# Policy - Apple

# Apple policy

 Le Apple policy definiscono le impostazioni di gestione che Cerberus Enterprise applica ai dispositivi Apple tramite MDM. Queste impostazioni vengono configurate dalla dashboard nell'editor di Apple policy.

## Prima di iniziare

 La gestione dei dispositivi Apple richiede la configurazione di Apple Management (APNs). Se necessario, consulta la pagina [Configurazione Apple Management (APNs)](https://enterprise.cerberusapp.com/docs/books/manuale-utente/page/configurazione-apple-management-apns "Apple Management setup (APNs)").

## Apri l'Apple Policy Editor

 Nella dashboard, apri **Policy** e fai clic su **Crea nuova policy Apple**. Per modificare una policy Apple esistente, fai clic sulla relativa riga nella tabella delle policy.

## Layout dell'editor

 L'Apple Policy Editor è organizzato come un insieme di sezioni espandibili. Nella parte superiore della pagina puoi sempre modificare:

- **Nome** (obbligatorio)
- **ID** (sola lettura)
- **Descrizione** (opzionale)

## Sezioni della policy

 Le sezioni riportate di seguito corrispondono ai pannelli attualmente disponibili nell'Apple Policy Editor:

- **Gestione app**: configura le restrizioni relative alle app e le app gestite.
- **Impostazioni codice di accesso**: configura i requisiti del codice di accesso e le relative regole.
- **Sicurezza**: controlla funzionalità come lo sblocco automatico e lo sblocco biometrico.
- **iCloud**: consente o impedisce l'uso di specifici servizi iCloud (backup, sincronizzazione portachiavi, relay privato, ecc.).
- **Multimedia**: consente o impedisce l'uso della fotocamera e delle relative funzionalità.
- **Cellulare**: controlla le impostazioni relative alla rete cellulare (impostazioni dati cellulari delle app, eSIM, modifiche del piano).
- **Rete**: controlla AirDrop/AirPrint/AirPlay e altre impostazioni di connettività.
- **Account**: limita la modifica degli account e (facoltativamente) configura gli account Google e Mail.

<p class="callout info"> Molte opzioni nell'Apple Policy Editor includono un tooltip che documenta i requisiti e le versioni del sistema operativo supportate. </p>

## Salvataggio, eliminazione e dispositivi associati

 Usa **Salva policy** per applicare le modifiche. Il pulsante è disabilitato quando non ci sono modifiche in sospeso o quando la licenza è scaduta.

 Quando si modifica una policy esistente, la pagina mostra anche l'azione **Elimina policy**. L'editor può mostrare un elenco di **Dispositivi associati** in fondo alla pagina, in modo da poter vedere quanti dispositivi stanno utilizzando attualmente la policy.

## Prossime pagine

- Passcode: configura i requisiti del codice di accesso e le relative opzioni di sicurezza.
- Restrizioni: definisci le funzionalità consentite e i limiti a livello di sistema operativo.
- App e profili: configura le app installate e i profili di configurazione.

# Apple policy: Codice di accesso

 La sezione **Impostazioni codice di accesso** controlla i requisiti del codice di accesso del dispositivo e le relative regole di sicurezza (ad esempio, lunghezza minima e complessità).

## Opzioni

 Nell'Editor di Apple Policy, le opzioni del codice di accesso vengono configurate tramite una combinazione di interruttori e campi numerici. Molti campi includono tooltip che indicano le versioni del sistema operativo supportate e i requisiti di supervisione.

### Interruttori codice di accesso

- **ChangeAtNextAuth**: forza il ripristino della password al prossimo accesso dell'utente.
- **RequireAlphanumericPasscode**: richiede almeno un carattere alfabetico e un numero.
- **RequireComplexPasscode**: richiede un codice di accesso "complesso" (senza pattern ripetuti o sequenziali e almeno un carattere non alfanumerico).
- **RequirePasscode**: richiede un codice di accesso senza ulteriori requisiti di lunghezza o qualità. Nota: l'impostazione di altre chiavi del codice di accesso richiede implicitamente un codice di accesso.

### Campi numerici

- **FailedAttemptsResetInMinutes**: minuti prima del ripristino del contatore dei tentativi falliti (richiede MaximumFailedAttempts).
- **MaximumFailedAttempts**: tentativi falliti consentiti prima che il dispositivo venga cancellato/bloccato (intervallo: 2–11).
- **MaximumGracePeriodInMinutes**: durata per cui il dispositivo può rimanere sbloccato senza richiedere il codice di accesso (0 = nessuno).
- **MaximumInactivityInMinutes**: tempo di inattività prima che il dispositivo si blocchi (intervallo: 0–15).
- **MaximumPasscodeAgeInDays**: età massima del codice di accesso prima di un cambio forzato (intervallo: 0–730).
- **MinimumComplexCharacters**: numero minimo di caratteri "complessi" (intervallo: 0–4).
- **MinimumLength**: lunghezza minima del codice di accesso (intervallo: 0–16).
- **PasscodeReuseLimit**: lunghezza della cronologia del codice di accesso per impedire il riutilizzo di vecchi codici (intervallo: 1–50).

# Apple policy: Restrizioni

 Le sezioni Restrizioni controllano quali funzionalità del sistema operativo sono consentite sui dispositivi Apple gestiti. Nell'Editor di Apple Policy, queste opzioni sono presentate come pannelli raggruppati con molteplici interruttori.

<p class="callout info"> Molte restrizioni sono supportate solo su versioni specifiche del sistema operativo e potrebbero richiedere dispositivi in modalità supervisione. Consulta i tooltip nella dashboard per conoscere i requisiti ufficiali. </p>

## Sicurezza

- **Consenti sblocco automatico**
- **Consenti impronta digitale per sblocco**
- **Consenti modifica impronta digitale**

## iCloud

- **Consenti rubrica iCloud**
- **Consenti backup iCloud**
- **Consenti segnalibri iCloud**
- **Consenti calendario iCloud**
- **Consenti desktop e documenti iCloud**
- **Consenti sincronizzazione documenti iCloud**
- **Consenti iCloud Freeform**
- **Consenti sincronizzazione Portachiavi iCloud**
- **Consenti Mail iCloud**
- **Consenti Note iCloud**
- **Consenti Libreria foto iCloud**
- **Consenti Relay privato iCloud**
- **Consenti Promemoria iCloud**

## Multimediale

- **Consenti fotocamera**
- **Consenti modifica condivisione file**
- **Consenti accesso a unità USB da File**

## Cellulare

- **Consenti modifica dati cellulari app**
- **Consenti modifica piano cellulare**
- **Consenti modifica eSIM**
- **Consenti trasferimenti in uscita eSIM**

## Rete

- **Consenti AirDrop**
- **Consenti richieste in entrata AirPlay**
- **Consenti AirPrint**
- **Consenti memorizzazione credenziali AirPrint**
- **Consenti rilevamento iBeacon per AirPrint**
- **Consenti modifica Bluetooth**
- **Consenti modifica condivisione Bluetooth**
- **Consenti accesso a unità di rete da File**
- **Consenti modifica condivisione Internet**

## Account (restrizione)

 Il pannello Account contiene sia le restrizioni che (facoltativamente) la configurazione dell'account. L'interruttore di restrizione controlla se l'utente può modificare gli account di sistema.

- **Consenti modifica account**

# Apple policy: App e profili

 Questa sezione documenta come configurare le applicazioni gestite e i payload dell'account per i dispositivi Apple.

## Gestione app

 Il pannello **Gestione app** contiene sia le restrizioni generali relative alle app, sia un elenco delle app gestite.

### Restrizioni generali alle app

- **Consenti app clip**
- **Consenti installazione app**
- **Consenti rimozione app**
- **Consenti download automatici delle app**
- **Consenti la rimozione visiva delle app**
- **Consenti il blocco delle app**
- **Consenti acquisti in-app**

### App gestite

 Usa **Aggiungi applicazione** per aggiungere un'app alla policy. Ogni app gestita viene visualizzata come una scheda. Puoi espandere la scheda per modificarne le impostazioni o rimuovere l'app utilizzando l'azione di eliminazione.

- **ID App Store**: l'identificativo App Store dell'app gestita.
- **ID bundle**: l'identificativo del bundle dell'app.
- **Comportamento di installazione**: controlla se l'app deve rimanere installata o se può essere installata/rimossa dall'utente.
- **Assegnazione**: tipo di assegnazione della licenza.
- **Licenza VPP**: tipo di licenza VPP utilizzata per l'installazione tramite l'App Store.

## Account

 Il pannello **Account** consente di configurare gli account applicati ai dispositivi gestiti. Include anche un interruttore di restrizione per la modifica degli account.

### Restrizione

- **Consenti modifica account**: quando disabilitato, gli utenti non possono modificare account come l'account Apple e gli account internet.

### Aggiungi account

 Usa **Aggiungi account Google** o **Aggiungi account mail** per aggiungere i payload dell'account alla policy. Ogni account appare come una scheda con i relativi campi di configurazione.

### Credenziali account dagli utenti

 Sia le schede degli account Google che quelle Mail forniscono un interruttore **Credenziali account dagli utenti**. Quando abilitato, il sistema applica le credenziali dell'account su base utente. Quando disabilitato, si inserisce l'identità dell'account nella policy.

### Campi account Google

- **Nome visibile**: il nome mostrato all'utente per l'account.
- **Indirizzo email Google**: l'indirizzo email dell'utente.
- **Nome completo**: il nome completo dell'utente.

### Campi account mail

 Gli account mail includono i campi di identità oltre alla configurazione del server in entrata/in uscita. I nomi host sono obbligatori.

- **Nome visibile**: il nome mostrato all'utente per l'account mail.
- **Indirizzo email**: l'indirizzo email dell'utente.
- **Nome completo**: il nome completo dell'utente.

#### Server in entrata

- **Tipo di server**: protocollo mail (ad esempio IMAP o POP).
- **Metodo di autenticazione**: metodo di autenticazione per il server.
- **Prefisso percorso IMAP**: mostrato solo quando il Tipo di server è IMAP.
- **Nome host**: obbligatorio.
- **Porta**: porta del server (1–65535).

#### Server in uscita

- **Metodo di autenticazione**
- **Nome host**: obbligatorio.
- **Porta**: porta del server (1–65535).

### Opzioni S/MIME

 Per gli account Mail, è possibile configurare anche il comportamento di crittografia e firma S/MIME.

#### Crittografia

- **Crittografia S/MIME**
- **Identità sovrascrivibile dall'utente**
- **Interruttore per singolo messaggio abilitato**
- **Sovrascrivibile dall'utente**

#### Firma

- **Firma S/MIME**
- **Identità sovrascrivibile dall'utente**
- **Sovrascrivibile dall'utente**

<p class="callout info"> Le opzioni relative all'account e alle restrizioni includono tooltip nella dashboard che documentano i prerequisiti e le versioni del sistema operativo supportate. </p>