegnato automaticamente e in maniera invisibile.

Disinstalla profilo

Sotto Seleziona origine, selezionare Profili e successivamente scegliere un profilo dall'elenco.

Oltre ai profili disponibili nel server di Sophos Mobile, l’elenco include profili che sono in uso neldispositivo gestito.

È anche possibile disinstallare un profilo che non è incluso nell’elenco. Selezionare Identificatore einserire l’identificatore del profilo che si desidera disinstallare dai dispositivi.

Quando si trasferisce l’operazione sui dispositivi, il profilo viene disinstallato automaticamente e inmaniera invisibile.

NotaNon è possibile disinstallare un criterio Sophos Container o un criterio Mobile Securitydirettamente dai dispositivi. Occorre invece utilizzare le azioni del dispositivo Annullaregistrazione di Sophos Container oppure Annulla registrazione di SMSec. Questa azionerimuove dal dispositivo anche i criteri a esso connessi.

Installa app

Selezionare un’app dall’elenco delle app disponibili. Per informazioni su come aggiungere appall’elenco, vedere Aggiungi app (pagina 284).

Quando l’operazione viene trasferita sui dispositivi, gli utenti ricevono sui propri dispositivi unanotifica che comunica che Sophos Mobile desidera installare l'app. Gli utenti possono toccare OKper avviare il processo, oppure Non ora per ricevere un’altra notifica dopo un breve periodo ditempo.

Se gli utenti toccano OK ma poi toccano Annulla nella seguente finestra di dialogo di Android,l’operazione risulterà non riuscita.

Se l’app è già installata su un dispositivo che riceve l’operazione, tale app verrà aggiornata.



Installa app Google Play gestito

Questo tipo di operazione sarà disponibile solamente se è stato configurato Android Enterprise.

Selezionare un’app dall’elenco di app di Google Play gestito che sono state approvate perl’organizzazione. Per informazioni su come aggiungere app all’elenco, vedere Modifica delle app diGoogle Play gestito (pagina 322).

L’operazione di installazione verrà inviata a un servizio Google. Google procederà quindi a gestirel’installazione dell’app nel dispositivo. Nella pagina Vista operazioni, l’operazione risulterà comeriuscita, una volta inviata a Google.

In alternativa, è possibile installare app dalla pagina App approvate. Vedere Installazione di appapprovate (pagina 324).

Per informazioni su come disinstallare un’app dai dispositivi, vedere Disinstallazione di un’app diGoogle Play gestito (pagina 325).

Disinstalla app

Sotto Seleziona origine, selezionare App per scegliere un’app dall’elenco delle app disponibili.

Oltre alle app disponibili sul server di Sophos Mobile, l’elenco include le app in uso nei dispositivigestiti, ad eccezione delle app di sistema Android che sono state pre-installate dall’aziendaproduttrice del dispositivo.

È anche possibile disinstallare un’app che non è inclusa nell’elenco. Selezionare Identificatore einserire il nome del pacchetto dell’app che si desidera disinstallare dai dispositivi. Se si selezionaApp container Knox, l’app verrà disinstallata dal container Samsung Knox.

Quando l’operazione viene trasferita sui dispositivi, gli utenti ricevono sui propri dispositivi unanotifica che comunica che Sophos Mobile desidera disinstallare l'app. Gli utenti possono toccareOK per avviare il processo, oppure Non ora per ricevere un’altra notifica dopo un breve periodo ditempo.

Se gli utenti toccano OK ma poi toccano Annulla nella seguente finestra di dialogo di Android,l’operazione risulterà non riuscita.

Se l’app non è installata su un dispositivo che riceve l’operazione, non verrà visualizzata alcunanotifica.

Invia messaggio

Inserire un testo normale da visualizzare sui dispositivi.

Quando l’operazione viene trasferita sui dispositivi, il testo del messaggio verrà visualizzato in unafinestra di notifica. Gli utenti possono visualizzare i messaggi passati nella pagina Messaggi dell’appSophos Mobile Control.

Annulla registrazione

Quando l’operazione viene trasferita sui dispositivi, la loro registrazione a Sophos Mobile vieneannullata. Vedere Annulla registrazione dei dispositivi (pagina 49). Non occorre che gli utenti deidispositivi confermino l’operazione.



Non è possibile aggiungere un’operazione Annulla registrazione e Formatta allo stesso bundledelle operazioni.

Formatta

Quando l’operazione viene trasferita sui dispositivi, i dispositivi vengono ripristinati alle impostazionidi fabbrica. Non occorre che gli utenti dei dispositivi confermino l’operazione.

ImportanteUtilizzare questa operazione con estrema cautela. Tutti i dati sui dispositivi che ricevono questaoperazione vengono eliminati senza richiedere conferma da parte dell’utente.

NotaQuando un’operazione Formatta viene trasferita su un dispositivo Android Enterprise inmodalità proprietario del profilo, verranno rimossi solamente il profilo di lavoro e tutte le app diGoogle Play gestito.


Container Knox: blocca

Quando l’operazione viene trasferita su un dispositivo Samsung che supporta Samsung Knox, ilcontainer Knox viene bloccato.

Container Knox: sblocca

Quando l’operazione viene trasferita su un dispositivo Samsung che supporta Samsung Knox, ilcontainer Knox viene sbloccato.

Container Knox: reimposta password

Quando l’operazione viene trasferita su un dispositivo Samsung che supporta Samsung Knox,la password del container Knox viene reimpostata. Gli utenti devono poi impostare una nuovapassword per sbloccare il container Knox.

Container Knox: rimuovi

Quando l’operazione viene trasferita su un dispositivo Samsung che supporta Samsung Knox, ilcontainer Knox (incluse tutte le configurazioni inerenti a tale container) viene rimosso.

Avvia scansione SMSec

Quando l’operazione viene trasferita sui dispositivi, l’app Sophos Mobile Security viene attivataautomaticamente e in maniera invisibile per effettuare una scansione alla ricerca di malware e apppotenzialmente indesiderate (Potentially Unwanted App, PUA).



Per questa operazione, occorre che Sophos Mobile Security sia gestita da Sophos Mobile, ovverooccorre che al dispositivo venga assegnato un criterio di Mobile Security. Vedere Gestione diSophos Mobile Security (pagina 351).

Se Sophos Mobile Security non è gestita da Sophos Mobile su un dispositivo che riceve l’operazione(ovvero se al dispositivo non è stato assegnato un criterio di Mobile Security), l’operazione rimane instato Verrà ritentata.

15.3 Tipi di operazioni iOS disponibiliI seguenti tipi di operazioni sono disponibili per i bundle delle operazioni su iOS:

Registrati



Registra Sophos Container



Installa profilo

Selezionare un profilo o un criterio dall’elenco di profili e criteri disponibili. Per informazioni generalisu come aggiungere profili o criteri a questo elenco, vedere Profili e criteri (pagina 86).

Quando l’operazione viene trasferita sui dispositivi, il profilo viene installato automaticamente e inmaniera invisibile, oppure il criterio viene assegnato automaticamente e in maniera invisibile.

Disinstalla profilo

Sotto Seleziona origine, selezionare Profili e successivamente scegliere un profilo dall'elenco.


È anche possibile disinstallare un profilo che non è incluso nell’elenco. Selezionare Identificatore einserire l’identificatore del profilo che si desidera disinstallare dai dispositivi.

Quando si trasferisce l’operazione sui dispositivi, il profilo viene disinstallato automaticamente e inmaniera invisibile.



NotaNon è possibile disinstallare un criterio di Sophos Container direttamente dai dispositivi. Occorreinvece utilizzare l’azione del dispositivo Annulla registrazione di Sophos Container. Questaazione rimuove dal dispositivo anche il criterio a esso connesso.

Installa profilo di provisioning

Selezionare un profilo di provisioning delle app dall’elenco di profili disponibili. Per informazionisu come aggiungere profili all’elenco, vedere Importazione di profili di provisioning per le app iOS(pagina 89).

Quando l’operazione viene trasferita sui dispositivi, il profilo di provisioning viene installatoautomaticamente e in maniera invisibile.

Disinstalla profilo di provisioning

Sotto Seleziona origine, selezionare Profili e scegliere un profilo di provisioning dall'elenco.


È anche possibile rimuovere un profilo di provisioning che non è incluso nell’elenco. SelezionareIdentificatore e inserire l’identificatore del profilo che si desidera rimuovere dai dispositivi.

Quando l’operazione viene trasferita sui dispositivi, il profilo di provisioning viene rimossoautomaticamente e in maniera invisibile.

Riconfigura app SMC

Quando l’operazione viene trasferita su un dispositivo, all’utente verrà richiesto di scannerizzare uncodice QR o di inserire manualmente i dettagli di configurazione. Questa azione riconnette al serverun’app Sophos Mobile Control precedentemente disinstallata.

Notaprima di questa operazione, occorre effettuare un’operazione Installa app per l’app SophosMobile Control.

Installa app


Quando l’operazione viene trasferita sui dispositivi, gli utenti ricevono sui propri dispositivi unanotifica che comunica che Sophos Mobile desidera installare l'app. Gli utenti possono toccareInstalla per avviare il processo, oppure Annulla per rifiutare l’installazione.

Se gli utenti rifiutano l’installazione, l’operazione risulterà non riuscita.




Disinstalla app

Sotto Seleziona origine, selezionare App per scegliere un’app dall’elenco delle app disponibili.

Oltre alle app disponibili nel server di Sophos Mobile, l’elenco include le app che sono in uso neldispositivo gestito, ad eccezione delle app di sistema iOS.

È anche possibile disinstallare un’app che non è inclusa nell’elenco. Selezionare Identificatore einserire il nome dell’ID del bundle dell’app che si desidera disinstallare dai dispositivi.

Quando si trasferisce l’operazione sui dispositivi, l’app verrà disinstallata automaticamente e inmaniera invisibile.

Installa l'aggiornamento iOS più recente

Quando l’operazione viene trasferita sui dispositivi, sarà installato l’ultimo aggiornamento delsoftware iOS disponibile. Potrebbero essere installati aggiornamenti diversi, a seconda del modellodel dispositivo iOS.

Il software iOS può essere aggiornato per i seguenti tipi di dispositivi:

• Dispositivi supervisionati con iOS 10.3 o versioni successive

• Dispositivi Apple DEP supervisionati

Negli altri dispositivi, l’operazione risulterà non riuscita.

Invia messaggio

Inserire un testo normale da visualizzare sui dispositivi.

Quando l’operazione viene trasferita sui dispositivi, il testo del messaggio verrà visualizzato in unafinestra di notifica. Gli utenti possono visualizzare i messaggi passati nella pagina Messaggi dell’appSophos Mobile Control.




Formatta






15.4 Tipi di operazioni macOS disponibiliSono disponibili i seguenti tipi di operazioni per i bundle delle operazioni di macOS:

Registrati



Assegna criterio dispositivo

Selezionare un criterio dall’elenco di criteri del dispositivo che sono disponibili per macOS. Perinformazioni su come aggiungere criteri all’elenco, vedere Profili e criteri (pagina 86).

Quando si trasferisce l’operazione sui dispositivi, il criterio viene assegnato al dispositivoautomaticamente e in maniera invisibile. Se è già presente un criterio del dispositivo assegnato,quello originale sarà sostituito.

Assegna criterio utente

Selezionare un criterio dall’elenco di criteri utente che sono disponibili per macOS. Per informazionisu come aggiungere criteri all’elenco, vedere Profili e criteri (pagina 86).

Quando si trasferisce l’operazione sui dispositivi, il criterio viene assegnato al dispositivoautomaticamente e in maniera invisibile. Se è già presente un criterio utente assegnato, quellooriginale sarà sostituito.

I criteri utente saranno applicati agli utenti al loro successivo accesso al Mac.




Formatta

Impostare un PIN per il blocco del sistema di 6 cifre.

Quando l’operazione viene trasferita su un Mac, quest’ultimo si riavvierà e comincerà a formattare ildisco. L’utente dovrà immettere nel Mac il PIN per il blocco del sistema per sbloccarlo.



Non è possibile aggiungere un’operazione Annulla registrazione e Formattaallo stesso bundledelle operazioni.



15.5 Tipi di operazioni Windows disponibiliI seguenti tipi di operazioni sono disponibili per i bundle delle operazioni su Windows:

Registrati



Assegna criterio

Selezionare un criterio dall’elenco di criteri del dispositivo che sono disponibili. Per informazioni sucome aggiungere criteri all’elenco, vedere Profili e criteri (pagina 86).

Quando si trasferisce l’operazione sui dispositivi, il criterio viene assegnato al dispositivoautomaticamente e in maniera invisibile. Se è già presente un criterio del dispositivo assegnato,quello originale sarà sostituito.

Installa app


Quando si trasferisce l’operazione sui dispositivi, l’app viene installata automaticamente e in manierainvisibile.


Disinstalla app

Selezionare un’app dall’elenco delle app disponibili.

L’elenco include le app configurate nel server di Sophos Mobile e le app installate in tutti i computerWindows gestiti, ad eccezione delle app di sistema Windows.



Quando si trasferisce l’operazione sui dispositivi, l’app selezionata viene disinstallataautomaticamente e in maniera invisibile.

NotaÈ possibile disinstallare solamente le app che sono state installate da Sophos Mobile. Se sieffettua il tentativo di disinstallare un’app installata da un utente, l’operazione risulterà non riuscita.




Formatta




15.6 Duplicazione dei bundle delle operazioniDal momento che la creazione di bundle delle operazioni può richiedere molto tempo, è possibileduplicare bundle delle operazioni già completati. Questa funzione può essere utile nel caso in cui sirichiedano diversi bundle delle operazioni aventi operazioni simili. In questo caso ci si dovrà limitaread aggiungere o cancellare alcune operazioni.

Notaè possibile duplicare bundle delle operazioni solo se non li si sta contemporaneamentemodificando. le copie effettuate riporteranno il nome “Copy of” (Copia di) seguito dal nome delbundle originale. È possibile rinominare i bundle in base alle proprie necessità.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni esuccessivamente cliccare su Android o iOS.Verrà visualizzata la pagina Bundle delle operazioni.

2. Cliccare sul triangolo blu di fianco al bundle delle operazioni che si desidera copiare, esuccessivamente cliccare su Duplica.

Il bundle delle operazioni verrà duplicato e visualizzato nella pagina Bundle delle operazioni. Cliccaresul bundle delle operazioni duplicato per modificarlo.



15.7 Trasferimento dei bundle delle operazioni adispositivi singoli o a gruppi di dispositivi1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni e

successivamente cliccare su Android o iOS.Verrà visualizzata la pagina Bundle delle operazioni.

2. Cliccare sull'icona a forma di triangolo blu di fianco all'operazione richiesta, e successivamentecliccare su Trasferisci.Verrà visualizzata la pagina Seleziona dispositivi.


• Selezionare i singoli dispositivi su cui si desidera trasferire il bundle delle operazioni.

• Cliccare su Seleziona gruppi di dispositivi per aprire la pagina Seleziona gruppi didispositivi, e selezionare uno o più gruppi di dispositivi per il trasferimento del bundle delleoperazioni.

4. Una volta effettuata la selezione, cliccare su Avanti.Verrà visualizzata la pagina Imposta data di esecuzione.

5. Sotto Data pianificata, selezionare Ora o indicare una data e un orario per l'esecuzione di questaoperazione.

6. Cliccare su Fine.Viene aperta la pagina Vista operazioni.

Il bundle delle operazioni verrà trasferito sui dispositivi selezionati alla data e all’ora specificate.



16 AppLe app possono essere configurate in modo da essere disponibili per l’installazione da SophosMobile Admin (installazione avviata dall’amministratore), oppure tramite l’app Sophos Mobile Control(installazione avviata dall’utente).

La gestione delle app è disponibile per le seguenti piattaforme:

• Android

• iOS

• macOS (Solo app VPP. Vedere Gestione delle app dell’Apple VPP (pagina 296).)

• Windows

• Windows Mobile

Per rendere un’app disponibile in Sophos Mobile, è possibile procedere in uno dei seguenti modi:

• Caricando il pacchetto dell’app sul server di Sophos Mobile. Questa opzione non è disponibile perle app Windows Mobile, per le app Mac o per i dispositivi in cui Sophos Mobile gestisce solamenteSophos Container.

• Fornendo un link all’app nel rispettivo app store.

Per entrambe le opzioni, vedere Aggiungi app (pagina 284).

Per installare un’app su un dispositivo, creare un bundle delle operazioni contenente un’operazioneInstalla app. Per i dispositivi Android e iOS, è possibile creare bundle delle operazioni di questogenere direttamente dalla pagina App. Vedere Installa app (pagina 285).

NotaPer poter installare pacchetti di app collocati nel server di Sophos Mobile (a differenzadell’installazione dall’app store), occorre che vengano rispettate le seguenti condizioni:

• Per Android, l’impostazione di sicurezza Android Origini sconosciute deve essere abilitatasui dispositivi. Quando si cerca di installare un file APK con l’opzione Origini sconosciutedisabilitata, l’app Sophos Mobile Control dirige gli utenti sulla pagina dove possono abilitarequesta impostazione. Questa restrizione non è applicabile a dispositivi con: LG GATE,Samsung Knox o Sony Enterprise API.

• Per iOS, l’installazione delle app da file IPA è possibile solamente per le app sviluppateautonomamente. Quando l’app è pronta per la distribuzione, occorre creare un profilo diprovisioning per l’app, e renderlo disponibile sui dispositivi, installandolo separatamente eanticipatamente, oppure includendolo nel file IPA dell'app. È anche possibile utilizzare SophosMobile per distribuire i profili di provisioning sui dispositivi iOS. Vedere Importazione di profili diprovisioning per le app iOS (pagina 89). Per informazioni dettagliate sui profili di provisioning,vedere la iOS Developer Library.

16.1 Aggiungi appUn’app può essere resa disponibile per l’installazione caricando il pacchetto dell’app, oppure fornendoun link all’app nel rispettivo app store.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e successivamente cliccare sula piattaforma a cui si desidera aggiungere l'app.



2. Cliccare su Aggiungi app e selezionare l’opzione richiesta:

• Pacchetto per Android: aggiunge un’app Android caricando il file APK in Sophos Mobile.

• Pacchetto per iOS: aggiunge un’app iOS caricando il file IPA in Sophos Mobile.

• Link per Android: aggiunge un’app Android con un link in Google Play.

• Link per iOS: aggiunge un’app iOS con un link nell’App Store.

• Link per Windows Mobile: aggiunge un’app Windows Mobile con un link nel Microsoft Store.

• Link per MSI: aggiunge un’app Windows con un link al relativo file di installazione MSI.

• Link per Microsoft Store: aggiunge un’app Windows con un link nel Microsoft Store.

3. Per le app Mac, cliccare su Importa app VPP per importare l'elenco di app acquistate con l'AppleVolume Purchase Program (VPP). Vedere Gestione delle app dell’Apple VPP (pagina 296).

4. Configurare le impostazioni delle app a seconda delle proprie esigenze.

5. Cliccare su Salva per salvare le impostazioni dell’app e tornare alla pagina App.

L'app è ora disponibile per l'installazione. Verrà visualizzata nella pagina App. Se è stato configurato ilcampo Disponibile per gruppi di dispositivi, l’app verrà anche visualizzata nell’Enterprise App Storedell'app Sophos Mobile Control, dove potrà essere installata dagli utenti. Il processo di installazioneavverrà autonomamente o richiedendo interazioni minime da parte dell'utente.

Notanei dispositivi in cui Sophos Mobile gestisce solamente Sophos Container non saranno disponibilile app aggiunte caricando il file APK (per le app Android) o il file IPA (per le app iOS).

Riferimenti correlatiImpostazioni app (Android) (pagina 288)Impostazioni app (iOS) (pagina 289)Impostazioni delle app (macOS) (pagina 291)Impostazioni app (Windows Mobile) (pagina 292)Impostazioni app (Windows) (pagina 293)

16.2 Installa app

NotaQuesta sezione non è applicabile ad Android Enterprise. Per installare app per Android Enterprise,vedere Installazione di app approvate (pagina 324).

NotaQuesta sezione non è applicabile ai dispositivi in cui Sophos Mobile gestisce solamente SophosContainer.

Una volta aggiunta un’app a Sophos Mobile secondo quanto indicato nella sezione Aggiungi app(pagina 284), sarà possibile effettuarne l’installazione manuale da dispositivi o gruppi di dispositividesiderati.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e successivamente sullapiattaforma per cui si desidera installare un’app.



2. Nella pagina App, cliccare sul triangolo blu accanto all’app richiesta, e successivamente suInstalla.

3. Selezionare i dispositivi su cui si desidera installare l’app. Procedere in uno dei seguenti metodi:

• Selezionare i singoli dispositivi.

• Cliccare su Seleziona gruppi di dispositivi e successivamente selezionare uno o più gruppidi dispositivi.

Una volta pronti per proseguire, cliccare su Avanti.

4. Nella pagina Imposta data di esecuzione, definire la data in cui verrà installata l’app:

• Selezionare Ora per l’esecuzione immediata.

• Selezionare Data e successivamente inserire una data e un’ora per l’esecuzione pianificata.


L’app selezionata verrà installata sui dispositivi selezionati nella data specificata.

NotaNei seguenti dispositivi, le app vengono installate in maniera invisibile, ovvero senza l’interazionedell’utente:

• Dispositivi iOS supervisionati

• Dispositivi Android Enterprise

• Dispositivi Android con Samsung Knox Standard SDK 5.1 o versioni successive

• Dispositivi Android con LG GATE

• Dispositivi Android con Sony Enterprise API versione 8 o successive

• Computer Windows, se è stata configurata l’opzione di installazione /quiet per l’app.

Per i dispositivi Samsung, LG e Sony indicati sopra, vengono installati automaticamente solo i fileAPK e non le app installate da Google Play.

ConsiglioLo stato dell’operazione può essere visualizzato nella pagina Vista operazioni.

ConsiglioUn’app può anche essere installata utilizzando una delle seguenti opzioni:

• Per installare un’app su un solo dispositivo: nella pagina Mostra dispositivo del dispositivo,selezionare la scheda App installate e successivamente cliccare su Installa app.

• Per installare un’app su dispositivi multipli: nella pagina Dispositivi, selezionare i dispositivirichiesti e cliccare su Azioni > Installa app.

• Per installare un’app su uno o più dispositivi come parte di un bundle delle operazioni:aggiungere un’operazione Installa app al bundle delle operazioni, e trasferirlo sui dispositivi ogruppi di dispositivi desiderati.



16.3 Disinstalla app

NotaQuesta sezione non è applicabile ad Android Enterprise. Per disinstallare app per AndroidEnterprise, vedere Disinstallazione di un’app di Google Play gestito (pagina 325).

NotaQuesta sezione non è applicabile ai dispositivi in cui Sophos Mobile gestisce solamente SophosContainer.

Una volta aggiunta un’app a Sophos Mobile secondo quanto indicato nella sezione Aggiungi app(pagina 284), sarà possibile effettuarne la disinstallazione manuale da dispositivi o gruppi didispositivi desiderati.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e successivamente sullapiattaforma da cui si desidera disinstallare un’app.

2. Nella pagina App, cliccare su Disinstalla.

3. Selezionare i dispositivi da cui si desidera disinstallare l’app. Procedere in uno dei seguenti metodi:




4. Nella pagina Seleziona app, selezionare l’app richiesta.

5. Nella pagina Imposta data di esecuzione, definire la data in cui verrà disinstallata l’app:




L’app selezionata verrà disinstallata dai dispositivi selezionati nella data specificata.

NotaNei seguenti dispositivi, le app verranno disinstallate in maniera invisibile, ovvero senzainterazione da parte dell’utente:

• App gestite in dispositivi iOS supervisionati

• Computer Windows, se è stata configurata l’opzione di installazione /quiet per l’app.

ConsiglioIn alternativa, è possibile utilizzare la seguente procedura per disinstallare l’app da un singolodispositivo: Aprire la pagina Mostra dispositivo corrispondente al dispositivo, selezionare lascheda App installate e successivamente cliccare sull’icona a forma di cestino accanto al nomedell’app da rimuovere.



16.4 Impostazioni app (Android)



Nome Un nome per l’app.

Versione Per i pacchetti di app, la versione indicatanell’Enterprise App Store.

Per i link all’app, Sophos Mobile utilizzerà laversione di Google Play.

Identificatore app L’identificatore interno dell’app.

Per i link all'app, cliccare su Ottieni dati perottenere il valore da Google Play.

Per i pacchetti di app, Sophos Mobile otterrà ilvalore dal file APK.

Categoria app Il nome di una categoria, ad es.Produttività.

Quando verrà pubblicata nell’Enterprise AppStore, l’app sarà elencata in una sezione aventeil nome specificato.

Disponibile per gruppi di dispositivi L’app può essere pubblicata nell’Enterprise AppStore per consentire l’avvio dell’installazioneper mano dell’utente. Cliccare su Mostra eselezionare uno o più gruppi di dispositivi per iquali l’app verrà visualizzata nell’Enterprise AppStore.

Descrizione La descrizione dell’app indicata nell’EnterpriseApp Store.

È possibile utilizzare il segnaposto%_appstoretext_% ovunque si desideriall’interno del testo della descrizione.Nell’Enterprise App Store, questo valore verràsostituito dalla descrizione effettiva dell’app,tratta da Google Play.

Installa nel container Knox Per i dispositivi Samsung Knox, l’app verràinstallata all’interno del container Knox.

Questa impostazione è disponibile solamentese è stata configurata una licenza SamsungKnox.



Impostazioni per i link alle app


Link L’URL dell’app in Google Play.

Per determinare l’URL, cliccare su VisitaGoogle Play per aprire Google Play in unanuova scheda del browser e caricare la paginadell’app. Copiare quindi l’URL dalla barra degliindirizzi della scheda, e incollarlo nel campoLink.

Una volta immesso l'URL, cliccare su Ottienidati per compilare automaticamente il campoIdentificatore app.

Impostazioni per i pacchetti di app


Carica file Cliccare su Carica file per caricare l’app nelserver di Sophos Mobile. Cercare il file APK ecliccare su Apri.

Attività correlateAggiungi app (pagina 284)

16.5 Impostazioni app (iOS)




Per le app Apple VPP, questo campo è di solalettura.

Versione La versione indicata nell’Enterprise App Store.

Per i link all’app, Sophos Mobile utilizzerà laversione tratta dall’App Store.






Per i link all'app, cliccare su Ottieni dati perottenere il valore dall'App Store.

Per i pacchetti di app, Sophos Mobile otterrà ilvalore dal file IPA.





Installazione gestita di Sophos Mobile L’app sarà installata come app gestita. VedereApp gestite per iOS (pagina 296).

Questa impostazione riguarda solamente leapp installate dagli utenti tramite EnterpriseApp Store. Le app installate da Sophos MobileAdmin sono sempre gestite.


È possibile utilizzare il segnaposto%_appstoretext_% ovunque si desideriall’interno del testo della descrizione.Nell’Enterprise App Store, questo valore vienesostituito dalla descrizione effettiva dell’app,tratta dall’App Store.

Impostazioni e VPN Cliccare su Mostra per configurare unaconnessione VPN da utilizzare all’avvio dell’app,oppure per configurare le impostazioni dell’appda applicare al dispositivo durante l’installazionedell’app.

Licenze VPP Cliccare su Mostra per assegnaremanualmente l’app a utenti o dispositivi. VedereAssegnazione delle app VPP (pagina 299).

Questa impostazione è disponibile solo per leapp dell’Apple VPP.



Impostazioni per i link alle app


Cerca su iTunes Cliccare su Cerca su iTunes per cercare l'appnel database dell'App Store.

Quando si seleziona un’app nell’elenco deirisultati di ricerca, i seguenti campi verrannocompilati automaticamente:

• Identificatore app

• Categoria app

• Link

Link L’URL dell’app nell’App Store.

Per definire l’URL, cliccare su Ottieni link peraprire iTunes Link Maker in una nuova schedadel browser. Cercare l’app in Link Maker ecopiare l’URL visualizzato sotto Link diretto nelcampo Link in Sophos Mobile Admin.


Impostazioni per i pacchetti di app


Carica file Cliccare su Carica file per caricare l’app nelserver di Sophos Mobile. Cercare il file IPA ecliccare su Apri.


16.6 Impostazioni delle app (macOS)


Nome Il nome dell’app.

Questo campo è di sola lettura.

Versione La versione dell’app dall’App Store.








Al momento, questo valore non è in uso.

Descrizione Una descrizione dell’app.

Al momento, questo valore non è in uso.

Licenze VPP Cliccare su Mostra per assegnaremanualmente l’app a utenti o dispositivi. VedereAssegnazione delle app VPP (pagina 299).

Questa impostazione è disponibile solo per leapp dell’Apple VPP.

Link L’URL dell’app nell’App Store.


16.7 Impostazioni app (Windows Mobile)



Versione La versione dell’app.

Sophos Mobile utilizza la versione fornita dalMicrosoft Store.




È possibile utilizzare il segnaposto%_appstoretext_% ovunque si desideriall’interno del testo della descrizione.Nell’Enterprise App Store, questo valore vienesostituito dalla descrizione effettiva dell’app,tratta dal Microsoft Store.





Link L’URL dell’app nel Microsoft Store.

Per determinare l’URL, cliccare su VisitaMicrosoft Store per aprire il Microsoft Store perle app Windows Phone in una nuova scheda delbrowser e caricare la pagina dell’app. Copiarequindi l’URL dalla barra degli indirizzi dellascheda, e incollarlo nel campo Link.


16.8 Impostazioni app (Windows)




Versione La versione dell’app.


Descrizione Una descrizione dell’app.

Impostazioni per i link ai file MSI


GUID codice prodotto La GUID CodiceProdotto del file MSI.

NotaSe si immette un valore GUID errato, non saràpossibile disinstallare l’app.

Link L’URL del file MSI.




Hash del file SHA-256 Il valore di hash SHA-256 del file MSI.

NotaSe si immette un valore hash errato, non saràpossibile installare l’app.

Opzioni di installazione Opzioni della riga di comando per il fileeseguibile del programma di installazionemsiexec.exe.

L’opzione predefinita /quiet installa l’appsenza alcuna interazione da parte dell’utente.

Per maggiori informazioni su queste impostazioni, vedere Determinazione delle impostazioni per ilink agli MSI Windows (pagina 295).

Impostazioni per i link a Microsoft Store


ID dello store L’ID dello store per l’app in Microsoft Store. Ilvalore viene immesso automaticamente quandosi clicca su Ottieni dati.

Codice SKU Il codice SKU (codice di riferimento delprodotto) dell’app nel catalogo Microsoft Store.

I codici SKU delle app potrebbero essere diversitra versioni complete e versioni di prova gratuitae potrebbero variare in base alle regioni dimercato.

Se non si dovesse conoscere il codice SKU diun’app, utilizzare il valore predefinito 0010.

Nome della famiglia di pacchetti Il nome della famiglia di pacchetti (PackageFamily Name, PFN) dell’app.

Il valore viene immesso automaticamentequando si clicca su Ottieni dati.




Link L’URL dell’app nel Microsoft Store.

Per determinare l’URL, cliccare su VisitaMicrosoft Store per aprire il Microsoft Storeper le app Windows in una nuova scheda delbrowser e caricare la pagina dell’app. Copiarequindi l’URL dalla barra degli indirizzi dellascheda, e incollarlo nel campo Link.

Una volta immesso l’URL, cliccare su Ottienidati per compilare automaticamente i seguenticampi:

• ID del prodotto

• Nome della famiglia di pacchetti


16.9 Determinazione delle impostazioni per i linkagli MSI WindowsQuesta sezione indica come stabilire le impostazioni delle app per i link agli MSI Windows.

• GUID codice prodotto: se il Microsoft Windows SDK è già stato installato, utilizzare il programmaOrca in esso contenuto per ottenere il valore del CodiceProdotto di un file MSI. Per un esempio,leggere la descrizione nella pagina web Use Orca to find MSI file GUID product code (in inglese).

In alternativa, utilizzare uno script di PowerShell. Questi script sono reperibili su internet, adesempio nella pagina web How to get MSI file information with PowerShell (in inglese).

NotaIl valore immesso nel campo GUID codice prodotto non deve includere parentesi iniziali efinali.

• Hash del file SHA-256: utilizzare il comando PowerShell Get-FileHash per ottenere il valore dihash SHA-256 di un file MSI:

PS> Get-FileHash <percorso-al-file-MSI>

Per maggiori informazioni sul comando Get-FileHash, consultare la pagina web di MicrosoftGet-FileHash (in inglese).

• Opzioni di installazione: per informazioni sulle opzioni della riga di comando disponibili perl’installazione dei file MSI, consultare la pagina web di Microsoft Standard Installer Command-LineOptions (in inglese).

Riferimenti correlatiImpostazioni app (Windows) (pagina 293)


https://qtechbabble.wordpress.com/2016/12/20/use-orca-to-look-up-msi-file-guid/

http://www.scconfigmgr.com/2014/08/22/how-to-get-msi-file-information-with-powershell/

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash

https://msdn.microsoft.com/it-it/library/windows/desktop/aa372024.aspx

https://msdn.microsoft.com/it-it/library/windows/desktop/aa372024.aspx


16.10 App gestite per iOSQuando si aggiunge un’app iOS a Sophos Mobile, è possibile specificarne l’installazione come appgestita o non gestita sui dispositivi degli utenti.

Le app gestite hanno le seguenti caratteristiche:

• Quando gli utenti selezionano un’app gestita nell’Enterprise App Store, si crea un’operazione diinstallazione che viene elaborata in Sophos Mobile. Quando invece gli utenti selezionano un’appnon gestita, vengono reindirizzati sull’Apple App Store per effettuare l’installazione dell’app.

• Le app gestite possono essere disinstallate da Sophos Mobile Admin. Ciò non è possibile per leapp non gestite.

• Nei dispositivi iOS supervisionati, le app gestite vengono installate e disinstallate in manierainvisibile, ovvero senza l’interazione dell’utente.

• Alcune impostazioni nei profili dei dispositivi iOS sono disponibili solamente per le app gestite.

• Quando viene annullata la registrazione di un dispositivo iOS a Sophos Mobile, tutte le appgestite vengono immediatamente disinstallate dal dispositivo. Le app non gestite rimangono neldispositivo.

Le seguenti regole determinano se un’app viene installata come gestita o non gestita:

• Le app installate da Sophos Mobile Admin sono sempre gestite.

• Le app che l’utente installa dall’App Store sono sempre non gestite.

• Le app che l’utente installa dall’Enterprise App Store sono gestite se è stata attivata l’impostazioneInstallazione gestita di SMC nelle proprietà dell’app, come indicato nella sezione Aggiungi app(pagina 284).

Per verificare lo stato di un’app in un dispositivo, aprire la pagina Mostra dispositivo del dispositivodesiderato, e selezionare la scheda App installate. Vedere Pagina "Mostra dispositivo" (pagina 50).

ConsiglioSe un utente ha installato un’app non gestita, è possibile trasformare questa app in un’appgestita. Per effettuare questa operazione, configurare l’app in Sophos Mobile come gestita, esuccessivamente creare per essa un’operazione di installazione. Poiché l’app è già installata, nonverrà reinstallata, ma il suo stato cambierà da non gestita a gestita.

16.11 Gestione delle app dell’Apple VPPL’Apple Volume Purchase Program (VPP) consente di acquistare volumi di app iOS e macOS dadistribuire all’interno della propria azienda.

Una volta effettuato un ordine tramite Apple VPP, sarà possibile scaricare un sToken (token diservizio) contenente le licenze delle app acquistate.

Per ulteriori informazioni su come registrarsi e utilizzare l'Apple Volume Purchase Program,consultare la pagina Web http://www.apple.com/business/vpp/.

Per informazioni dettagliate su come assegnare app VPP a utenti o dispositivi, vedere Assegnazioneautomatica di app VPP iOS (pagina 300) e Assegnazione delle app VPP (pagina 299).


http://www.apple.com/business/vpp/


Assegnazione di app VPP agli utenti

In Sophos Mobile, è possibile fornire agli utenti le licenze incluse nell’sToken inviando loro un invitoa diventare utenti autorizzati dell’Apple VPP. Una volta accettato l’invito, gli utenti diventeranno utentiautorizzati del VPP, per cui sarà possibile assegnare app VPP a tali utenti.

Assegnazione di app VPP ai dispositivi

È anche possibile assegnare app VPP ai dispositivi. Non occorre invitare i dispositivi al VPP.

Nota• Quando viene disinstallata un’app VPP da un dispositivo, Sophos Mobile revoca

l’assegnazione dell’app VPP.

• Quando viene annullata la registrazione di un dispositivo da Sophos Mobile, Sophos Mobilerevoca tutte le assegnazioni di app VPP.

16.11.1 Impostazione dell'Apple VPP

Per impostare l'Apple VPP, caricare l'sToken (token di servizio) del proprio account Apple VPP suSophos Mobile e configurare le impostazioni di assegnazione delle app.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Apple VPP.

2. Cliccare sul link Portale Apple iTunes VPP.Così facendo, verrà aperto il portale web dell’Apple VPP in una nuova finestra del browser.

3. Su questa pagina, selezionare Imprese.

4. Nella finestra di dialogo Vai allo Store per le imprese, inserire il proprio ID Apple e la password.

5. Navigare sulla pagina Account Summary e cliccare su Download Token.L’sToken verrà così generato e salvato sul computer locale, con le impostazioni di download delbrowser web, in un file di testo avente estensione .vpptoken.

6. Richiesto: Salvare il file dell’sToken su un percorso a cui sia possibile accedere da Sophos MobileAdmin.

7. In Sophos Mobile Admin, tornare alla scheda Apple VPP, cliccare su Carica file, selezionare il filedell’sToken e cliccare su Apri.Sophos Mobile leggerà il file e popolerà i campi Organizzazione e Data di scadenza secondo idettagli forniti dall’sToken.

8. In Assegna automaticamente app VPP durante l’installazione, configurare l'assegnazioneautomatica delle app VPP. Vedere Assegnazione automatica di app VPP iOS (pagina 300).

9. Richiesto: Selezionare Aggiorna automaticamente le app VPP assegnate al dispositivo percomunicare all'utente se è disponibile un aggiornamento per un'app VPP. Questa azione vieneapplicata a tutte le app VPP assegnate a un iPhone o a un iPad.

Per le app VPP assegnate a un utente, l'utente dovrà aprire l'App Store per gli aggiornamenti.

10. Richiesto: È possibile compilare anche gli altri campi della scheda Apple VPP.

Nel campo Paese, inserire il codice di due lettere del paese, ad es. US per gli Stati Uniti.




16.11.2 Invita gli utenti a iscriversi all'Apple VPP

Prima di poter invitare gli utenti a iscriversi all’Apple Volume Purchase Program (VPP), occorreimpostare un sToken. Vedere Impostazione dell'Apple VPP (pagina 297).

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Utenti.

2. Nella pagina Utenti è possibile invitare all’Apple VPP tutti gli utenti, oppure singoli utenti specifici:

• Per invitare tutti gli utenti:

a) Cliccare su Invita gli utenti a iscriversi all'Apple VPP nella parte in alto della paginaUtenti.

b) Cliccare su Sì nella casella di dialogo di conferma.

• Per invitare un utente specifico:

a) Cliccare sull’utente che si desidera invitare.

b) Nella pagina successiva, cliccare su Invita utenti al VPP.

c) Cliccare su Sì nella casella di dialogo di conferma.

Sophos Mobile invierà un invito tramite e-mail a tutti gli utenti specificati.

Gli utenti dovranno seguire il link contenuto nella propria e-mail di invito per connettere il proprioaccount Apple iTunes all’Apple VPP. Sarà quindi possibile installare e utilizzare le app concesse inlicenza all'azienda.

16.11.3 Gestione degli utenti dell’Apple VPP

Quando si imposta un sToken per l’Apple VPP come indicato in Impostazione dell'Apple VPP(pagina 297), la pagina Mostra utente di ciascun utente includerà una sezione Apple VolumePurchase Program (VPP).

In questa sezione è possibile effettuare le seguenti operazioni per visualizzare o modificare lo statoApple VPP dell’utente:

• Visualizzare lo stato Apple VPP dell'utente. Può essere:

— Non registrato: L’utente non è stato invitato all’Apple VPP.

— Registrato: L’utente è stato invitato all’Apple VPP, ma non ha connesso il proprio accountApple iTunes all’Apple VPP.

— Associato: L’utente ha connesso il proprio account Apple iTunes all’Apple VPP e può installareapp VPP.

• Visualizzare le app dell’Apple VPP che sono state installate dall’utente.

• Invitare l’utente all’Apple VPP, cliccando su Invita utente al VPP.

Nella maggior parte dei casi verrà inviata all’utente un’e-mail con un link di invito. Se l’accountutente non contiene un indirizzo e-mail, il link di invito verrà visualizzato in una finestra dimessaggio.

• Inviare un’altra e-mail di invito, se l’utente non dovesse aver ricevuto, oppure se dovesse averperso, l’e-mail iniziale, cliccando su Invia di nuovo l'e-mail di invito.

• Annullare la registrazione dell’utente all’Apple VPP cliccando su Cancella registrazione al VPP.



16.11.4 Assegnazione delle app VPP

Le app acquistate con l’Apple Volume Purchase Program (VPP) possono essere assegnate a utentio dispositivi.

Le app VPP iOS possono anche essere assegnate automaticamente durante l’installazione su uniPhone o iPad. Questa opzione non è disponibile per le app VPP sui Mac. Vedere Assegnazioneautomatica di app VPP iOS (pagina 300).

Per assegnare un’app VPP a utenti o dispositivi:

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App > iOS o su App > macOS.

Si aprirà la pagina App, che visualizza un elenco di app che sono state precedentemente aggiuntea Sophos Mobile.

2. Per aggiungere all’elenco di app le app acquistate tramite Apple VPP, cliccare su Importa appVPP.

Questa operazione recupera le informazioni relative all’app dal server dell’Apple VPP, eall’occorrenza crea voci relative all’app in Sophos Mobile.

3. Cliccare sull’app VPP che si desidera assegnare agli utenti o ai dispositivi.

ConsiglioLe app VPP sono contrassegnate da un’icona a forma di simbolo di spunta nella colonna VPP.

4. Nella pagina Modifica app iOS o Modifica app macOS, cliccare su Mostra accanto all’opzioneLicenze VPP.

Si aprirà la finestra di dialogo Licenze VPP.

5. Per assegnare l’app a uno o più utenti, cliccare su Utenti VPP e selezionare gli utenti desiderati.

L’elenco contiene tutti gli utenti che sono stati registrati o associati all’Apple VPP.

6. Per assegnare l’app a uno o più dispositivi, cliccare su Dispositivi e selezionare i dispositividesiderati.

L’elenco contiene tutti i dispositivi con stato Gestito.

7. Cliccare su Applica per confermare le modifiche effettuate e per chiudere la finestra di dialogoLicenze VPP.

8. Per impostazione predefinita, le app VPP non sono assegnate ad alcun gruppo di dispositivi. Perassegnare un’app a uno o più gruppi di dispositivi, cliccare su Mostra, accanto a Disponibile pergruppi di dispositivi, e successivamente selezionare uno o più gruppi di dispositivi che potrannovisualizzare l’app nell’Enterprise App Store.

9. Per impostazione predefinita, le app VPP iOS vengono installate nei dispositivi degli utenti inmodalità gestita. Per installare un’app in modalità non gestita, deselezionare la casella di spuntaInstallazione gestita di Sophos Mobile.

Per informazioni sulle app iOS gestite, vedere App gestite per iOS (pagina 296).

10. Cliccare su Salva per salvare le modifiche e sincronizzare l’assegnazione dell’app con il serverdell’Apple VPP.

ConsiglioPer eliminare le modifiche apportate all’assegnazione che sono state effettuate nellafinestra di dialogo Licenze VPP, cliccare su Applica per chiudere la finestra di dialogo, esuccessivamente cliccare su Indietro per uscire dalla pagina Modifica link per iOS senzasalvare le modifiche nel database.



Per installare l’app assegnata su un dispositivo:

• Le app assegnate a un utente possono essere installate dalla vista Acquisti dell’app App Store suidispositivi degli utenti.

• Le app assegnate a un iPhone o iPad possono essere installate dall’amministratore tramite SophosMobile. Vedere Installa app (pagina 285).

• Le app assegnate a un Mac vengono automaticamente installate dopo l’assegnazione. L’app èdisponibile per tutti gli utenti Mac.

Per rimuovere l’assegnazione di un’app:

• Aprire la casella di dialogo Licenze VPP come indicato precedentemente e deselezionare gli utentio i dispositivi desiderati.

NotaSiccome lo stato delle app VPP viene gestito dal server dell’Apple VPP, potrebbe trascorrere deltempo prima che i dispositivi riflettano le modifiche effettuate in Sophos Mobile.

16.11.5 Assegnazione automatica di app VPP iOS

Le app iOS acquistate con l’Apple Volume Purchase Program (VPP) possono essereautomaticamente assegnate al dispositivo su cui è installata l’app. Se il dispositivo non supportal’assegnazione di app VPP, l’app viene assegnata all’utente che è assegnato al dispositivo.

Nota• Per supportare l’assegnazione di app VPP, lo stato dei dispositivi deve essere Gestito.

• Le app VPP macOS possono essere assegnate solo manualmente. Vedere Assegnazionedelle app VPP (pagina 299).

L’ordine di precedenza può essere invertito, e favorire l’assegnazione a un utente piuttosto che aun dispositivo; in alternativa è anche possibile disattivare l’assegnazione automatica e assegnareinvece le app VPP manualmente, come indicato nella sezione Assegnazione delle app VPP (pagina299).

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema.

2. Nella pagina Impostazione del sistema, cliccare sulla scheda Apple VPP.

3. Nell’elenco Assegna automaticamente app VPP durante l’installazione, selezionare l’opzionedesiderata:

• Prefer. al dispositivo: Se il dispositivo supporta questa opzione, l’app VPP viene assegnataal dispositivo. Altrimenti l’app VPP viene assegnata all’utente che è assegnato al dispositivo.Se non è assegnato alcun utente al dispositivo, non sarà possibile effettuare l’assegnazionedell’app.

• Prefer. all’utente: Se al dispositivo è assegnato un utente, l’app VPP viene assegnataall’utente in questione. Altrimenti, l’app viene assegnata al dispositivo. Se il dispositivo nonsupporta questa opzione, non sarà possibile effettuare l’assegnazione dell’app.

• Disabilitata: Le app VPP non vengono assegnate automaticamente. Selezionando questaopzione, occorrerà assegnare le app VPP manualmente.



16.11.6 Sincronizzazione delle informazioni relative alle licenzeVPP

Per motivi legati alla performance, Sophos Mobile conserva una chiave locale delle informazionirelative alle licenze VPP. È possibile fare in modo che Sophos Mobile sincronizzi i propri dati VPP conil server dell’Apple VPP.

NotaOccorre sincronizzare i dati VPP solamente se le informazioni che vengono visualizzate nellalicenza di un’app sono errate.

1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema, e successivamente cliccare sulla scheda Apple VPP.

2. Cliccare su Cancella cache VPP.

Sophos Mobile rimuoverà le proprie informazioni VPP locali relative al cliente e sincronizzerà i dati conil server dell’Apple VPP.

NotaPer informazioni su come visualizzare le informazioni relative alle licenze di un’app VPP, vedereAssegnazione delle app VPP (pagina 299).

16.12 Configurazione per app VPN e impostazioniper app iOSPer le app iOS è possibile configurare una connessione VPN da utilizzare all’avvio dell’app. È inoltrepossibile configurare le impostazioni dell'app che verrà visualizzata nel dispositivo durante la fase diinstallazione dell'app.

Prerequisiti:

• Per poter selezionare una VPN per app, è necessario definire una configurazione Per app VPNin un profilo di configurazione iOS. Vedere Configurazione per app VPN (profilo del dispositivoiOS) (pagina 184).

• Per definire le impostazioni, è necessario conoscere i parametri ed il tipo di parametri necessari.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App > iOS.

2. Nella pagina App, selezionare l’app richiesta.

3. Nella pagina Modifica link per iOS o Modifica pacchetto per iOS, cliccare su Mostra accanto alcampo Impostazioni e VPN.

4. Nella pagina Modifica impostazioni e VPN, selezionare la configurazione necessaria dall'elencoPer app VPN, per definire la VPN a cui deve connettersi l’app.

5. Per aggiungere impostazioni personalizzate, cliccare su Crea un parametro.

6. Nella finestra di dialogo Parametro di configurazione, eseguire le seguenti configurazioni:

a) Nel campo Parametro, inserire il parametro necessario, per esempio SMC_URL.

b) Nel campo Valore, inserire il valore del parametro, ad es: smc.sophos.com.

c) Nell’elenco Tipo, selezionare il tipo di parametro: String, Bool, Integer o Real.



d) Cliccare su Applica.Le impostazioni personalizzate vengono visualizzate nella pagina Modifica impostazioni eVPN.

7. Nella pagina Modifica impostazioni e VPN, cliccare su Applica.


La VPN selezionata per l'app verrà utilizzata quando l'app si connette alla VPN. Le impostazioniverranno fornite ai dispositivi durante l'installazione dell'app.



17 Gruppi di appIn Sophos Mobile è possibile creare gruppi di app che consentono di definire elenchi di app perprofili, criteri e criteri di conformità.

I gruppi di app vengono utilizzati nelle seguenti impostazioni:

• Nella configurazione App Protection dei profili per i dispositivi Android.

• Nella configurazione App Control dei profili per i dispositivi Android.

• Nella configurazione Restrizioni dei profili per i dispositivi Android, dei profili per i dispositivi iOS edei profili per i container Knox.

• Nella configurazione Restrizioni app per i dispositivi Windows Mobile.

• Nei criteri di conformità per specificare elenchi di app consentite, proibite e obbligatorie.

17.1 Crea gruppo di app1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Gruppi di app e successivamente

cliccare su la piattaforma a cui si desidera creare il gruppo di app.

2. Dal menù Gruppo di app, cliccare su Crea gruppo di app.

3. Nella pagina Modifica gruppo di app, inserire un Nome per il nuovo gruppo di app esuccessivamente cliccare su Aggiungi app.

4. Nella casella di dialogo Modifica app è possibile selezionare un’app da un elenco, oppure inseriredati personalizzati per l’app.

• Per selezionare un’app da un elenco, cliccare su Elenco app e selezionare un’app dall’elencodi tutte le app attualmente installate sui dispositivi gestiti per la piattaforma selezionata.

• Per inserire dati personalizzati per un’app Android, cliccare su Personalizza e configurare leseguenti informazioni:

— Nome app: Un nome arbitrario da utilizzare per identificare l’app.

— Identificatore: Il nome del pacchetto dell’app. Il nome del pacchetto può essererecuperato dall’URL dell’app in Google Play. Ad esempio, per l’app SophosMobile Control per Android, l’URL di Google Play è play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android, e il nome del pacchetto ècom.sophos.mobilecontrol.client.android.

— Link: per riferimento, l’URL dell’app in Google Play.

• Per inserire dati personalizzati per un’app iOS, cliccare su Personalizza e configurare leseguenti informazioni:


— Identificatore: L’ID del bundle dell’app.

— Link: per riferimento, l’URL dell’app nell’App Store.

• Per inserire dati personalizzati per un’app macOS, cliccare su Personalizza e configurare leseguenti informazioni:


— Identificatore: L’ID del bundle dell’app.



— Link: per riferimento, l’URL dell’app nell’App Store.

• Per inserire dati personalizzati per un’app Windows Mobile, cliccare su Personalizza econfigurare le seguenti informazioni:


— Link: L’URL dell’app nel Microsoft Store. Ad esempio, l’URL dell’app per dispositivi mobiliSophos Mobile Control Windows è https://www.microsoft.com/en-us/store/p/mobile-control-2017/9nblggh51qsj.

— GUID: Se è noto, il GUID dell’app può essere utilizzato al posto del link. Altrimenti, lasciareil campo vuoto.

• Per inserire dati personalizzati per un’app Windows, cliccare su Personalizza e configurare leseguenti informazioni:


— Identificatore: L’ID dell’app, secondo i dati forniti da Windows. Per le app MSI, sarà laGUID CodiceProdotto del file MSI. Per le app Microsoft Store, sarà il nome della famiglia dipacchetti (Package Family Name, PFN) dell’app.

— Link: per riferimento, l’URL dell’app nel Microsoft Store. Ad esempio, l’URL dell’appWindows di Wikipedia è https://www.microsoft.com/en-us/store/p/wikipedia/9wzdncrfhwm4.

5. Una volta selezionata un’app dall’elenco, oppure inseriti i dati personalizzati dell’app, cliccare suAggiungi per effettuarne l'aggiunta al gruppo di app.

6. Richiesto: Aggiungere altre app al gruppo di app.

7. Una volta completate queste operazioni, cliccare su Salva per salvare il gruppo di app.

17.2 Importa gruppo di appÈ possibile creare un gruppo di app importando un file con valori delimitati da virgole (CSV) e concodifica UTF-8, che può includere sino a un massimo di 10.000 app.

NotaUtilizzare l'editor di testo per apportare modifiche al file CSV. Se si utilizza Microsoft Excel, i valoriinseriti potrebbero non essere risolti in modo corretto. Verificare che il file venga salvato conl’estensione .csv.

ConsiglioUn file di esempio, in cui vengono riportati i nomi e l'ordine corretto delle colonne, è scaricabiledalla pagina Importa app.

Per importare app da un file CSV e aggiungerle a un gruppo di app:

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Gruppi di app e successivamentecliccare su la piattaforma a cui si desidera creare il gruppo di app.

2. Dal menù Gruppo di app, cliccare su Crea gruppo di app.

3. Nella pagina Modifica gruppo di app, inserire un Nome per il nuovo gruppo di app esuccessivamente cliccare su Importa app.

4. Nella pagina Importa app, cliccare su Carica file e navigare sul file CSV preparato in precedenza.Le voci verranno lette dal file e visualizzate.



5. Se i dati non vengono impostati nel giusto formato, o se sono inconsistenti, non sarà possibileimportare l'intero file. In tale eventualità, esaminare i messaggi di errore visualizzati accantoalle relative voci, correggere il contenuto del file CSV a seconda di quanto richiesto e caricarlonuovamente.

6. Cliccare su Fine per aggiungere le app al gruppo di app.

7. Nella pagina Modifica gruppo di app, cliccare su Salva.



18 Documenti aziendali

NotaQuesta funzionalità richiede una licenza di tipo Mobile Advanced.

In Sophos Mobile è possibile caricare i file che si desidera installare sui dispositivi degli utenti.

• I documenti gestiti in Sophos Mobile vengono aggiunti automaticamente al provider di archiviazionedi Documenti aziendali in Sophos Secure Workspace.

• È possibile assegnare una categoria a ciascun documento dal provider di archiviazione diDocumenti aziendali.

• I documenti del provider di archiviazione di Documenti aziendali sono disponibili in modalità disola lettura.

• Se Sophos Secure Workspace non è gestito da Sophos Mobile, il provider di archiviazione diDocumenti aziendali non sarà disponibile.

Per distribuire documenti aziendali:

1. Installare sui dispositivi l’app Sophos Secure Workspace. Vedere App (pagina 284).

2. Assegnare un criterio di Sophos Container con una configurazione Documenti aziendali.

3. Caricare i documenti su Sophos Mobile.

18.1 Aggiunta di documenti aziendali


Per distribuire documenti ai dispositivi:

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Documenti.Verrà visualizzata la pagina Documenti.

2. Cliccare su Aggiungi documento.Verrà visualizzata la pagina Modifica documento.

3. Nel campo Categoria, inserire la categoria sotto la quale verrà visualizzato il documento nelprovider di archiviazione di Documenti aziendali nel dispositivo.

Se questo campo viene lasciato vuoto, il file verrà visualizzato nella cartella radice del provider diarchiviazione di Documenti aziendali.

4. Definire le impostazioni del documento:

• Selezionare l'opzione Copia negli Appunti per consentire agli utenti di copiare il documentonegli Appunti.

• Selezionare Condividi documento per consentire agli utenti di condividere il documento.

• Selezionare Utilizza documento off-line per consentire agli utenti di aggiungere il documentoall’elenco Preferiti.

Quando un documento non cifrato dei Documenti aziendali viene aggiunto all’elencoPreferiti, la copia locale sarà memorizzata dopo essere stata cifrata. Se è stata autorizzatala condivisione del documento, il file verrà automaticamente decifrato prima di essere



inoltrato ad altre app. Deselezionando la casella di spunta Utilizza documento off-line, lecopie locali verranno automaticamente rimosse nel corso della sincronizzazione successiva.

5. Cliccare su Mostra, di fianco a Gruppi assegnati, e selezionare il gruppo a cui consentire accessoal documento.

6. Aggiungere una descrizione relativa al documento.

7. Cliccare su Carica file e selezionare il documento. Selezionarlo e cliccare su Apri.

8. Ripetere questo passaggio per tutti i documenti che si desidera distribuire.

Il documento viene aggiunto all'elenco dei documenti. Viene distribuito agli utenti che potrannovisualizzarlo nella app Sophos Secure Workspace.



19 Android EnterpriseAndroid offre funzionalità che semplificano l’integrazione dei dispositivi nell’ambiente aziendale eaiutano gli utenti a mantenere separati i dati personali e aziendali all’interno dei propri dispositivi.Questa opzione si chiama Android Enterprise (precedentemente Android for Work).

NotaSophos Mobile supporta Android Enterprise per i dispositivi con Android versione 6 o superiore.

Sophos Mobile supporta le modalità di registrazione ad Android Enterprise Proprietario deldispositivo e Proprietario del profilo.

Proprietario del dispositivo

Quando viene registrato in modalità Proprietario del dispositivo, il dispositivo sarà assegnatoa Sophos Mobile. Sophos Mobile potrà monitorare e gestire impostazioni, app e dati nell’interodispositivo.

La modalità Proprietario del dispositivo presenta le seguenti differenze rispetto alla registrazionestandard:

• Un’esperienza di registrazione semplificata per gli utenti.

• Gli utenti non devono impostare un account Google personale nel dispositivo.

• Gli utenti possono installare solamente app da Google Play gestito e i responsabili possonoconfigurare il layout dello store.

• Solo un set minimo di app è abilitato per impostazione predefinita: Google Play Store, Contatti,Messaggi, Telefono.

• I responsabili possono installare, disinstallare o aggiornare le app senza interazione da parte degliutenti.

• I responsabili possono configurare le autorizzazioni delle app, in modo tale da non offrire agli utentil’opzione di concedere autorizzazioni in fase di runtime.

• Per le app che supportano questa opzione, i responsabili possono configurare impostazionipersonalizzate per le app.

• I responsabili possono reimpostare la password del blocco dello schermo. Con la registrazionestandard, questa opzione non è disponibile per Android versione 7.0 o successiva.

• I responsabili possono configurare una modalità tutto schermo che limita l’utilizzo delle app a unaselezione specifica di app, piuttosto che app individuali.

• È possibile registrare solamente i dispositivi che non sono ancora stati impostati o che sono statiripristinati alle impostazioni di fabbrica.

• Non esiste un’apposita azione di annullamento della registrazione. Per annullare la registrazione diun dispositivo, occorre formattarlo.



Proprietario del profilo

Quando un dispositivo viene registrato in modalità Proprietario del profilo, viene creato un profilo dilavoro nel dispositivo. Sophos Mobile potrà monitorare e gestire solamente le impostazioni, le app e idati presenti all’interno del profilo di lavoro.

La modalità Proprietario del profilo si presta particolarmente agli ambienti BYOD (bring your owndevice).

Informazioni correlateGuida di Android Enterprise (collegamento esterno)

19.1 Impostazione di Android Enterprise -PanoramicaPer impostare Android Enterprise per l’azienda, è possibile scegliere tra due opzioni:

Lo scenario Account Google Play gestito

È il metodo più semplice per impostare Android Enterprise per l'organizzazione.

• Sophos Mobile offre assistenza in tutti i passaggi della procedura di impostazione di un accountAndroid Enterprise per la propria organizzazione .

• Se richiesto, è possibile creare account Android Enterprise multipli per la propria organizzazione.

• Sophos Mobile gestisce l’intero ciclo di vita dell’account utente.

• I dispositivi possono essere registrati nel Portale self-service di Sophos Central o in Sophos MobileAdmin.

Vedere Impostazione di Android Enterprise (scenario con account gestito di Google Play) (pagina310).

Lo scenario Dominio Google gestito

Utilizzare questo metodo se già si dispone di un Dominio Google gestito, oppure se si desideragestire gli account degli utenti di Android Enterprise con una soluzione diversa da Sophos Mobile.

• Registrare un Dominio Google gestito a Google e dimostrare di essere i proprietari di tale dominio.

• Associare (vincolare) Sophos Mobile come software EMM (Enterprise Mobility Management) diterze parti al proprio Dominio Google gestito.

• Sophos Mobile crea account utenti secondo necessità. A parte questo, Sophos Mobile nongestisce alcun aspetto del ciclo di vita dell’account.

• I dispositivi possono essere registrati solamente nel Portale self-service di Sophos Central e non inSophos Mobile Admin.

Vedere Impostazione di Android Enterprise (scenario con Dominio Google gestito) (pagina 311).


https://support.google.com/work/android#topic=6151012


NotaNon è possibile modificare la modalità di gestione degli utenti dopo aver impostato AndroidEnterprise. Ad es. non è possibile passare dalla gestione interna degli utenti a una directory LDAPesterna.

19.2 Impostazione di Android Enterprise (scenariocon account gestito di Google Play)Per lo scenario con account gestito di Google Play, Sophos Mobile offre assistenza per tutti i passaggidella procedura di impostazione di Android Enterprise per la propria organizzazione.

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Android Enterprise.

2. Cliccare su Configura.

3. Selezionare Lo scenario "Account Google Play gestito" e cliccare su Avanti.

4. Selezionare Registra account.

Con questa azione si viene reindirizzati su un sito web di Google, dove sarà possibile effettuare laregistrazione della propria organizzazione ad Android Enterprise.

5. Accedere al sito web di Google con il proprio account Google.

NotaSi consiglia di creare un nuovo account Google, riservato esclusivamente a tale scopo.

6. Nel sito web di Google, seguire i passaggi indicati, per completare il processo di registrazione dellapropria organizzazione.

ConsiglioQuando si specifica il nome della propria organizzazione, includere la dicitura SMC, ades: Nome organizzazione (SMC). Le proprietà dell’account non includono alcunainformazione che indichi che l’account è connesso a Sophos Mobile.

Una volta completati i passaggi di registrazione, si sarà nuovamente reindirizzati dal sito web diGoogle a Sophos Mobile.

7. In Sophos Mobile, cliccare su Finalizza impostazione per completare il processo di registrazione.

Si conclude così la procedura di impostazione di Android Enterprise per la propria organizzazione.

NotaUna volta impostata Android Enterprise, non sarà possibile modificare la modalità di gestione degliutenti. Ad esempio, non sarà possibile passare dalla gestione interna degli utenti a una directoryLDAP esterna.



19.3 Impostazione di Android Enterprise (scenariocon Dominio Google gestito)Per lo scenario con Dominio Google gestito, l’impostazione di Android Enterprise per la propriaorganizzazione avviene procedendo come segue:

1. Registrare a Google un Dominio Google gestito.

2. Creare un account di servizio aziendale e configurare le API richieste per comunicare con i serviziGoogle.

3. Associare (vincolare) Sophos Mobile come software di EMM (Enterprise Mobility Management) diterze parti al proprio Dominio Google gestito.


19.3.1 Registrazione del dominio su Google

Nel primo passaggio della procedura di impostazione di Android Enterprise per la propriaorganizzazione, occorre registrare un dominio su Google (Managed Google Domain, o Dominio Googlegestito), creare un amministratore di dominio (Managed Google Domain, o Account Google gestito) econfermare la proprietà del dominio.

NotaSe già si possiede un Managed Google Domain, ad esempio nel caso in cui si abbia effettuato laregistrazione a G Suite (precedentemente Google Apps), è possibile saltare questa sezione.

1. Cliccare sul seguente link https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=it per effettuare la registrazione a un Dominio Googlegestito.

2. Compilare il modulo web inserendo le informazioni richieste.

• Nella sezione About your business, inserire il dominio da utilizzare come Managed GoogleDomain nel campo Business domain address. È ad es. possibile fornire il dominio del serverdi Sophos Mobile.

• Nella sezione Your Google admin account, inserire le credenziali di un nuovo amministratoredi dominio.

NotaPrendere nota delle credenziali, in quanto sarà necessario inserirle in una fase successivadella procedura di impostazione.

3. Cliccare sull’apposito pulsante per creare l'account amministratore di dominio.

Verrà aperta la console Google Admin.

4. Nella console Google Admin, avviare la procedura di conferma della proprietà del dominio.


https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=it

https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=it


Seguire le istruzioni di Google per verificare il dominio.

Una volta confermata la proprietà del dominio, si riceverà un token per connettere il proprio DominioGoogle gestito al provider di EMM di terze parti, ovvero Sophos Mobile.

Occorrerà quindi creare un account Google per il servizio e configurare le relative API per Google.Vedere Configurazione dell’account Google per il servizio (pagina 312).

19.3.2 Configurazione dell’account Google per il servizio

Il secondo passaggio della procedura di impostazione di Android Enterprise per la propriaorganizzazione prevede la creazione e configurazione di un account Google per il servizio.

Prerequisito: Disporre di un account amministratore di dominio per il proprio Dominio Google gestito.

L’account Google per il servizio è un tipo speciale di account Google per un’app. Questo accountviene utilizzato da Sophos Mobile per comunicare con le API di Google.

Creazione di un progetto:

1. Cliccare sul seguente link: https://console.developers.google.com/apis/library per aprire la consoleAPI di Google. Accedere con le credenziali del proprio account amministratore di dominio.

2. Nella barra dell’intestazione della console API di Google, cliccare su Progetto > Crea progetto.

Se esiste già un progetto, la barra dell’intestazione visualizzerà il nome del progetto al posto dellaparola Progetto.

3. Nella finestra di dialogo Nuovo progetto, inserire un nome per il progetto, ad es. AndroidEnterprise, e cliccare su Crea.

Attivazione delle API richieste:

4. Nella barra laterale dei menù, cliccare su Library, e inserire la stringa admin sdk nel campo diricerca.

5. Nell’elenco dei risultati della ricerca, cliccare su SDK Admin.

6. Nella parte alta della pagina SDK Admin, cliccare su Attiva.

7. Ripetere i tre passaggi precedenti per Google Play EMM API.

a) Nella barra laterale dei menù, cliccare su Library, e inserire la stringa emm nel campo diricerca.

b) Nell’elenco dei risultati della ricerca, cliccare su Google Play EMM API.

c) Nella parte alta della pagina Google Play EMM API, cliccare su Enable.

Creare un nuovo account per il servizio:

8. Nella pagina Google Play EMM API, cliccare su Create Credentials.

9. Nel primo passaggio della pagina Add credentials to your project (Aggiungi credenziali alprogetto), cliccare sul link service account (Account per il servizio).

10. Nella pagina Service Accounts, cliccare su Create Service Account (Crea account per ilservizio).

11. Nella casella di dialogo Create service account, inserire le seguenti impostazioni:

a) Per Name (nome), specificare un nome che identifichi l’account per il servizio, ad es. AndroidEnterprise.

b) Selezionare Furnish a new private key (Fornisci nuova chiave privata) e successivamenteselezionare JSON.

c) Selezionare Enable G Suite Domain-wide Delegation (Attiva delega su tutto il dominio GSuite).


https://console.developers.google.com/apis/library


d) Per Product name for the consent screen (Nome prodotto per schermata di consenso),inserire ad es. Android Enterprise.

Cliccando su Create (Crea), verrà generata la chiave privata per l’account di servizio, che verràsalvata nel computer come file JSON.

NotaSalvare il file JSON su un percorso sicuro. Occorre associare Sophos Mobile al proprioDominio Google gestito.

Configurazione dell’accesso alle API:

12. Cliccare sul link https://admin.google.com per aprire la console Google Admin e accedere con lecredenziali del proprio account amministratore di dominio.

13. Cliccare su Sicurezza e quindi su Impostazioni avanzate.

ConsiglioPotrebbe essere necessario cliccare su Mostra di più per visualizzare le Impostazioniavanzate.

14. Cliccare su Gestisci accesso client API.

15. Aprire il file JSON in un editor di testo e copiare e incollare il valore client_id nel campo Nomeclient.

Ad esempio, se il file JSON contiene una riga

"client_id": "123456789"

Inserire 123456789 nel campo Nome client.

16. Nel campo Uno o più ambiti API, inserire i due seguenti URL, separati da una virgola:

https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

17. Cliccare su Autorizza.

È ora possibile associare Sophos Mobile al proprio Dominio Google gestito. Vedere Come associareSophos Mobile al proprio dominio (pagina 313).

19.3.3 Come associare Sophos Mobile al proprio dominio

Il terzo passaggio della procedura di impostazione di Android Enterprise per la propria organizzazioneprevede l’associazione di Sophos Mobile al proprio Dominio Google gestito.

Prerequisiti:

• Disporre di un account amministratore di dominio per il proprio Dominio Google gestito.

• Aver confermato la proprietà del dominio.

• Aver abilitato le API di Google applicabili.

• Aver creato un account Google per il servizio.


2. Cliccare su Configura.


https://admin.google.com


3. Selezionare Lo scenario "Dominio Google gestito" e cliccare su Avanti.

4. Nella finestra di dialogo visualizzata, configurare le seguenti impostazioni:

Opzione Descrizione

Dominio dell’azienda Il Dominio Google gestito, già verificato daGoogle.

Amministratore di dominio Il nome del proprio account di amministratoredi dominio. Si tratta dell’amministratore creatodurante la registrazione del dominio su Google.

Token EMM Il token ricevuto da Google dopo averconfermato la proprietà del dominio.

Il token può essere visualizzato effettuandol’accesso alla console Google Admin (https://admin.google.com) con le proprie credenzialidi amministratore di dominio, e selezionandoSicurezza > Gestisci il provider EMM perAndroid.

5. Cliccare su Carica un file e cercare il file JSON scaricato da Google durante il processo dicreazione dell’account per il servizio.

Il file JSON selezionato deve avere un’estensione .json.

6. Cliccare su Vincola.

Sophos Mobile contatterà il servizio web Google per associarsi (vincolarsi) come provider di EMM per ilDominio Google gestito.

L’ultimo passaggio della procedura di impostazione di Android Enterprise per la propria organizzazioneprevede la configurazione delle impostazioni EMM di Google. Vedere Configurazione delleimpostazioni EMM (pagina 314).

19.3.4 Configurazione delle impostazioni EMM

L’ultimo passaggio della procedura di impostazione di Android Enterprise per la propria organizzazioneprevede la configurazione delle impostazioni EMM di Google.

Prerequisito: Sophos Mobile deve essere stato associato (vincolato) al Dominio Google gestito.

1. Cliccare sul link https://admin.google.com per aprire la console Google Admin e accedere con lecredenziali del proprio account amministratore di dominio.

2. Cliccare su Sicurezza e successivamente su Gestisci il provider EMM per Android.

ConsiglioPotrebbe essere necessario cliccare su Mostra di più per visualizzare Gestisci il providerEMM per Android.

3. Sotto Impostazioni generali, selezionare Applica i criteri di gestione della mobilità aziendaleai dispositivi Android.

Si conclude così la procedura di impostazione di Android Enterprise per la propria organizzazione.







19.4 Configurazione della registrazione deidispositivi ad Android EnterprisePrerequisiti:

• Deve essere stata configurata Android Enterprise.

Procedere come segue per configurare la registrazione del dispositivo ad Android Enterprise.

1. Creare un criterio per ciascuna modalità di registrazione ad Android Enterprise che si desiderasupportare.

• Per la modalità Proprietario del dispositivo, creare un criterio di tipo Criterio del dispositivoAndroid Enterprise.

• Per la modalità Proprietario del profilo, creare un criterio di tipo Criterio del profilo di lavoroAndroid Enterprise.

Per una descrizione generale di come creare i profili, vedere Creazione di un profilo o di un criterio(pagina 88).

2. Creare un bundle delle operazioni per ciascuna modalità di registrazione ad Android Enterprise chesi desidera supportare.

Il bundle delle operazioni deve contenere almeno un’operazione Registrati e un’operazioneInstalla profilo o assegna criterio per il criterio creato in precedenza.

Per una descrizione generale di come creare bundle delle operazioni, vedere Creazione dibundle delle operazioni (pagina 272).

3. Nelle impostazioni di gruppo del portale self-service, selezionare il bundle delle operazioni creatocome pacchetto iniziale.

È possibile configurare pacchetti diversi per dispositivi aziendali e personali. Utilizzare adesempio la registrazione in modalità Proprietario del dispositivo per i dispositivi aziendali e laregistrazione in modalità Proprietario del profilo per i dispositivi personali.

Per una descrizione generale di come configurare le impostazioni di gruppo del portale self-service, vedere Configurazione delle impostazioni del portale self-service (pagina 18).

Una volta configurata la registrazione dei dispositivi, gli utenti del Portale self-service di SophosCentral potranno registrare i propri dispositivi Android a Sophos Mobile. A seconda dellaconfigurazione applicata, la modalità di registrazione (modalità Proprietario del dispositivo oProprietario del profilo) sarà definita dal tipo di dispositivo (dispositivo aziendale o personale).

Se Android Enterprise è stata impostata nello scenario Account Google Play gestito, i dispositivipossono essere registrati anche con la procedura guidata Aggiungi dispositivo. VedereRegistrazione dei dispositivi Android Enterprise (pagina 45).



ImportanteNello scenario "Account Google Play gestito", ciascun utente può registrare solamente unmassimo di dieci dispositivi contemporaneamente. Questo limite è stato impostato da Google epotrebbe essere modificato in futuro.

NotaSe si configura la registrazione ad Android Enterprise per i dispositivi aziendali e/o personalicome indicato in questa sezione, per il tipo di dispositivo in questione non sarà disponibile laregistrazione standard dei dispositivi nel Portale self-service di Sophos Central.

19.5 Gestione degli utenti per Android Enterprise(scenario con Dominio Google gestito)

NotaQuesto argomento descrive la gestione degli account utente di Google quando è stata impostataAndroid Enterprise utilizzando uno scenario che include un Dominio Google gestito.

Per lo scenario che prevede un Account di Google Play gestito, Sophos Mobile gestisce gli accountGoogle degli utenti in maniera trasparente.

Un utente deve disporre di un Account Google gestito per poter registrare un dispositivo AndroidEnterprise. Questo account viene connesso al dominio dell’azienda registrato su Google.

I nomi degli account vengono creati seguendo lo stesso formato di un indirizzo e-mail, come ad es:utente@dominio_Google_gestito.

Quando un utente effettua la registrazione di un dispositivo al Portale self-service di Sophos Central,Sophos Mobile verifica se nel server di Google esista già un Account Google gestito per l’utentein questione. Per svolgere questa operazione, la parte sinistra dell’indirizzo e-mail dell’utente inSophos Mobile viene unita al Dominio Google gestito. Se non esiste ancora un account con il nomespecificato, Sophos Mobile provvederà a crearlo.

Esempio: Se l’indirizzo e-mail di un utente in Sophos Mobile è [email protected] e il DominioGoogle gestito è dominio_Google_gestito, Sophos Mobile verificherà se nel server di Googlesia presente un account utente@dominio_Google_gestito.

A parte la creazione di un Account Google gestito per l’utente durante la registrazione, SophosMobile non gestisce alcun aspetto del ciclo di vita dell’account. L’eliminazione di un account utente inSophos Mobile non implica la rimozione del relativo Account Google gestito.

Gli account del proprio Dominio Google gestito possono essere gestiti dalla console Google Admin.Se richiesto, è possibile creare account dalla directory LDAP, utilizzando la Google Apps DirectorySync (GADS).

Informazioni correlateConsole Google Admin (collegamento esterno)Informazioni sulla Google Apps Directory Sync (collegamento esterno)



https://support.google.com/a/answer/106368


19.6 Crea profilo di lavoroUn profilo di lavoro viene creato quando gli utenti registrano i propri dispositivi al Portale self-servicedi Sophos Central in modalità Proprietario del profilo Android Enterprise.

Il profilo di lavoro può essere eliminato utilizzando Sophos Mobile Admin, ad esempio per eliminare idati aziendali dal dispositivo in caso di furto o smarrimento.

19.7 Blocco del profilo di lavoroIl profilo di lavoro può essere bloccato o sbloccato in Sophos Mobile Admin. Quando il profilo dilavoro viene bloccato, tutte le app situate nel profilo di lavoro risulteranno non disponibili, e non verràvisualizzata alcuna notifica per queste app.

NotaQuesta sezione non è applicabile ai dispositivi Android Enterprise in modalità proprietario deldispositivo. Vedere Android Enterprise (pagina 308)


2. Cliccare sul triangolo blu accanto al dispositivo per il quale si desidera bloccare o sbloccare ilprofilo di lavoro, e successivamente su Mostra.

3. Cliccare su Azioni > Imposta accesso al container.

4. Selezionare le autorizzazioni di accesso.

• Negato: Il profilo di lavoro verrà bloccato. Gli utenti non potranno più accedere alle app o aidati all’interno del profilo di lavoro.

• Consenti: Il profilo di lavoro verrà sbloccato.

• Modalità automatica: Il profilo di lavoro verrà bloccato se il dispositivo viola una regola diconformità contenente un’azione Blocca container. Questa è l’opzione predefinita se nonsono state impostate autorizzazioni di accesso.

5. Cliccare su Sì.

Il dispositivo si sincronizzerà con il server di Sophos Mobile. Una volta completata la sincronizzazione,l’impostazione verrà applicata al dispositivo.

ConsiglioPer bloccare l’intero dispositivo, invece del solo profilo di lavoro, utilizzare l’opzione Azioni >Blocca.

ConsiglioGli utenti possono bloccare il profilo di lavoro dal pannello Impostazioni rapide del dispositivo, adesempio quando sono in vacanza.



19.8 Rimozione di un profilo di lavoro da undispositivo

NotaQuesta sezione non è applicabile ai dispositivi Android Enterprise in modalità proprietario deldispositivo. Vedere Android Enterprise (pagina 308)

È possibile utilizzare Sophos Mobile Admin per rimuovere il profilo di lavoro, al fine di eliminare i datiaziendali in caso di furto o smarrimento del dispositivo.

Quando il profilo di lavoro viene rimosso dal dispositivo, saranno rimosse anche tutte le appinstallate nel profilo di lavoro, inclusa l’app Sophos Mobile Control. In Sophos Mobile Admin, ildispositivo verrà visualizzato con stato Non registrato.


2. Cliccare sul triangolo blu accanto al dispositivo dal quale si desidera rimuovere il profilo di lavoro, esuccessivamente su Mostra.

3. Cliccare su Azioni > Formattazione del profilo di Android for Work.

Un’operazione per la rimozione del profilo di lavoro verrà creata e trasferita sul dispositivo.

NotaSe l’utente ha già rimosso manualmente il profilo, l’operazione risulterà non riuscita, in quanto ildispositivo non sarà in grado di riceverla di nuovo.

Per ricreare il profilo di lavoro, l’utente dovrà ripetere la registrazione nel Portale self-service di SophosCentral.

19.9 Rimozione del profilo di lavoro avviatadall’utenteGli utenti possono rimuovere il proprio profilo di lavoro dal dispositivo, sia intenzionalmente cheinvolontariamente. Sophos Mobile non è in grado di rilevare questo tipo di rimozione. Continua avisualizzare lo stato di gestione del dispositivo come Android Enterprise (proprietario profilo).

Una volta che l’utente ha rimosso il profilo di lavoro, il dispositivo non potrà sincronizzarsi con ilserver di Sophos Mobile.

ConsiglioÈ possibile utilizzare il report Dispositivi non sincronizzati negli ultimi 7 giorni per individuare idispositivi potenzialmente coinvolti.

Se si è rimosso il profilo di lavoro per errore, sarà possibile rieffettuarne la registrazione procedendocome segue:

1. Occorrerà eliminare il dispositivo da Sophos Mobile.

2. L’utente dovrà ripetere la registrazione del dispositivo nel Portale self-service di Sophos Central.



19.10 Android Factory Reset Protection


I dispositivi Android includono la funzionalità di sicurezza Factory Reset Protection (FRP). Quando inun dispositivo viene impostato un account Google, vengono richieste le credenziali dell’account persbloccare il dispositivo dopo il ripristino alle impostazioni di fabbrica.

I dispositivi registrati a Sophos Mobile in modalità proprietario del dispositivo Android Enterprisenon sono protetti con FRP per impostazione predefinita, perché nel dispositivo non è impostato unaccount Google. Per utilizzare FRP per questi dispositivi, configurare uno o più account Google daassegnare a tutti i dispositivi. Quando viene ripristinato un dispositivo in cui è attivata FRP, potràessere sbloccato solamente da uno di questi account. Vedere Configurazione di Factory ResetProtection (pagina 319).

Una volta configurata FRP, i dispositivi vengono protetti come segue:

• Local reset: quando il dispositivo viene ripristinato nell’app Impostazioni oppure utilizzando ipulsanti dell’hardware del dispositivo, FRP è attivata per impostazione predefinita. Per modificarequesto comportamento per dispositivi individuali, utilizzare l’azione del dispositivo ImpostaFactory Reset Protection. Vedere Attivazione e disattivazione di Android Factory ResetProtection (pagina 60).

• Remote reset: quando il dispositivo viene ripristinato in remoto in Sophos Mobile Admin, FRPè disattivata per impostazione predefinita. Per ripristinare in remoto un dispositivo con FRPattivata, selezionare Attiva Factory Reset Protection nella finestra di dialogo di conferma dellaformattazione. Vedere Formattazione del dispositivo (pagina 59).

19.10.1 Configurazione di Factory Reset Protection


Factory Reset Protection (FRP) è una funzionalità di sicurezza Android che offre l’opzione diripristinare un dispositivo alle sue impostazioni di fabbrica quando se ne conoscono le credenzialidell’account Google.

Per i dispositivi registrati a Sophos Mobile in modalità proprietario del dispositivo Android Enterprise,è possibile configurare gli account Google in modo da sbloccare qualsiasi dispositivo ripristinato incui era attivata FRP.

Preparazione degli account Google:

1. Creare uno o più account Google che si desidera utilizzare per FRP o in alternativa adoperareaccount già esistenti.



ImportanteAccertarsi di comunicare le credenziali dell’account alla propria organizzazione. Questecredenziali saranno richieste per sbloccare un dispositivo ripristinato alle impostazioni difabbrica, in cui era attivata FRP.

2. Ottenere gli ID Google+ dei propri account Google.

A tutti gli account Google è assegnato un ID Google+, anche se l’account non è stato registratoper il servizio Google+.

Per ottenere l’ID Google+:

a) Immettere il seguente indirizzo nel browser web per aprire la pagina di accesso di Google:https://accounts.google.com/Login

b) Accedere con l’account Google che si desidera utilizzare per FRP. Se si è già effettuatol’accesso a Google con un account diverso, disconnettersi da questo account prima diprocedere.

c) Immettere il seguente indirizzo nel browser web: https://plus.google.com/me

Se l’account è registrato a Google+, si verrà reindirizzati su una pagina di Google+. Sel’account non è registrato a Google+, verrà caricata una pagina di errore.

In entrambi i casi, verrà visualizzato l’ID Google+ nel campo dell’indirizzo del browser, ad es.https://plus.google.com/123456789012345678901.

d) Prendere nota di questo numero di 21 cifre: si tratta dell’ID Google+.

Configurazione degli account Google in Sophos Mobile Admin:


4. Sotto Factory Reset Protection, cliccare su Usa FRP.

5. In Google+ ID, immettere gli ID Google+ degli account Google che si desidera utilizzare per FRP.


FRP sarà attivata per tutti i dispositivi registrati in modalità proprietario del dispositivo AndroidEnterprise. Ciò avverrà alla sincronizzazione successiva del dispositivo con il server di SophosMobile.

ImportanteSe gli ID Google+ immessi in Sophos Mobile Admin non sono validi, o se si dovessero dimenticarele credenziali degli account Google, i dispositivi diventeranno inutilizzabili dopo il ripristino alleimpostazioni di fabbrica con FRP attivata.

19.11 App di Google Play gestitoNei dispositivi Android Enterprise è possibile installare solamente app di Google Play gestito chesono state approvate per l’organizzazione.

Per rendere le app disponibili per gli utenti, procedere come segue in Google Play gestito e inSophos Mobile:

1. In Google Play gestito, occorre selezionare le app per la propria organizzazione. Per svolgerequesta azione:

• Approvare l’app.


https://accounts.google.com/Login

https://plus.google.com/me


• Acquistare licenze dell’app.

• Accettare le autorizzazioni richieste dall’app.

Vedere Approvazione di app per Android Enterprise (pagina 321).

2. In Sophos Mobile, è necessario configurare l’app. Per svolgere questa azione:

• Definire la posizione dell’app all’interno dell’app Google Play Store gestito nei dispositivi degliutenti.

• Se supportate, configurare impostazioni personalizzate per l’app.

• Per le app a pagamento, assegnare agli utenti una licenza dell’app.

Vedere Modifica delle app di Google Play gestito (pagina 322).

19.11.1 Approvazione di app per Android Enterprise

1. Aprire Google Play gestito (https://play.google.com/work) e accedere con il proprio accountamministratore di Android Enterprise.

2. Selezionare l’app che si desidera mettere a disposizione degli utenti.

3. Cliccare su Approva (per le app gratuite) or Acquista (per le app a pagamento).

NotaAl momento, le app a pagamento sono disponibili solamente in Stati Uniti e Canada.

4. Se l’app richiede autorizzazioni specifiche, occorrerà accettarle per conto dell’azienda.

Quando gli utenti installeranno l’app, non riceveranno alcuna richiesta di autorizzazione.

5. Per le app a pagamento, specificare numero di licenze e metodo di pagamento.

NotaSe dovesse verificarsi un errore durante l’acquisto di un’app, verificare nella console GoogleAdmin che i servizi di pagamento Google siano stati attivati per il proprio dominio o account.

A questo punto, l’app è approvata per il proprio dominio, ma gli utenti non sono ancora in grado diinstallarla. Occorre completare il processo di allocazione in Sophos Mobile. Vedere Modifica delle appdi Google Play gestito (pagina 322).

NotaSe l’aggiornamento di un’app approvata dovesse includere ulteriori autorizzazioni dell’app, questeultime dovranno essere accettate prima che gli utenti possano installare l’aggiornamento. Nelmenù di Google Play, cliccare su Aggiornamenti per visualizzare e approvare gli aggiornamenti insospeso.

Informazioni correlateGoogle Play gestito (collegamento esterno)Console Google Admin (collegamento esterno)Assistenza per Google Play gestito (collegamento esterno)


https://play.google.com/work



https://support.google.com/googleplay/work


19.11.2 Annullamento dell’approvazione di un’app di GooglePlay gestito

1. Aprire Google Play gestito (https://play.google.com/work) e accedere con il proprio accountamministratore di Android Enterprise.

2. Cliccare su My managed apps per visualizzare le app approvate.

3. Selezionare l’app che si desidera rimuovere dal Google Play gestito degli utenti.

4. Cliccare su Annulla approvazione.

5. Per sincronizzare la modifica con Sophos Mobile, accedere a Sophos Mobile Admin.

6. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App > Android.

7. Nella pagina App, cliccare su App approvate.

8. Cliccare su Recupera l’elenco delle app da Google.

NotaL’app deve essere rimossa anche dai bundle delle operazioni Android.

Concetti correlatiBundle delle operazioni (pagina 272)Informazioni correlateGoogle Play gestito (collegamento esterno)Console Google Admin (collegamento esterno)Assistenza per Google Play gestito (collegamento esterno)

19.11.3 Modifica delle app di Google Play gestito

Una volta approvata un’app di Google Play gestito per l’organizzazione, è necessario configurarla inSophos Mobile per renderla disponibile agli utenti.



Si aprirà la pagina App approvate, che visualizzerà un elenco di tutte le app che sono stateapprovate in Google Play gestito.

3. Cliccare su Recupera l’elenco delle app da Google per sincronizzare le modifiche effettuate inGoogle Play gestito. Dopo la sincronizzazione, gli utenti potranno installare le app con l’app GooglePlay Store gestito.

4. Cliccare sull’app desiderata.

5. Nella pagina Modifica app approvate, configurare le impostazioni secondo le proprie esigenze.Vedere Impostazioni per le app di Google Play gestito (pagina 323).


7. Nella pagina App approvate, cliccare su Invia configurazione a Google per inviare a Google leinformazioni aggiornate sul layout e sulla configurazione dell’app.





https://support.google.com/googleplay/work


NotaSe si dovesse saltare quest’ultimo passaggio, la configurazione dell’app verrà salvata sololocalmente in Sophos Mobile. Non verrà trasferita al server di Google e di conseguenza nonsarà disponibile per gli utenti.

Una volta sincronizzati i dati con il server di Google, l’app sarà disponibile nell’app Google PlayStore gestito. Le app gratuite sono disponibili per tutti gli utenti. Le app a pagamento sono disponibilisolamente per gli utenti a cui è stata assegnata una licenza.

19.11.4 Impostazioni per le app di Google Play gestito

Questa sezione elenca le impostazioni delle app di Google Play gestito che sono state approvate perl’organizzazione.


Titolo Il nome esterno dell’app, come vienevisualizzato in Google Play gestito.

ID del prodotto Il nome interno dell’app.

Prezzi La categoria di prezzo:

• Gratis

• Gratis con acquisti in-app

• Pagato

Tipo di distribuzione • Pubblica (hosting su Google): Questaapp è disponibile al pubblico in Google Playgestito.

• Privata (hosting su Google): Questa appè sviluppata dall’azienda ed è disponibilesolamente per gli utenti che appartengono alproprio Dominio Google gestito. Il file APK èstato caricato in Google Play gestito.

• Privata (auto-hosting): Come Privata(hosting su Google), ma il file APK vieneinstallato dal server locale. Google Playgestito viene utilizzato solamente per gestirela distribuzione.

URL gestito di Google Play, URL GooglePlay

L’indirizzo web dell’app in Google Play gestito ein Google Play.

Cliccare sul link per aprire la pagina in unanuova finestra del browser.




Pagina La pagina nella quale verrà visualizzata l’appnell’app Google Play Store degli utenti.

I valori sono preconfigurati da Sophos Mobile enon possono essere modificati.

Categoria app Il nome di una categoria nella quale compariràl’app nell’app Google Play Store degli utenti.

Cominciando a digitare, verrà visualizzatoun elenco di categorie corrispondenti. Se siinserisce una categoria che non è disponibile,verrà creata.

Licenze Cliccare su Mostra, accanto a Licenze, pervisualizzare o modificare il numero di licenzeutilizzate e restanti dell’app, nonché gli utenti acui è stata assegnata una licenza.

Questa impostazione è disponibile solo per leapp a pagamento.

Impostazioni app Cliccare su Impostazioni app per visualizzareo modificare le impostazioni specifiche dell’app.

Per informazioni sulle impostazioni disponibili,consultare la documentazione fornita dallosviluppatore dell’app.

Questa impostazione è disponibile solo sel’app offre la possibilità di implementare unaconfigurazione gestita.

ConsiglioÈ possibile utilizzare i segnaposti %_USERNAME_%e %_EMAILADDRESS_%, che verranno poi sostituitidal nome e dall’indirizzo e-mail effettivi.

19.11.5 Installazione di app approvate

Dopo aver approvato un’app di Google Play gestito e dopo aver assegnato le licenze dell’app agliutenti, è possibile installare l’app su dispositivi o gruppi di dispositivi specifici.

NotaGli utenti potranno installare le app approvate dall’app Google Play Store gestito.



3. Cliccare sull'icona a forma di triangolo blu di fianco all'app richiesta, e successivamente cliccare suInstalla.

4. Selezionare i dispositivi su cui si desidera installare l’app. Procedere in uno dei seguenti metodi:






5. Nella pagina Imposta data di esecuzione, definire la data in cui verrà installata l’app:




L’operazione di installazione verrà inviata a un servizio Google. Google procederà quindi a gestirel’installazione dell’app nel dispositivo. Nella pagina Vista operazioni, l’operazione risulterà comeriuscita, una volta inviata a Google.

19.11.6 Disinstallazione di un’app di Google Play gestito

È possibile disinstallare un’app di Google Play gestito da dispositivi o gruppi di dispositivi specifici.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e quindi su Android.


3. Nella pagina App approvate, cliccare su Disinstalla.

4. Selezionare i dispositivi da cui si desidera disinstallare l’app. Procedere in uno dei seguenti metodi:




5. Nella pagina Seleziona app, selezionare l’app richiesta.

6. Nella pagina Imposta data di esecuzione, definire la data in cui verrà disinstallata l’app:




Un’operazione per la disinstallazione dell’app verrà inviata a un servizio Google. Google procederàquindi a gestire la rimozione dell’app dal dispositivo. Nella pagina Vista operazioni, l’operazionerisulterà come riuscita, una volta inviata a Google.

ConsiglioIn alternativa, è possibile utilizzare la seguente procedura per disinstallare l’app da un singolodispositivo: Aprire la pagina Mostra dispositivo corrispondente al dispositivo, selezionare lascheda App installate e successivamente cliccare sull’icona a forma di cestino accanto al nomedell’app da rimuovere.

19.11.7 Licenze per le app di Google Play gestito

Per le app a pagamento approvate in Google Play gestito, occorre assegnare una licenza dell’app aun utente per rendere l’app disponibile per l’utente.



L’assegnazione delle licenze può essere configurata nella pagina Modifica app approvate. VedereModifica delle app di Google Play gestito (pagina 322).

Nota• Non occorre assegnare una licenza alle installazioni delle app avviate da un amministratore.

Quando si installa un’app secondo quanto indicato nella sezione Installazione di appapprovate (pagina 324), viene automaticamente assegnata agli utenti specificati una licenzaproveniente dalla somma totale delle licenze acquistate.

• Non occorre assegnare una licenza per le app gratuite approvate in Google Play gestito.Le app gratuite vengono automaticamente rese disponibili per tutti gli utenti subito dopo lasincronizzazione con Sophos Mobile dell’elenco delle app di Google.

19.11.8 Layout di Google Play gestito

È possibile definire la posizione delle app di Google Play gestito nell’app Play Store dell’utente.

Gli elementi di layout configurabili sono Pagine e Categorie.

• Le Pagine sono viste scorrevoli verticalmente a cui è possibile assegnare un nome. Le pagine e inomi vengono preimpostati da Sophos Mobile.

• Le Categorie sono sottosezioni scorrevoli orizzontalmente di una pagina definita a cui è possibileassegnare un nome. Nella documentazione Google, le categorie vengono anche denominatecluster.

• Ciascuna categoria è diversa a seconda della pagina, e ciascuna app compare all’interno di unacategoria precisa.

• Le pagine che non contengono app non vengono visualizzate.

• È possibile configurare sino a un massimo di 30 categorie per pagina, e 100 app per categoria.

Per ciascuna app, occorre definire la pagina e (facoltativamente) la categoria sotto la qualevisualizzare l’app all’interno dell’app Google Play Store gestito sui dispositivi degli utenti. Perimpostazione predefinita, le app vengono collocate in una pagina che si chiama Altro.

Il layout dello store può essere configurato nella pagina Modifica app approvate. Vedere Modificadelle app di Google Play gestito (pagina 322).

19.11.9 App configurabili

Un’app di Google Play gestito può offrire una configurazione gestita. Questa funzionalità vienefornita dallo sviluppatore dell’app e permette di configurare impostazioni personalizzate per l’app.

Se un’app supporta la configurazione gestita, verrà visualizzato un messaggio This app offersmanaged configuration (questa app offre la configurazione gestita) nella pagina dell’app all’internodi Google Play gestito.

Le impostazioni dell’app possono essere configurate nella pagina Modifica app approvate. VedereModifica delle app di Google Play gestito (pagina 322).

19.11.10 App private e ospitate autonomamente

Per Android Enterprise, tutte le app che si desidera rendere disponibili per gli utenti devono esseredistribuite con Google Play gestito.



• Le App pubbliche sono app disponibili per tutti gli utenti che possiedono un Account Googlegestito.

• Le App private sono app sviluppate internamente dall’azienda, che sono disponibili solamente pergli utenti all’interno del proprio Dominio Google gestito.

• Le App ospitate autonomamente sono app private per le quali il pacchetto delle app (ovvero ilfile APK) viene collocato su un server che appartiene all’azienda, invece che sul server di Google.Tuttavia, i metadati per l’app store delle app ospitate autonomamente devono essere caricati suGoogle, in modo da consentirne la distribuzione con Google Play gestito.

Per informazioni sulle app private, vedere le informazioni per i developer nella pagina Android in theenterprise (collegamento esterno).


https://developer.android.com/work/index.html

https://developer.android.com/work/index.html


20 Protezione delle app di IntuneIntune è un servizio Microsoft che serve per gestire dispositivi mobili e app. La protezione delle appdi Intune consente di definire restrizioni sull'utilizzo a livello delle app e di applicare tali restrizioni agliutenti.

Siccome la protezione delle app di Intune è basata sull'identità dell'utente e non richiede la gestionedei dispositivi per proteggere i dati aziendali, è idonea per i programmi Bring Your Own Device(BYOD).

I criteri di protezione delle app di Intune possono essere gestiti in Sophos Mobile Admin.

Funzionalità e requisiti

• Non occorre che i dispositivi siano registrati a Sophos Mobile.

• I criteri di protezione delle app di Intune possono essere applicati alle app Office 365 e ad altre appche sono state integrate con l'Intune App SDK.

• I criteri vengono applicati solamente quando gli utenti accedono a un'app con il proprio accountaziendale. Non sono presenti restrizioni sull'utilizzo quando l'accesso viene effettuato con unaccount personale.

• Bisogna essere in possesso di una sottoscrizione Azure Active Directory (AD) Premium.

• Deve essere assegnata una licenza Intune agli account Azure AD degli utenti.

• Per l’app Microsoft Outlook, gli utenti devono disporre di una mailbox Office 365 Exchange Onlinee di una licenza associata al proprio account Azure AD.

• Per le app Microsoft Word, Excel e PowerPoint, gli utenti devono disporre di una licenza Office 365Business o Enterprise associata al proprio account Azure AD.

Informazioni correlateDocumentazione di Microsoft Intune (collegamento esterno)App Microsoft Intune (collegamento esterno)

20.1 Impostazione dell'integrazione con MicrosoftIntunePer poter gestire i criteri di protezione delle app di Intune in Sophos Mobile Admin, occorre registrareSophos Mobile come applicazione Microsoft Azure. Si consiglia di utilizzare la Registrazione diMicrosoft Azure.

1. Dalla barra laterale dei menu, selezionare Impostazione > Impostazione del sistema e cliccaresulla scheda Microsoft Azure.

2. Cliccare su Procedura guidata di registrazione di Microsoft Azure.

La procedura guidata indica come svolgere il processo di registrazione nel portale di MicrosoftAzure e in Sophos Mobile Admin:

a) Creare una registrazione dell'applicazione per Sophos Mobile nel portale di Microsoft Azure.

b) Immettere l'ID applicazione in Sophos Mobile.


https://docs.microsoft.com/it-it/intune/

https://www.microsoft.com/it-it/cloud-platform/microsoft-intune-apps


c) Caricare il certificato del server di Sophos Mobile nell'applicazione.

d) Concedere all'applicazione le autorizzazioni delegate Read and write Microsoft Intune apps(Leggere e scrivere le app di Microsoft Intune) e Read all groups (Leggere tutti i gruppi) perl'API Microsoft Graph.

Una volta completata la procedura di impostazione, verrà visualizzata una nuova voce Profili, criteri> Protezione app Intune nella barra laterale dei menu di Sophos Mobile Admin.

20.2 Creazione di un criterio di protezione delle appdi IntuneUn criterio di protezione delle app di Intune consente di applicare restrizioni per i dati in baseall'identità dell'utente. Le restrizioni vengono applicate solamente quando l'app viene utilizzata in uncontesto lavorativo, ovvero quando un utente a cui è assegnata apre un'app utilizzando un accountaziendale.

Occorre creare criteri diversi per le app Android e iOS.

1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri > Protezione appIntune.

2. Confermare la finestra di dialogo che indica che si verrà reindirizzati su una pagina di Microsoft esuccessivamente accedere con l'account di amministratore di Microsoft Azure.

Questo passaggio viene saltato se è già stato effettuato l'accesso a Microsoft Azure durante lasessione attuale di Sophos Mobile Admin.

3. Nella pagina Criteri di Sophos Mobile Admin, cliccare su Aggiungi e successivamente su CriterioAndroid oppure Criterio iOS.

4. Nella pagina Modifica criterio, immettere le impostazioni richieste.

Vedere Impostazioni dei criteri di protezione delle app in Intune (Android) (pagina 331) eImpostazioni dei criteri di protezione delle app in Intune (iOS) (pagina 335).


Il criterio può essere visualizzato nel portale di Microsoft Azure. Potrebbe essere necessarioeffettuare nuovamente l'accesso al portale per aggiornare le informazioni visualizzate.

Dopo la creazione, il criterio di protezione delle app di Intune potrà essere assegnato ad app eutenti. Vedere Assegnazione delle app a un criterio di protezione delle app in Intune (pagina 329) eAssegnazione degli utenti a un criterio di protezione delle app di Intune (pagina 330).

20.3 Assegnazione delle app a un criterio diprotezione delle app in IntuneUn criterio di protezione delle app in Intune viene applicato solamente alle app a cui viene assegnato.






3. Nella pagina Criteri di Sophos Mobile Admin, cliccare sul triangolo blu accanto al criterio a cui sidesidera assegnare le app e successivamente cliccare su Assegna app.

4. Selezionare le app a cui si desidera assegnare il criterio.

L'elenco include tutte le app Android o iOS che sono state aggiunte all'account Microsoft Intune nelportale di Microsoft Azure.


Le assegnazioni delle app possono essere visualizzate nel portale di Microsoft Azure. Potrebbeessere necessario effettuare nuovamente l'accesso al portale per aggiornare le informazionivisualizzate.

20.4 Assegnazione degli utenti a un criterio diprotezione delle app di IntuneUn criterio di protezione delle app di Intune viene applicato a un'app solamente quando è utilizzato daun utente a cui è assegnato. Gli utenti non vengono assegnati individualmente, bensì tramite gruppi disicurezza di Azure Active Directory (AD).




3. Nella pagina Criteri di Sophos Mobile Admin, cliccare sul triangolo blu accanto al criterio a cui sidesidera assegnare gli utenti e successivamente cliccare su Assegna gruppi di utenti.

4. Nell'elenco di gruppi di sicurezza di Azure AD disponibili, selezionare i gruppi che si desideraincludere o escludere:

• Includi: il criterio viene applicato ai membri di questo gruppo.

• Escludi: il criterio non viene applicato ai membri di questo gruppo, anche se dovessero esserestati inseriti in un gruppo Includi.

• Non assegnata: il criterio non viene applicato ai membri di questo gruppo, a meno che nonsiano stati inseriti anche in un gruppo Includi.


Le assegnazioni degli utenti possono essere visualizzate nel portale di Microsoft Azure. Potrebbeessere necessario effettuare nuovamente l'accesso al portale per aggiornare le informazionivisualizzate.

Notail criterio viene applicato solamente agli utenti che dispongono di una licenza Intune associata alproprio account Azure AD. Non riguarda gli altri utenti nei gruppi di sicurezza selezionati.



20.5 Impostazioni dei criteri di protezione delle appin Intune (Android)I criteri di Protezione app Intune consentono di definire le restrizioni per le app gestite da Intune.Questo paragrafo descrive le impostazioni disponibili per le app Android.



Nome Il nome del criterio.

Descrizione Una breve descrizione del criterio.

Rilocazione dati

In Rilocazione dati è possibile configurare il modo in cui viene permesso ai dati di essere inseriti oesportati dall'app.

NotaTutte le impostazioni vengono applicate all'accesso ai dati quando gli utenti accedono con ilproprio account aziendale.


Impedisci backup in Android L'app non utilizza il servizio di backup Android.

Consenti all'app di trasferire i dati adaltre app

Le app verso cui questa app può trasferire i dati:

App gestite da criteri: consente solamente iltrasferimento verso altre app gestite da un criterioIntune.

Tutte le app: consente il trasferimento verso qualsiasiapp.

Nessuna: non consente il trasferimento verso alcunaapp.

Nota• Potrebbero essere presenti app e servizi verso

cui il trasferimento dei dati è sempre autorizzato.Per informazioni dettagliate, consultare ladocumentazione di Microsoft Intune sulle esenzioniper il trasferimento dei dati.

• Il trasferimento di dati verso Android Instant Apps èsempre bloccato.




Consenti all'app di ricevere i dati daaltre app

Le app da cui questa app può ricevere i dati:


Tutte le app: consente il trasferimento da qualsiasiapp.

Nessuna: non consente il trasferimento da alcuna app.

Nota• Potrebbero essere presenti app e servizi da cui

il trasferimento dei dati è sempre autorizzato.Per informazioni dettagliate, consultare ladocumentazione di Microsoft Intune sulle esenzioniper il trasferimento dei dati.

• Il trasferimento di dati da Android Instant Apps èsempre bloccato.

Impedisci "Salva con nome" L'opzione Salva con nome dell'app è disattivata.

Percorsi di archiviazione Se è selezionata l'opzione Impedisci "Salvacon nome", specificare i percorsi in cui vengonomemorizzati i dati aziendali.

Gli utenti possono salvare su percorsi selezionati. Glialtri percorsi sono bloccati.

Limita le operazioni taglia, copia eincolla con le altre app

Selezionare come possono essere utilizzate leoperazioni taglia, copia e incolla con questa app.

Bloccato: non consente le operazioni taglia, copia eincolla tra questa app e altre app.

App gestite da criteri: consente le operazioni taglia,copia e incolla tra questa app e altre app gestite da uncriterio Intune.

App gestite da criteri con Incolla in: consente leazioni taglia o copia tra questa app e altre app gestiteda un criterio Intune. I dati da qualsiasi app possonoessere incollati in questa app.

Tutte le app: Nessuna restrizione per le azioni taglia,copia e incolla in e da questa app.

Limita il contenuto Web per lavisualizzazione in Managed Browser

Viene implementata nell'app l'apertura deicollegamenti web all'interno dell'app Managed Browserin Intune.

Crittografa dati app I dati vengono cifrati con uno schema di crittografiadefinito da Intune.

Disabilita sincronizzazione contatti L'app non salva dati nell'app Contatti.




Disabilita stampa La stampa è disattivata nell'app.

Accesso

Accesso permette di configurare il modo in cui agli utenti è permesso accedere all'app quandoeffettuano l'accesso con il proprio account aziendale.


Richiedi PIN per l'accesso Per utilizzare l'app è richiesto un PIN.

Al primo accesso con l'account aziendale, vienerichiesto agli utenti di impostare un PIN.

NotaIl PIN è condiviso tra tutte le app Android gestite daIntune.

Numero di tentativi prima dellareimpostazione del PIN

Il numero massimo di tentativi di accesso non riusciticonsentito prima che occorra reimpostare il PIN.

Impedisci PIN semplice Agli utenti non viene consentito di utilizzare sequenzesemplici per il PIN, come ad es. 1234 o 1111.

Lunghezza PIN Il numero minimo di cifre richieste in una sequenzaPIN.

Impedisci impronta digitale Gli utenti non possono utilizzare l'autenticazionetramite impronta digitale al posto del PIN.

Richiedi credenziali aziendali perl'accesso

Gli utenti devono immettere la password aziendaleinvece di un PIN.

Questa impostazione assume la priorità rispetto aglialtri requisiti previsti per il PIN.

Blocca l'esecuzione delle app gestitenei dispositivi rooted

Nei dispositivi rooted, gli utenti non possono utilizzarel'app con il proprio account aziendale.

Controlla di nuovo i requisiti diaccesso dopo

Il numero di minuti prima che vengano ricontrollati irequisiti di accesso (definiti in questo criterio) quandoviene lanciata l'app.

NotaDopo aver immesso il PIN una volta, gli utenti possonoutilizzare altre app gestite da Intune senza dover inserirenuovamente il PIN per il periodo di tempo definito inquesta impostazione.




Periodo di prova offline Il numero di minuti in cui un dispositivo può rimanereoff-line prima che vengano ricontrollati i requisitidell'app.

Una volta scaduto questo periodo di tempo, l'apprichiederà che l'utente si connetta alla rete pereffettuare nuovamente l'autenticazione.

Intervallo offline prima dellacancellazione dei dati dell'app

Il numero di giorni in cui è consentito a un dispositivodi rimanere off-line prima che l'utente debbaconnettersi alla rete ed effettuare nuovamentel'autenticazione.

Se l'autenticazione non viene effettuata correttamente,i dati aziendali dell'app vengono formattati.

NotaPer l'app Microsoft Outlook, la formattazione dei datidell'app rimuove anche i dati salvati nell'app Contatti.

Blocca acquisizione schermo eAssistente per Android

Gli utenti non possono utilizzare la funzionalità diacquisizione schermo o l'Assistente Google.

Questa opzione applica anche una sfocaturaall'immagine dell'app nell'elenco di app recenti.

Richiedi una versione minima diAndroid

La versione minima di Android richiesta per utilizzarel'app.

Lasciare vuoto il campo per ignorare questaimpostazione.

Versione minima di Androidconsigliata

La versione minima di Android consigliata per utilizzarel'app.

Se il dispositivo non soddisfa questo requisito, vienevisualizzata una notifica che l'utente può ignorare.


Richiedi una versione minima dell'app La versione minima dell'app richiesta per utilizzarel'app.


Versione minima dell'app consigliata La versione minima dell'app consigliata per utilizzarel'app.

Se l'app nel dispositivo non soddisfa questo requisito,viene visualizzata una notifica che l'utente puòignorare.





Richiedi una versione minima dellapatch di Android

Il livello patch di sicurezza Android minimo richiestoper utilizzare l'app.

Inserire la data del livello patch, utilizzando il formatoAAAA-MM-GG.


Versione minima della patch diAndroid consigliata

Il livello patch di sicurezza Android minimo consigliatoper utilizzare l'app.

Inserire la data del livello patch, utilizzando il formatoAAAA-MM-GG.



20.6 Impostazioni dei criteri di protezione delle appin Intune (iOS)I criteri di Protezione app Intune consentono di definire le restrizioni per le app gestite da Intune.Questo paragrafo descrive le impostazioni disponibili per le app iOS.



Nome Il nome del criterio.

Descrizione Una breve descrizione del criterio.

Rilocazione dati

In Rilocazione dati è possibile configurare il modo in cui viene permesso ai dati di essere inseriti oesportati dall'app.

NotaTutte le impostazioni vengono applicate all'accesso ai dati quando gli utenti accedono con ilproprio account aziendale.




Impedisci backup in iTunes e iCloud L'app non esegue il backup dei dati su iTunes oiCloud.

Consenti all'app di trasferire i dati adaltre app

Le app verso cui questa app può trasferire i dati:


Tutte le app: consente il trasferimento verso qualsiasiapp.

Nessuna: non consente il trasferimento verso alcunaapp.

Nota• Potrebbero essere presenti app e servizi verso

cui il trasferimento dei dati è sempre autorizzato.Per informazioni dettagliate, consultare ladocumentazione di Microsoft Intune sulle esenzioniper il trasferimento dei dati.

• App gestite da criteri e Nessuna impedisconoanche a Siri di cercare dati nell'app.

Consenti all'app di ricevere i dati daaltre app

Le app da cui questa app può ricevere i dati:


Tutte le app: consente il trasferimento da qualsiasiapp.

Nessuna: non consente il trasferimento da alcuna app.

Nota• Potrebbero essere presenti app e servizi da cui

il trasferimento dei dati è sempre autorizzato.Per informazioni dettagliate, consultare ladocumentazione di Microsoft Intune sulle esenzioniper il trasferimento dei dati.

• Alcune app ignorano questa impostazione eautorizzano tutti i dati i ingresso.

Impedisci "Salva con nome" L'opzione Salva con nome dell'app è disattivata.

Percorsi di archiviazione Se è selezionata l'opzione Impedisci "Salvacon nome", specificare i percorsi in cui vengonomemorizzati i dati aziendali.

Gli utenti possono salvare su percorsi selezionati. Glialtri percorsi sono bloccati.




Limita le operazioni taglia, copia eincolla con le altre app

Selezionare come possono essere utilizzate leoperazioni taglia, copia e incolla con questa app.

Bloccato: non consente le operazioni taglia, copia eincolla tra questa app e altre app.

App gestite da criteri: consente le operazioni taglia,copia e incolla tra questa app e altre app gestite da uncriterio Intune.

App gestite da criteri con Incolla in: consente leazioni taglia o copia tra questa app e altre app gestiteda un criterio Intune. I dati da qualsiasi app possonoessere incollati in questa app.

Tutte le app: Nessuna restrizione per le azioni taglia,copia e incolla in e da questa app.

Limita il contenuto Web per lavisualizzazione in Managed Browser

Viene implementata nell'app l'apertura deicollegamenti web all'interno dell'app Managed Browserin Intune.

Crittografa dati app Selezionare quando cifrare i dati. I dati vengonocifrati utilizzando lo schema di crittografia a livello didispositivo fornito da iOS.

Quando il dispositivo è bloccato: i dati dell'appvengono cifrati quando il dispositivo è bloccato.

Quando il dispositivo è bloccato e sono presentifile aperti: i dati dell'app vengono cifrati quando ildispositivo è bloccato, tranne i dati nei file attualmenteaperti.

Dopo il riavvio del dispositivo: i dati dell'appvengono cifrati al riavvio del dispositivo e restano cifratifino a quando il dispositivo non viene sbloccato per laprima volta.

Usa impostazioni dispositivo: i dati delle appvengono cifrati in base alle impostazioni del dispositivo.

Disabilita sincronizzazione contatti L'app non salva dati nell'app Contatti.

Disabilita stampa La stampa è disattivata nell'app.

Accesso

Accesso permette di configurare il modo in cui agli utenti è permesso accedere all'app quandoeffettuano l'accesso con il proprio account aziendale.




Richiedi PIN per l'accesso Per utilizzare l'app è richiesto un PIN.

Al primo accesso con l'account aziendale, vienerichiesto agli utenti di impostare un PIN.

NotaIl PIN è condiviso tra tutte le app iOS gestite da Intunedello stesso server di pubblicazione.

Tipo di password Il tipo di PIN che gli utenti devono definire:

Numerici: il PIN deve contenere solo caratterinumerici.

Passcode: il PIN deve contenere almeno una lettera,un carattere speciale o un simbolo (che deve esseredisponibile sulla tastiera inglese iOS).

NotaAlcune app non supportano il tipo Passcode.

Numero di tentativi prima dellareimpostazione del PIN

Il numero massimo di tentativi di accesso non riusciticonsentito prima che occorra reimpostare il PIN.

Impedisci PIN semplice Agli utenti non viene consentito di utilizzare sequenzesemplici per il PIN, come ad es. 1234 o 1111.

Se Tipo di password è impostato su Passcode, ilPIN deve contenere almeno una cifra, una lettera e uncarattere speciale o un simbolo.

Lunghezza PIN Il numero minimo di caratteri richiesti in una sequenzaPIN.

Impedisci impronta digitale Gli utenti non possono utilizzare l'ID tocco al posto delPIN per l'autenticazione.

Impedisci riconoscimento facciale Gli utenti non possono utilizzare il Face ID al posto delPIN per l'autenticazione.

Richiedi credenziali aziendali perl'accesso

Gli utenti devono immettere la password aziendaleinvece di un PIN.

Questa impostazione assume la priorità rispetto aglialtri requisiti previsti per il PIN.

Blocca l'esecuzione delle app gestitenei dispositivi jailbroken

Nei dispositivi jailbroken, gli utenti non possonoutilizzare l'app con il proprio account aziendale.




Controlla di nuovo i requisiti diaccesso dopo

Il numero di minuti prima che vengano ricontrollati irequisiti di accesso (definiti in questo criterio) quandoviene lanciata l'app.

NotaDopo aver immesso una volta il PIN, possono utilizzarealtre app gestite da Intune dello stesso server dipubblicazione senza dover inserire nuovamente il PIN peril periodo di tempo definito in questa impostazione.

Periodo di prova offline Il numero di minuti in cui un dispositivo può rimanereoff-line prima che vengano ricontrollati i requisitidell'app.

Una volta scaduto questo periodo di tempo, l'apprichiederà che l'utente si connetta alla rete pereffettuare nuovamente l'autenticazione.

Intervallo offline prima dellacancellazione dei dati dell'app

Il numero di giorni in cui è consentito a un dispositivodi rimanere off-line prima che l'utente debbaconnettersi alla rete ed effettuare nuovamentel'autenticazione.

Se l'autenticazione non viene effettuata correttamente,i dati aziendali dell'app vengono formattati.

NotaPer l'app Microsoft Outlook, la formattazione dei datidell'app rimuove anche i dati salvati nell'app Contatti.

Richiedi una versione minima di iOS La versione minima di iOS richiesta per utilizzare l'app.


Versione minima di iOS consigliata La versione minima di iOS consigliata per utilizzarel'app.



Richiedi una versione minima dell'app La versione minima dell'app richiesta per utilizzarel'app.





Versione minima dell'app consigliata La versione minima dell'app consigliata per utilizzarel'app.

Se l'app nel dispositivo non soddisfa questo requisito,viene visualizzata una notifica che l'utente puòignorare.


Richiedi una versione minimadell'SDK dei criteri di protezione appdi Intune

La versione minima dell'SDK dei criteri di protezionedelle app di Intune che l'app deve avere.




21 Invio di un messaggio ai dispositivi

NotaQuesta sezione non è applicabile ai computer Windows o ai dispositivi Windows IoT.

È possibile inviare un messaggio personalizzato ai dispositivi gestiti.

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi.Verrà visualizzata la pagina Dispositivi.

2. Selezionare uno o più dispositivi, cliccare su Azioni e successivamente su Invia messaggio.

3. Nella finestra di dialogo Inserisci messaggio, inserire il testo del messaggio che si desiderainviare.

Il messaggio può contenere sino a un massimo di 500 caratteri.




22 Proxy EAS standaloneÈ possibile impostare un proxy di EAS per controllare l’accesso dei dispositivi gestiti a un serverdi posta. Il traffico e-mail dei dispositivi gestiti verrà reindirizzato attraverso il proxy specificato. Èpossibile bloccare l'accesso alle e-mail per i dispositivi, ad esempio nel caso in cui sia presente undispositivo che viola una regola di conformità.

I dispositivi devono essere configurati in modo da utilizzare il proxy di EAS come server di postaelettronica per le e-mail in entrata e in uscita. Il proxy EAS inoltrerà il traffico al server di postaelettronica solamente se il dispositivo è noto a Sophos Mobile, e se soddisfa i criteri richiesti.Ciò garantisce un livello di sicurezza più elevato, in quanto non occorre che il server di posta siaaccessibile da Internet, e può essere raggiunto solamente dai dispositivi autorizzati (configuraticorrettamente, ad es. seguendo linee guida per il passcode). Inoltre, è anche possibile configurare ilproxy di EAS in modo che impedisca l'accesso da dispositivi specifici.

Il proxy di EAS standalone deve essere scaricato e installato separatamente da Sophos Mobile.Comunica con il server di Sophos Mobile attraverso un'interfaccia web HTTPS.

NotaPoiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare il proxy di EASinterno o standalone per filtrare il traffico e-mail proveniente dai Mac.

Funzionalità

• Supporto di server di posta elettronica Microsoft Exchange o IBM Notes Traveler multipli. Èpossibile impostare un'istanza di proxy di EAS per ciascun server di posta.

• Supporto di bilanciatori del carico. È possibile impostare istanze di proxy di EAS standalone sucomputer diversi, per poi utilizzare un bilanciatore del carico per distribuire tra di esse le richiestedel client.

• Supporto dell'autenticazione al client basata su certificato. È possibile selezionare, da un'autorità dicertificazione (CA), un certificato dal quale devono essere derivati i certificati client.

• Supporto del controllo dell’accesso alle e-mail tramite PowerShell. In questo scenario, il servizioproxy EAS comunica con il server di posta tramite PowerShell per controllare l’accesso alle e-mail dei dispositivi gestiti. Il traffico e-mail si verifica direttamente tra i dispositivi e i server di posta,senza essere reindirizzato tramite un proxy. Vedere Impostazione del controllo dell’accesso alle e-mail tramite PowerShell (pagina 347).

• Il proxy EAS ricorderà lo stato del dispositivo per 24 ore. Se il server di Sophos Mobile dovesseessere off-line, ad esempio in caso di aggiornamento, il traffico e-mail verrà filtrato in base all'ultimostato conosciuto del dispositivo. Dopo 24 ore, l'intero traffico e-mail verrà bloccato.

NotaPer i dispositivi non iOS, le capacità di filtraggio del proxy EAS standalone sono limitate per viadelle specifiche del protocollo di IBM Notes Traveler. Sui dispositivi non iOS, i client di Travelernon inviano l’ID del dispositivo con tutte le richieste. Le richieste senza un ID del dispositivoverranno comunque inoltrate al server di Traveler, anche se il proxy EAS non dovesse essere ingrado di verificare che il dispositivo è autorizzato.



22.1 Download del programma di installazione delproxy di EAS1. Accedere a Sophos Central Admin.

2. Nella barra laterale dei menù, sotto Prodotti, cliccare su Mobile.

3. Nella barra laterale del menù della vista Mobile, sotto IMPOSTAZIONI, cliccare su Impostazione> Impostazione del sistema, e successivamente cliccare sulla scheda Proxy EAS.

4. Sotto Esterno, cliccare sul link per scaricare il programma di installazione del proxy di EAS.

Il file di installazione verrà salvato nel computer locale.

22.2 Installazione del proxy EAS standalonePrerequisiti:

• Tutti i server di posta richiesti devono essere accessibili. Il programma di installazione del proxyEAS non configurerà le connessioni ai server che non sono disponibili.

• Occorre aver effettuato l'accesso come amministratore sul computer in cui si intende installare ilproxy EAS.

NotaLa Guida alla distribuzione di Server di Sophos Mobile (in inglese) contiene diagrammi schematiciper l’integrazione del proxy di EAS standalone nell’infrastruttura aziendale. Si consiglia dileggere le informazioni prima di procedere con l’installazione e la distribuzione del proxy di EASstandalone.

1. Eseguire Sophos Mobile EAS Proxy Setup.exe per avviare Sophos Mobile EAS Proxy -Setup Wizard.

2. Nella pagina Choose Install Location, selezionare la cartella di destinazione e cliccare su Installper avviare l'installazione.Una volta completata l'installazione, viene avviato automaticamente Sophos Mobile EASProxy - Configuration Wizard, che fornisce una guida passo dopo passo all'intero processo diconfigurazione.

3. Nella finestra di dialogo Sophos Mobile server configuration, inserire l'URL del server di SMC acui il proxy di EAS effettuerà la connessione.

Si consiglia di selezionare anche Use SSL for incoming connections (Clients to EAS Proxy)per proteggere la comunicazione tra i client e il proxy di EAS.

Opzionalmente, selezionare Use client certificates for authentication se si desidera che, perl'autenticazione, i client adoperino anche un certificato, oltre alle credenziali del proxy di EAS.Così facendo si aggiunge un ulteriore livello di sicurezza alla connessione.

Selezionare Allow all certificates se il server di Sophos Mobile presenta certificati variabili alproxy di EAS, ad esempio quando esistono diverse istanze di server dietro a un bilanciatore dicarico, e ciascuna istanza adopera un certificato diverso. Quando è selezionata questa opzione,il proxy EAS accetterà qualsiasi certificato dal server di Sophos Mobile.


https://docs.sophos.com/esg/smc/8-6/admin/en-us/PDF/smc_dg.pdf


ImportantePoiché l’opzione Allow all certificates diminuisce il livello di sicurezza della comunicazionedel server, si consiglia vivamente di selezionarla solamente se richiesta dall’ambiente di rete.

4. Se precedentemente è stata selezionata l'opzione Use SSL for incoming connections (Clientsto EAS Proxy), verrà visualizzata la pagina Configure server certificate. In questa pagina èpossibile creare o importare un certificato per l'accesso sicuro (HTTPS) al proxy EAS.

NotaInclusa tra i file del prodotto Sophos, si trova la procedura guidata "SSL Certificate Wizard",che può essere utilizzata per richiedere il certificato SSL/TLS per il proxy di EAS di SophosMobile. Per ulteriori informazioni, vedere Richiesta di un certificato SSL/TLS (pagina 346).

• Se ancora non si dispone di un certificato attendibile, selezionare Create self-signedcertificate.

• Se si dispone di un certificato attendibile, cliccare su Import a certificate from a trustedissuer e selezionare una delle seguenti opzioni dall’elenco:

— PKCS12 with certificate, private key and certificate chain (intermediate and CA)

— Separate files for certificate, private key, intermediate and CA certificate

5. Nella pagina successiva, inserire le informazioni del certificato che riguardano il certificatoselezionato.

NotaNel caso di un certificato autofirmato, occorrerà specificare un server che sia accessibile daidispositivi client.

6. Se precedentemente è stata selezionata l'opzione Use client certificates for authentication,verrà visualizzata la pagina SMC client authentication configuration. Su questa pagina èpossibile selezionare, da un'autorità di certificazione (CA), un certificato dal quale devono esserederivati i certificati client.

Quando un client cercherà di effettuare la connessione, il proxy di EAS verificherà se il certificatosia derivato dalla CA specificata in questo campo.

7. Nella pagina EAS Proxy instance setup, configurare una o più istanze di proxy EAS.

• Instance type: Selezionare EAS proxy.

• Instance name: Un nome che identifica l’istanza.

• Server port: La porta del proxy EAS per il traffico e-mail in entrata. Se viene impostata più diun'unica istanza di proxy, ciascuna di esse dovrà utilizzare una porta diversa.

• Require client certificate authentication: I client di posta devono autentificarsi quando siconnettono al proxy EAS.

• ActiveSync server: Il nome o indirizzo IP dell’istanza del server di Exchange ActiveSync a cuisi connetterà l’istanza del proxy.

• SSL: La comunicazione tra l’istanza del proxy e il server di Exchange ActiveSync è protettatramite SSL o TLS (a seconda della compatibilità del server).

• Allow EWS subscription requests from Secure Email: Selezionare questa opzione perconsentire alla app Sophos Secure Email su iOS di effettuare la sottoscrizione alle notifiche



push tramite Exchange Web Services (EWS). Le notifiche push informano il dispositivo quandosono presenti messaggi per Secure Email.

Nota— Per impostazione predefinita, il proxy di EAS blocca tutte le richieste rivolte

all’interfaccia EWS del server di Exchange; ciò è per questioni di sicurezza.Selezionando questa casella di controllo, verranno autorizzate le richieste disottoscrizione. Le altre richieste rimarranno bloccate.

— Per informazioni su come configurare EWS per il server di Exchange, consultarel’articolo 127137 della knowledge base Sophos.

• Enable Traveler client access: Selezionare questa casella di controllo solamente se sidesidera autorizzare l’accesso ai client di IBM Notes Traveler da dispositivi non iOS.

8. Dopo aver inserito le informazioni relative all'istanza, cliccare su Add per aggiungere l'istanzaall'elenco Instances.

Per ciascuna istanza di proxy, il programma di installazione creerà un certificato che dovràessere caricato sul server di Sophos Mobile. Una volta cliccato su Add, comparirà una finestra dimessaggio che descriverà come procedere per caricare il certificato.

9. Nella finestra di messaggio, cliccare su OK.Si aprirà una finestra di dialogo che mostra la cartella nella quale è stato creato il certificato.

NotaQuesta finestra di dialogo può essere aperta anche selezionando l'istanza desiderata ecliccando sul link Export config and upload to Sophos Mobile server nella pagina EASProxy instance setup.

10. Prendere nota della cartella del certificato. Questa informazione verrà richiesta in seguito, almomento di caricare il certificato su Sophos Mobile.

11. Richiesto: Cliccare nuovamente su Add per configurare ulteriori istanze del proxy EAS.

12. Una volta configurate tutte le istanze del proxy EAS richieste, cliccare su Next.Si procederà quindi al test delle porte server che sono state inserite, e verranno configurate leregole in entrata per Windows Firewall.

13. La pagina Allowed mail user agents consente di specificare i Mail User Agent (ovvero leapplicazioni client di posta elettronica) che sono autorizzati a connettersi al proxy EAS. Quando unclient si connette al proxy di EAS utilizzando un’applicazione di posta non specificata, la richiestaviene respinta.

• Selezionare Allow all mail user agents per configurare l’assenza di restrizioni.

• Cliccare su Only allow the specified mail user agents e successivamente selezionareun Mail User Agent dall’elenco. Cliccare su Add per aggiungere la voce all’elenco di agentiautorizzati. Ripetere questa procedura per tutti i Mail User Agent a cui è consentito connettersial proxy EAS.

14. Nella pagina Sophos Mobile EAS Proxy - Configuration Wizard finished, cliccare su Finish perchiudere il Configuration Wizard e tornare al Setup Wizard.

15. Nel Setup Wizard, verificare che la casella di controllo dell'opzione Start Sophos Mobile EASProxy server now sia selezionata, e successivamente cliccare su Finish per completare laconfigurazione e avviare il proxy di EAS di Sophos Mobile per la prima volta.

Per completare la configurazione del proxy di EAS, caricare su Sophos Mobile i certificati creati perciascuna istanza del proxy:

16. Accedere a Sophos Central Admin.






19. Sotto Esterno, cliccare su Carica un file. Caricare il certificato creato dalla procedura guidata perla connessione PowerShell.

Se è stata impostata più di un’istanza, ripetere questa procedura per i certificati di tutte le istanze.


21. In Windows, aprire la finestra di dialogo Servizi e riavviare il servizio EASProxy.







Si conclude così l’impostazione iniziale del proxy EAS standalone.

NotaOgni giorno, le voci di log del proxy EAS vengono trasferite su un nuovo file, utilizzando il patternEASProxy.log.aaaa-mm-gg per il nome. Questi file di log quotidiano non vengono eliminatiautomaticamente, per cui col passare del tempo possono causare problemi di spazio disponibilesu disco. Si consiglia di impostare un processo che trasferisca i file di log su un percorso dibackup.

22.3 Richiesta di un certificato SSL/TLSInclusa tra i file del prodotto Sophos, si trova una procedura guidata "SSL Certificate Wizard", chepuò essere utilizzata per richiedere il certificato SSL/TLS per il proxy di EAS di Sophos Mobile.Eseguire la procedura guidata dalla cartella Sophos Mobile EAS Proxy\tools\Wizard.

NotaSe si utilizza un certificato autofirmato o un certificato emesso dalla propria autorità di certificazione(Certificate Authority, CA), verranno applicate le seguenti restrizioni:

• Occorre installare manualmente il certificato autofirmato o il certificato della propria CA neidispositivi, prima di effettuarne la registrazione a Sophos Mobile. Se non si dovesse procederecome indicato, l’app Sophos Mobile Control non riterrà il server come attendibile e rifiuterà laconnessione. I certificati emessi da un’autorità di certificazione attendibile a livello globale nonrichiedono l’installazione manuale di cui sopra.

• Le app Android non possono essere installate da file APK ospitati nel server di Sophos Mobile.

• Non è possibile utilizzare la registrazione Zero Touch di Android o il Samsung Knox MobileEnrollment.

Per richiedere il certificato SSL/TLS:

• Avviare la procedura guidata per la creazione dei certificati APNS cliccando due volte sul fileSophos Mobile SSL Certificate Wizard.exe.



La procedura guidata è una guida passo dopo passo che vi segue durante l'intero processo diinstallazione. Inserire le informazioni richieste, tenendo presente le seguenti istruzioni:

a) Nella pagina Upload CSR, è possibile cliccare sul pulsante Open CSR per aprire il file CSR, seil vendor del certificato supporta la funzione copia e incolla.

b) Nella pagina Import Certificate Files, inserire nel campo Select CA certificate file ilcertificato CA scaricato nella pagina Upload CSR.

c) Nella pagina Certificate created, viene mostrato il percorso del certificato. Occorrerà fareriferimento a questo percorso durante l'impostazione di Sophos Mobile.

NotaSi consiglia di creare un backup della cartella contenente i file dei certificati.

22.4 Impostazione del controllo dell’accesso alle e-mail tramite PowerShellÈ possibile impostare una connessione PowerShell a un server di Exchange oppure Office 365.In questo modo, il servizio proxy EAS comunicherà con il server di posta tramite PowerShell percontrollare l’accesso alle e-mail dei dispositivi gestiti. Il traffico e-mail verrà inviato direttamente daidispositivi al server di posta. Non sarà reindirizzato tramite proxy.

NotaPoiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare PowerShell percontrollare l’accesso alle e-mail dai Mac.

Lo scenario che prevede l’uso di PowerShell presenta i seguenti vantaggi:

• I dispositivi comunicano direttamente con il server di Exchange.

• Non occorre aprire sul server una porta dedicata al traffico e-mail in entrata proveniente daidispositivi gestiti.

I server di posta supportati sono:

• Exchange Server 2013

• Exchange Server 2016

• Office 365 con piano Exchange Online

Per il setup di PowerShell:

1. Configurare PowerShell.

2. Creare un account di servizio sul server di Exchange o in Office 365. Questo account verràutilizzato da Sophos Mobile per eseguire comandi PowerShell.

3. Impostare una o più istanze di connessione PowerShell a Exchange oppure Office 365.

4. Caricare i certificati delle istanze su Sophos Mobile.

Configurazione di PowerShell

1. Nel computer sul quale verrà installato il proxy EAS, aprire Windows PowerShell comeamministratore e inserire:

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned



NotaSe PowerShell non fosse disponibile, effettuarne l’installazione come indicato nell'articoloInstallazione di Windows PowerShell (link esterno) di Microsoft.

2. Se si desidera effettuare la connessione a un server di Exchange locale, aprire WindowsPowerShell come amministratore sul computer interessato e inserire lo stesso comando indicato inprecedenza:

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

NotaQuesto passaggio non è richiesto per Office 365.

Creazione di un account di servizio

3. Accedere alla console di amministrazione richiesta:

• Per Exchange Server 2013/2016: Interfaccia di amministrazione di Exchange

• Per Office 365: Interfaccia di amministrazione di Office 365

4. Creare un account utente. Questo account verrà utilizzato da Sophos Mobile come account diservizio, per eseguire comandi PowerShell.

• Adoperare un nome utente, come ad es. smc_powershell, che identifichi lo scopodell’account.

• Disattivare l’impostazione che prevede la modifica della password da parte dell’utenteall’accesso successivo.

• Rimuovere eventuali licenze Office 365 automaticamente assegnate al nuovo account. Gliaccount di servizio non richiedono alcuna licenza.

5. Creare un nuovo gruppo di ruoli e assegnarvi le autorizzazioni richieste.

• Adoperare un nome per il gruppo di ruoli quale ad es. smc_powershell.

• Aggiungere i ruoli Mail Recipients e Organization Client Access.

• Aggiungere l’account di servizio come membro.

Impostazione delle connessioni PowerShell

6. Utilizzare la procedura guidata come se si desiderasse impostare un proxy di EAS standalone.Nella pagina della procedura intitolata EAS Proxy instance setup, configurare queste dueimpostazioni:

• Instance type: Selezionare PowerShell Exchange/Office 365.

• Instance name: Un nome che identifica l’istanza.

• Exchange server: Il nome o indirizzo IP del server di Exchange (per un’installazione locale delserver di Exchange), oppure outlook.office365.com (per Office 365). Non includere unprefisso https:// o un suffisso /powershell. Verranno aggiunti automaticamente.

• Allow all certificates: Il certificato presentato dal server di Exchange non sarà verificato.Utilizzare questa opzione se ad esempio nel server di Exchange è installato un certificatoautofirmato. Poiché l’opzione Allow all certificates diminuisce il livello di sicurezza dellacomunicazione del server, si consiglia vivamente di selezionarla solamente se richiestadall’ambiente di rete.

• Allow EWS subscription requests from Secure Email: Selezionare questa opzione perconsentire alla app Sophos Secure Email su iOS di effettuare la sottoscrizione alle notifiche


https://msdn.microsoft.com/it-it/powershell/scripting/setup/installing-windows-powershell


push tramite Exchange Web Services (EWS). Le notifiche push informano il dispositivo quandosono presenti messaggi per Secure Email.

Nota— Per impostazione predefinita, il proxy di EAS blocca tutte le richieste rivolte

all’interfaccia EWS del server di Exchange; ciò è per questioni di sicurezza.Selezionando questa casella di controllo, verranno autorizzate le richieste disottoscrizione. Le altre richieste rimarranno bloccate.

— Per informazioni su come configurare EWS per il server di Exchange, consultarel’articolo 127137 della knowledge base Sophos.

• Service account: Il nome dell'account utente creato nella console di amministrazione diExchange oppure Office 365.

• Password: La password dell’account utente.

7. Cliccare su Add per aggiungere l'istanza all'elenco Instances.

8. Facoltativamente: Ripetere i passaggi di cui sopra per impostare connessioni PowerShell ad altriserver di Exchange oppure Office 365.

9. Completare la procedura guidata di installazione come descritto in Installazione del proxy EASstandalone (pagina 343).

Caricamento di certificati

10. Accedere a Sophos Central Admin.



13. Richiesto: In Generale, selezionare Limita a Sophos Secure Email per limitare l’accesso alle e-mail all’app Sophos Secure Email, disponibile per Android e iOS.

Questa azione impedisce ad altre app di posta elettronica di connettersi al server di posta.





Si conclude così il setup iniziale delle connessioni PowerShell. Il traffico e-mail tra un dispositivo gestitoe i server di Exchange oppure Office 365 verrà bloccato se il dispositivo viola una delle regole diconformità. È possibile bloccare un singolo dispositivo impostando su Nega la modalità di accesso allee-mail del dispositivo in questione.

NotaA seconda della configurazione del server di Exchange, i dispositivi riceveranno una notifica dopoil blocco dell’accesso alle e-mail.

22.5 Configurazione di una connessione al serverproxy EAS standalone




Per configurare la connessione tra Sophos Mobile e il proxy EAS standalone, occorre caricare ilcertificato del server proxy di EAS su Sophos Mobile. Questo certificato è stato generato durante laconfigurazione dell’istanza del proxy EAS.

Per informazioni sull’installazione e la configurazione del proxy di EAS standalone, vedere ProxyEAS standalone (pagina 342).

ImportanteSe il servizio proxy EAS viene avviato prima di aver caricato il certificato, Sophos Mobile rifiuterà laconnessione al server, e il servizio non si avvierà.

Per caricare il certificato del proxy EAS standalone:

1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda Proxy EAS.

2. Richiesto: In Generale, selezionare Limita a Sophos Secure Email per limitare l’accesso alle e-mail all’app Sophos Secure Email, disponibile per Android e iOS.

Questa azione impedisce ad altre app di posta elettronica di connettersi al server di posta.

3. In Esterno, cliccare su Carica file e cercare il file del certificato.

Se è stata impostata più di un’istanza del proxy EAS, ripetere questa procedura per tutte le istanze.





23 Gestione di Sophos Mobile Security

NotaQuesta funzionalità richiede una licenza Mobile Security o una licenza Mobile Advanced.

Sophos Mobile Security è un’app di sicurezza per dispositivi Android e iOS. L’app può essere gestitasui dispositivi registrati a Sophos Mobile.

È anche possibile gestire l’app Sophos Mobile Security nei dispositivi registrati a software diEnterprise Mobility Management (EMM) di terze parti. Il software di EMM di terze parti devesupportare la personalizzazione delle impostazioni delle app. Vedere Gestione di Sophos MobileSecurity in dispositivi gestiti con software di terze parti (pagina 352).

Quando Sophos Mobile Security è gestita da Sophos Mobile, è possibile svolgere le seguentioperazioni in Sophos Mobile Admin:

• Configurazione delle impostazioni dell’app Sophos Mobile Security in maniera remota ecentralizzata. Vedere Configurazioni per i criteri di Mobile Security per Android (pagina 154) eConfigurazioni per i criteri di Mobile Security per iOS (pagina 209).

• Assegnazione di un criterio di conformità per garantire che l’app di Sophos Mobile Security siainstallata e che esegua scansioni a intervalli regolari. Vedere Regole di conformità di SophosMobile Security (pagina 351).

• Per Android: avvio automatico delle scansioni dei dispositivi e visualizzazione dei risultati discansione. Vedere Scansione del dispositivo (pagina 56).

23.1 Regole di conformità di Sophos MobileSecurityQuesta sezione elenca le regole di conformità che possono essere selezionate per ciascunapiattaforma.


Gestione obbligatoria Definire l'azione da eseguire quandoun dispositivo smette di esseregestito.

Android

iOS

Accesso alla radice consentito Scegliere se autorizzare i dispositivicon diritti root.

Android

Consenti Jailbreak Scegliere se autorizzare i dispositivicon jailbreak.

iOS

Versione minima per il sistemaoperativo

Scegliere la versione minima delsistema operativo richiesta.

Android

iOS

Versione massima per il sistemaoperativo

Scegliere la più recente versione delsistema operativo consentita.

Android

iOS




Intervallo massimo disincronizzazione di SMSec

Indicare l'intervallo massimo fra iprocessi di sincronizzazione per idispositivi.

Android

iOS

Intervallo massimo per lascansione di SMSec

Indicare l'intervallo massimo fra lescansioni alla ricerca di malwareeseguite dall'app di Sophos MobileSecurity nel dispositivo.

Android

Negazione delle autorizzazioniSMSec consentita

Per il corretto funzionamento diSophos Mobile Security, si richiedonoautorizzazioni specifiche per ildispositivo. L'utente deve concederequeste autorizzazioni durantel'installazione dell'app.


Android

App di malware consentite Selezionare se autorizzare o menole app di malware che sono staterilevate da Sophos Mobile Security.

Android

App sospette consentite Selezionare se autorizzare o meno leapp sospette che sono state rilevateda Sophos Mobile Security.

Android

PUA consentite Selezionare se autorizzare o menole app potenzialmente indesiderate(PUA) che sono state rilevate daSophos Mobile Security.

Android

23.2 Gestione di Sophos Mobile Security indispositivi gestiti con software di terze partiÈ possibile gestire l’app Sophos Mobile Security nei dispositivi registrati a software di EnterpriseMobility Management (EMM) di terze parti. Per questa opzione occorre svolgere procedure diconfigurazione sia nel software di EMM di terze parti che in Sophos Mobile.

Occorrerà creare una configurazione personalizzata per l’app Sophos Mobile Security nelsoftware di EMM di terze parti. Quando il software di EMM di terze parti installa l’app, effettueràautomaticamente la registrazione a Sophos Mobile.

NotaPer Android, il dispositivo deve essere registrato in modalità Android Enterprise.

Svolgere questa procedura in Sophos Mobile Admin:



1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazionedel sistema e successivamente sulla scheda EMM di terzi.

2. Cliccare su Genera codice di connessione.

Il codice contiene le informazioni richieste dall’app Sophos Mobile Security per effettuare laregistrazione a Sophos Mobile.


Opzione Descrizione

Proprietario Il tipo di proprietà (Aziendale o Personale)dei dispositivi registrati al software EMM diterzi.

Gruppo di dispositivi Il gruppo di dispositivi Sophos Mobile a cuisono assegnati i dispositivi.

Criterio di Mobile Security (Android) Facoltativamente: Il criterio di Sophos Mobileper Sophos Mobile Security nei dispositiviAndroid.

Criterio di Mobile Security (iOS) Facoltativamente: Il criterio di Sophos Mobileper Sophos Mobile Security negli iPhone enegli iPad.


5. Cliccare su Copia accanto a Codice di connessione per copiare il valore negli Appunti.

Il codice di connessione è necessario per configurare il software di EMM di terze parti.

Completare la procedura di configurazione nel software di EMM di terze parti:

6. Creare una configurazione per l’app Sophos Mobile Security.

7. Aggiungere le seguenti impostazioni personalizzate alla configurazione dell’app:

Nome del parametro Valore del parametro

smcData Il codice di connessione copiato da Sophos Mobile.

deviceId L'identificatore univoco del dispositivo utilizzato dal software di EMM diterze parti. Questo valore viene utilizzato per connettere il dispositivocreato in Sophos Mobile al dispositivo nel software di EMM di terze parti.

deviceName Facoltativamente: il nome del dispositivo utilizzato dal software di EMMdi terze parti.

email Facoltativamente: l’indirizzo e-mail dell’utente che si desidera assegnareal dispositivo in Sophos Mobile.

Per maggiori informazioni su come configurare le impostazioni personalizzate dell’app,consultare la documentazione del software di EMM di terze parti.

ConsiglioSe supportati dal software di EMM di terze parti, si consiglia di utilizzare segnaposto perdefinire il dispositivo e le proprietà utente.

8. Installare l’app Sophos Mobile Security con il software di EMM di terze parti.



Al primo riavvio dopo l’installazione, l’app Sophos Mobile Security effettuerà la registrazione a SophosMobile. L’app potrà essere gestita dalla pagina Dispositivi in Sophos Mobile Admin.

All'occorrenza, è possibile revocare il codice di connessione per impedire la registrazione di altre appin futuro. Questo non avrà ripercussioni sulle app Sophos Mobile Security già registrate al server diSophos Mobile.

23.3 Mobile Threat Defense in IntuneIntune è un servizio Microsoft che serve per gestire dispositivi mobili e app. Mobile Threat Defensein Intune permette di connettere Sophos Mobile al proprio account Intune e di utilizzare lo stato disicurezza segnalato dall'app Sophos Mobile Security per accedere alle risorse aziendali.

Informazioni correlateDocumentazione di Mobile Threat Defense in Microsoft Intune (collegamento esterno)

23.3.1 Impostazione dell'integrazione con Mobile ThreatDefense in Intune

Sophos Mobile può essere configurato come fornitore di Mobile Threat Defense (MTD) per MicrosoftIntune. Questa opzione consente di applicare criteri di Intune personalizzati e regole di accesso basatesullo stato del dispositivo segnalato dall'app Sophos Mobile Security.

Prerequisiti:

• Account di amministrazione di Microsoft Azure

• Sottoscrizione Premium ad Azure Active Directory (AD)

• Sottoscrizione a Intune

Per impostare l'integrazione con Mobile Threat Defense in Intune:

1. Nel portale di Microsoft Azure, aggiungere un connettore di Mobile Threat Defense per SophosMobile.

Per informazioni dettagliate, consultare la documentazione di Microsoft Intune.

2. Nella pagina di aggiunta del connettore del portale di Azure, cliccare sul link che apre SophosCentral Admin.

3. Nella barra laterale dei menu Sophos Central Admin, sotto Prodotti, cliccare su Mobile esuccessivamente selezionare Impostazione > Impostazione del sistema > MTD in Intune.

4. Cliccare su Associa.

5. Accettare le autorizzazioni richieste dal connettore di Mobile Threat Defense.


Opzione Descrizione

Proprietario Il tipo di proprietà (Aziendale o Personale)dei dispositivi registrati a Intune.

Gruppo di dispositivi Il gruppo di dispositivi Sophos Mobile a cuisono assegnati i dispositivi.


https://docs.microsoft.com/it-it/intune/mobile-threat-defense


Opzione Descrizione

Criterio di Mobile Security (Android) Facoltativamente: Il criterio di Sophos Mobileper Sophos Mobile Security nei dispositiviAndroid.

Criterio di Mobile Security (iOS) Facoltativamente: Il criterio di Sophos Mobileper Sophos Mobile Security negli iPhone enegli iPad.

7. Nel portale di Microsoft Azure, aggiungere l'app Sophos Mobile Security a Intune.

Per informazioni dettagliate, consultare la documentazione di Microsoft Intune.

8. Installare l'app Sophos Mobile Security sui dispositivi utilizzando Intune.

Al primo riavvio dopo l'installazione, l'app Sophos Mobile Security effettuerà la registrazione aSophos Mobile e lo stato del dispositivo diventerà disponibile per i propri criteri e regole di accesso diIntune.

Informazioni correlateDocumentazione di Mobile Threat Defense in Microsoft Intune (collegamento esterno)Documentazione di Microsoft Intune: Aggiungere app di Android Store a Microsoft Intune(collegamento esterno)Documentazione di Microsoft Intune: Aggiungere app dello Store iOS a Microsoft Intune (collegamentoesterno)

23.3.2 Come viene utilizzato lo stato del dispositivo da MobileThreat Defense (MTD) in Intune

Una volta impostata l'integrazione con Mobile Threat Defense in Microsoft Intune, Intune utilizzerà lostato di sicurezza del dispositivo segnalato da Sophos Mobile per classificare il dispositivo.

Stato Descrizione Classificazione Intune

Attivato Sophos Mobile Security è registrata a SophosMobile. Non è stata effettuata alcuna scansione.

Non conforme

Disattivato Sophos Mobile Security non è registrata aSophos Mobile.

Non conforme

Protetto Il dispositivo è stato sottoposto a scansione enon sono state rilevate app malevole.

Conforme

Gravità alta Sono state rilevate app malevole, oppure ildispositivo è rooted (Android) o jailbroken (iOS).

Applica criterio diconformità

Nessuna risposta Il dispositivo non si sincronizza con ilserver da un periodo di tempo superioreall'intervallo di tempo massimo consentito trale sincronizzazioni, che è stato definito in uncriterio di conformità di Sophos Mobile.

Non conforme


https://docs.microsoft.com/it-it/intune/mobile-threat-defense

https://docs.microsoft.com/it-it/intune/store-apps-android

https://docs.microsoft.com/it-it/intune/store-apps-android

https://docs.microsoft.com/it-it/intune/store-apps-ios

https://docs.microsoft.com/it-it/intune/store-apps-ios


24 Sophos Container


Sophos Container è l’area logica di un dispositivo che contiene le app Sophos Secure Workspace,Sophos Secure Email e Sophos Mobile Security, quando sono gestite da Sophos Mobile.

Sophos Container è disponibile per le seguenti piattaforme:

• Android

• iOS

24.1 Configurazione della registrazione di SophosContainer


Per registrare i dispositivi a Sophos Mobile con una registrazione di tipo Sophos Container, occorresvolgere i seguenti passaggi di configurazione. Questi passaggi dovranno essere ripetuti per tutte lepiattaforme (Android, iOS) per cui si desidera utilizzare la registrazione con Sophos Container.

1. Creare un criterio per il container. Vedere Configurazioni per i criteri di Sophos Container perAndroid (pagina 143) e Configurazioni per i criteri di Sophos Container per iOS (pagina 197).

2. Utilizzare questo criterio per il container in un bundle delle operazioni.

Il bundle delle operazioni deve contenere almeno un’operazione Registra Sophos Container eun’operazione Installa profilo. Vedere Creazione di bundle delle operazioni (pagina 272).

3. Utilizzare questo bundle delle operazioni come pacchetto iniziale per le registrazioni mediantePortale self-service di Sophos Central:

Nelle impostazioni del portale self-service, sotto la scheda Impostazioni del gruppo, selezionare ilbundle delle operazioni nel campo Pacchetto iniziale - dispositivi aziendali o Pacchetto iniziale- dispositivi personali. Vedere Configurazione delle impostazioni del portale self-service (pagina18).

24.2 Licenza di Mobile AdvancedDopo l’attivazione di una licenza Mobile Advanced, è possibile gestire le app Sophos SecureWorkspace e Sophos Secure Email con Sophos Mobile. Vedere Gestione delle app SophosContainer (pagina 357).

Dopo aver ricevuto la chiave di licenza, occorrerà attivare la licenza.



Attivazione di una licenza Mobile Advanced

In Sophos Central Admin, cliccare sul nome dell’account (in alto a destra nell’interfaccia utente),selezionare Licenze e successivamente inserire la chiave di licenza nel campo Inserimento delcodice di attivazione.

24.3 Gestione delle app Sophos Container


Per una migliore separazione dei dati sui dispositivi gestiti, Sophos Mobile offre le app containerSophos Secure Email e Sophos Secure Workspace:

• Sophos Secure Email è un'app per dispositivi Android e Apple iOS che fornisce un containersicuro per la gestione di e-mail, calendario e contatti.

• Sophos Secure Workspace è una app per dispositivi Android e Apple iOS, che consenteagli utenti di accedere a file cifrati e archiviati in-the-cloud. Tali file possono essere decifratie consultati in modo semplice. I file cifrati possono essere inviati da altre app e caricati suiprovider di archiviazione in-the-cloud supportati. In alternativa è possibile archiviare i documentilocalmente sulla app.

Sophos Secure Workspace consente la lettura dei file cifrati da SafeGuard Cloud Storageo SafeGuard Data Exchange, entrambi moduli di SafeGuard Enterprise, che consentono dieffettuare la cifratura dei file utilizzando chiavi locali. Tali chiavi locali derivano dalla passphrasedell'utente. È possibile decifrare un file solo se si è a conoscenza della passphrase utilizzata pereseguirne la cifratura.

L'app Sophos Container offre:

• Regole password definite centralmente

• Regole password per tutte le app container

• Single-Sign-On per tutte le app container

• Impostazioni dei documenti per Sophos Secure Workspace

• Impostazioni del browser per Sophos Secure Workspace

• Impostazioni di Sophos Secure Email

Per gestire le app Sophos da Sophos Mobile, procedere come segue:

• Configurare le impostazioni delle app Sophos Container su tutti i dispositivi gestiti in remoto ecentralmente da Sophos Mobile. Vedere Configurazioni per i criteri di Sophos Container perAndroid (pagina 143) e Configurazioni per i criteri di Sophos Container per iOS (pagina 197).

• Adoperando criteri di conformità, è possibile implementare sui dispositivi l’installazione delle appSophos Container.

• Abilitare la distribuzione sicura dei documenti tramite il nuovo provider di archiviazione Documentiaziendali. Vedere Documenti aziendali (pagina 306).



NotaPer poter gestire le app Sophos Container è necessario che vengano distribuite con SophosMobile. Se l’utente dovesse già avere una versione non gestita di Sophos Secure Workspaceinstallata sui propri dispositivi, sarà necessario per prima cosa disinstallare questa versione esuccessivamente procedere all’installazione della versione gestita.

Per maggiori informazioni su Sophos Secure Workspace, consultare la Guida in linea di SophosSecure Workspace.

24.4 Reimposta password di Sophos Container


NotaQuesta sezione è applicabile ai dispositivi a cui è stato assegnato un criterio di Sophos Container.

La password di Sophos Container può essere reimpostata. Questa operazione è particolarmenteutile nel caso in cui gli utenti dimentichino la propria password. Quando viene reimpostata lapassword di Sophos Container, agli utenti verrà chiesto di definire una nuova password per ilcontainer.

1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi.Verrà visualizzata la pagina Dispositivi.

2. Cliccare sul dispositivo in cui si desidera reimpostare la password di Sophos Container.Verrà visualizzata la pagina Mostra dispositivo.

3. Cliccare su Azioni.Viene visualizzato il menu Azioni.

4. Cliccare su Reimposta password di Sophos Container.

5. Nella finestra di dialogo, cliccare su Sì per confermare l’operazione.

La password di Sophos Container viene reimpostata. L'utente dovrà inserire una nuova password perSophos Container.

24.5 Blocco e sblocco di Sophos Container


NotaQuesta sezione è applicabile ai dispositivi a cui è stato assegnato un criterio di Sophos Container.

Sophos Container può essere bloccato o sbloccato; ciò significa che è possibile impostareautorizzazioni di accesso per l’app Sophos Container e per i dati presenti nel Sophos Container.




2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo per il quale si desiderabloccare o sbloccare Sophos Container, e successivamente su Mostra.

3. Nella pagina Mostra dispositivo, cliccare su Azioni > Imposta accesso a Sophos Container.

4. Nella casella di dialogo per l’impostazione delle autorizzazioni di accesso, selezionare una delleseguenti opzioni:

• Negato: Sophos Container verrà bloccato. Gli utenti non saranno più in grado di utilizzarlo.

• Consenti: Sophos Container verrà sbloccato.

• Modalità automatica: Sophos Container verrà bloccato per tutto il tempo in cui il dispositivoviola una regola di conformità per la quale è attivata l’impostazione Blocca container. Questaè l’opzione predefinita se non sono state impostate autorizzazioni di accesso.

5. Cliccare su Sì.

Il dispositivo si sincronizzerà quindi automaticamente con il server di Sophos Mobile. Durante lasincronizzazione, l’impostazione verrà applicata al dispositivo.



25 Trasferimento di dati da Sophos Mobilea Sophos Mobile in CentralÈ possibile esportare dati da Sophos Mobile on-premise o Sophos Mobile as a Service e importarli inSophos Mobile in Central.

Gli elementi che possono essere trasferiti sono i seguenti:

• Gruppi di dispositivi

• Profili e criteri

• Bundle delle operazioni

• Criteri di conformità

• App

• Gruppi di app

• Impostazioni sotto Impostazione > Generale

• Impostazioni sotto Impostazione > Portale self-service

• Impostazioni sotto Impostazione > Impostazione del sistema (inclusi i file di certificato)

NotaAlcune impostazioni non vengono esportate perché non riguardano Sophos Mobile in Centralo perché sono associate all’istanza del server di Sophos Mobile. Nella pagina Databaseesportazione, vedere Anteprima esportazione per un elenco degli elementi che sarannoesportati.

25.1 Esportazione dei dati da Sophos MobilePer esportare i dati, svolgere questa procedura in Sophos Mobile on-premise o Sophos Mobile as aService:

1. Cliccare su Esporta e immettere una password per il file di Exchange da utilizzare per trasferire idati in Sophos Mobile in Central.

2. Cliccare su Download.

Il file di Exchange verrà scaricato e salvato nel computer.

25.2 Importazione di dati in Sophos Mobile inCentralPer importare i dati in Sophos Mobile in Central, svolgere questa procedura in Sophos Central Admin:

1. Cliccare su Carica file di Exchange e selezionare il file di Exchange.

Immettere la password impostata durante l’esportazione dei dati.

2. Cliccare su Carica per caricare il file di Exchange.



3. In Anteprima importazione vengono elencati gli elementi che saranno importati. Verificare sesiano presenti avvisi.

ImportanteSe ci sono elementi che hanno lo stesso nome degli elementi da importare, sarannosovrascritti.

4. Cliccare su Importa per importare i dati nel proprio account Sophos Mobile in Central.

Dopo aver importato i dati, occorre svolgere alcune operazioni manuali:

• Per le app aggiunte mediante upload del pacchetto delle app su Sophos Mobile, occorrerà caricarenuovamente il file APK (Android) o il file IPA (iOS).

• Poiché i gruppi utente non vengono trasferiti, bisognerà riconfigurare l’impostazione relativa aigruppi utente nel portale self-service.



26 Glossariodispositivo Il dispositivo da gestire (ad es. smartphone, tablet

o dispositivo Windows 10).

registrazione La registrazione di un dispositivo a SophosMobile.

Enterprise App Store Un archivio di app ospitate sul server di SophosMobile. L’amministratore può aggiungere appall’Enterprise App Store utilizzando SophosMobile Admin. Gli utenti possono quindiadoperare l’app Sophos Mobile Control perinstallare le suddette app sui propri dispositivi.

Licenza Mobile Advanced Con una licenza di tipo Mobile Advanced èpossibile gestire le app Sophos Mobile Security,Sophos Secure Workspace e Sophos SecureEmail con Sophos Mobile.

provisioning Il processo di installazione dell’app SophosMobile Control su un dispositivo.

SMSec Acronimo di Sophos Mobile Security.

Sophos Central Admin L'interfaccia web utilizzata per gestire i dispositivi.

Portale self-service di Sophos Central L'interfaccia web che consente agli utenti diregistrare i propri dispositivi ed effettuare altreoperazioni senza dover richiedere l'interventodell'helpdesk.

Client Sophos Mobile L'app Sophos Mobile Control installata suidispositivi gestiti da Sophos Mobile.

Sophos Mobile Security Un’app di protezione per i dispositivi Android.Questa app può essere gestita da Sophos Mobile,a patto che si disponga di una licenza MobileAdvanced attiva.

Sophos Secure Email Un'app per dispositivi Android e iOS che fornisceun container sicuro per la gestione di e-mail,calendario e contatti. Questa app può esseregestita da Sophos Mobile, a patto che si dispongadi una licenza Mobile Advanced attiva.

Sophos Secure Workspace Un'app per dispositivi Android e iOS cheoffre un'area di lavoro sicura, nella quale gliutenti possono navigare, gestire, modificare,condividere, cifrare e decifrare documentiprovenienti da vari provider di servizi diarchiviazione, o distribuiti dalla vostra azienda.Questa app può essere gestita da Sophos Mobile,a patto che si disponga di una licenza MobileAdvanced attiva.

bundle delle operazioni Un pacchetto creato per includere varieoperazioni diverse in un’unica transazione.Sarà possibile unire insieme tutte le operazioni



necessarie per completare la registrazione erendere operativo un dispositivo.



27 Supporto tecnicoÈ possibile ricevere supporto tecnico per i prodotti Sophos in ciascuno dei seguenti modi:

• Visitando la Sophos Community su community.sophos.com/ e cercando altri utenti che hannoriscontrato lo stesso problema.

• Visitando la knowledge base del supporto Sophos su www.sophos.com/it-it/support.aspx.

• Scaricando la documentazione del prodotto da www.sophos.com/it-it/support/documentation.aspx.

• Aprendo un ticket col team di supporto su https://secure2.sophos.com/it-it/support/contact-support/support-query.aspx.


https://community.sophos.com

https://www.sophos.com/it-it/support.aspx

https://www.sophos.com/it-it/support/documentation.aspx

https://secure2.sophos.com/it-it/support/contact-support/support-query.aspx

https://secure2.sophos.com/it-it/support/contact-support/support-query.aspx


28 Note legaliCopyright © 2018 Sophos Limited. Tutti i diritti riservati. Nessuna parte di questa pubblicazione puòessere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in qualsiasiforma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione e altrimezzi, salvo che da un licenziatario autorizzato a riprodurre la documentazione in conformità con itermini della licenza, oppure previa autorizzazione scritta del titolare del copyright.

Sophos, Sophos Anti-Virus e SafeGuard sono marchi registrati di Sophos Limited, Sophos Groupe Utimaco Safeware AG, qualora applicabile. Tutti gli altri nomi di società e prodotti qui menzionatisono marchi o marchi registrati dei rispettivi titolari.


Guida in linea per amministratori -...

Documents

Transcript of Guida in linea per amministratori -...