Jak zarządzać transferem danych między aplikacjami systemu iOS w Microsoft Intune

Aby chronić dane firmowe, ogranicz transfery plików tylko do zarządzanych aplikacji. Aplikacjami systemu iOS można zarządzać w następujący sposób:

  • Chroń dane organizacji dla kont służbowych, konfigurując zasady ochrony aplikacji dla aplikacji. które nazywamy aplikacjami zarządzanymi przez zasady. Zobacz Microsoft Intune chronione aplikacje.

  • Wdrażanie aplikacji i zarządzanie nimi za pośrednictwem zarządzania urządzeniami z systemem iOS, które wymaga zarejestrowania urządzeń w rozwiązaniu mobile Zarządzanie urządzeniami (MDM). Wdrażane aplikacje mogą być aplikacjami zarządzanymi przez zasady lub innymi aplikacjami zarządzanymi przez system iOS.

Funkcja zarządzania funkcją otwierania dla zarejestrowanych urządzeń z systemem iOS może ograniczać transfery plików między aplikacjami zarządzanymi przez system iOS. Ustaw ograniczenia zarządzania otwieraniem przy użyciu zasad ochrony aplikacji, które ustawiają wartość Wysyłanie danych organizacji do innych aplikacji do aplikacji zarządzanych przez zasady przy użyciu wartości filtrowania Otwórz w/Udostępnij, a następnie wdrażaj zasady przy użyciu Intune. Gdy użytkownik instaluje wdrożoną aplikację, ustawione ograniczenia są stosowane na podstawie przypisanych zasad.

Ochrona aplikacji i danych systemu iOS przy użyciu zarządzania funkcją Open-in

Użyj zasad Ochrona aplikacji z funkcją zarządzania funkcją otwierania w systemie iOS, aby chronić dane firmy w następujący sposób:

  • Urządzenia niezarządzane przez żadne rozwiązanie MDM: Ustawienia zasad ochrony aplikacji można ustawić w celu kontrolowania udostępniania danych innym aplikacjom za pośrednictwem rozszerzeńOpen-in lub Share. W tym celu skonfiguruj ustawienie Wyślij dane organizacji do innych aplikacji w obszarze Aplikacje zarządzane przez zasady z wartością filtrowania Otwórz w/Udostępnij . Zachowanie Otwórz w/Udostępnij w aplikacji zarządzanej przez zasady przedstawia tylko inne aplikacje zarządzane przez zasady jako opcje udostępniania. Aby uzyskać powiązane informacje, zobacz zasady Ochrona aplikacji dla aplikacji systemu iOS/iPadOS i Android, transferu danych i rozszerzenia udostępniania systemu iOS.

  • Urządzenia zarządzane przez rozwiązania MDM: w przypadku urządzeń zarejestrowanych w rozwiązaniach mdm Intune lub innych firm udostępnianie danych między aplikacjami za pomocą zasad ochrony aplikacji i innymi zarządzanymi aplikacjami systemu iOS wdrożonymi za pośrednictwem zarządzania urządzeniami przenośnymi jest kontrolowane przez zasady Intune aplikacji i funkcję zarządzania funkcją otwierania w systemie iOS. Aby upewnić się, że aplikacje wdrażane przy użyciu rozwiązania MDM są również skojarzone z zasadami ochrony aplikacji Intune, skonfiguruj ustawienie nazwy UPN użytkownika zgodnie z opisem w poniższej sekcji Konfigurowanie ustawienia nazwy UPN użytkownika. Aby określić sposób zezwalania na transfer danych do innych aplikacji zarządzanych przez zasady i aplikacji zarządzanych przez system iOS, skonfiguruj ustawienie Wyślij dane organizacji do innych aplikacji w obszarze Aplikacje zarządzane przez zasady przy użyciu udostępniania systemu operacyjnego. Aby określić sposób zezwalania aplikacji na odbieranie danych z innych aplikacji, włącz opcję Odbieranie danych z innych aplikacji , a następnie wybierz preferowany poziom odbierania danych. Aby uzyskać więcej informacji na temat odbierania i udostępniania danych aplikacji, zobacz Ustawienia relokacji danych.

Konfigurowanie ustawienia nazwy UPN użytkownika dla Microsoft Intune lub innej firmy EMM

Skonfigurowanie ustawienia nazwy UPN użytkownika jest wymagane dla urządzeń zarządzanych przez Intune lub rozwiązanie EMM innej firmy w celu zidentyfikowania zarejestrowanego konta użytkownika dla aplikacji zarządzanej przez zasady wysyłania podczas przesyłania danych do aplikacji zarządzanej przez system iOS. Konfiguracja nazwy UPN współdziała z zasadami ochrony aplikacji wdrażane z Intune. Poniższa procedura to ogólny przepływ dotyczący sposobu konfigurowania ustawienia nazwy UPN i wynikowego środowiska użytkownika:

  1. W centrum administracyjnym programu Microsoft Endpoint Managerutwórz i przypisz zasady ochrony aplikacji dla systemu iOS/iPadOS. Skonfiguruj ustawienia zasad zgodnie z wymaganiami firmy i wybierz aplikacje systemu iOS, które powinny mieć te zasady.

  2. Wdróż aplikacje i profil poczty e-mail, które mają być zarządzane za pośrednictwem Intune lub rozwiązania MDM innej firmy, wykonując następujące uogólnione kroki. To środowisko jest również omówione w przykładzie 1.

  3. Wdróż aplikację przy użyciu następujących ustawień konfiguracji aplikacji na urządzeniu zarządzanym:

    key = IntuneMAMUPN, wartość = username@company.com

    Przykład: ['IntuneMAMUPN', 'janellecraig@contoso.com']

    Uwaga

    W Intune typ rejestracji zasad App Configuration musi być ustawiony na Urządzenia zarządzane. Ponadto aplikacja musi zostać zainstalowana z Intune — Portal firmy (jeśli jest ustawiona jako dostępna) lub wypchnięta zgodnie z wymaganiami do urządzenia.

    Uwaga

    Wdróż ustawienia konfiguracji aplikacji IntuneMAMUPN w docelowej aplikacji zarządzanej, która wysyła dane. Dodanie klucza konfiguracji aplikacji do aplikacji odbierającego jest opcjonalne.

    Uwaga

    Obecnie rejestracja z innym użytkownikiem w aplikacji nie jest obsługiwana, jeśli na tym samym urządzeniu jest zarejestrowane konto MDM.

  4. Wdróż zasady zarządzania otwieraniem przy użyciu Intune lub dostawcy oprogramowania MDM innej firmy na zarejestrowanych urządzeniach.

Przykład 1: środowisko Administracja w konsoli zarządzania urządzeniami przenośnymi Intune lub innej firmy

  1. Przejdź do konsoli administracyjnej Intune lub dostawcy mdm innej firmy. Przejdź do sekcji konsoli, w której wdrażasz ustawienia konfiguracji aplikacji na zarejestrowanych urządzeniach z systemem iOS.

  2. W sekcji Konfiguracja aplikacji wprowadź następujące ustawienie dla każdej aplikacji zarządzanej przez zasady , która będzie przesyłać dane do aplikacji zarządzanych przez system iOS:

    key = IntuneMAMUPN, wartość = username@company.com

    Dokładna składnia pary klucz/wartość może się różnić w zależności od dostawcy mdm innej firmy. W poniższej tabeli przedstawiono przykłady dostawców oprogramowania MDM innych firm oraz dokładne wartości, które należy wprowadzić dla pary klucz/wartość.

    Dostawca mdm innej firmy Klucz konfiguracji Typ wartości: Wartość konfiguracji
    Microsoft Intune IntuneMAMUPN Ciąg {{userprincipalname}}
    Microsoft Intune IntuneMAMOID Ciąg {{userid}}
    VMware AirWatch IntuneMAMUPN Ciąg {UserPrincipalName}
    MobileIron IntuneMAMUPN Ciąg ${userUPN} lub ${userEmailAddress}
    Citrix Endpoint Management IntuneMAMUPN Ciąg ${user.userprincipalname}
    ManageEngine Mobile Menedżer urządzeń IntuneMAMUPN Ciąg %upn%

Uwaga

W przypadku programu Outlook dla systemu iOS/iPadOS w przypadku wdrożenia urządzeń zarządzanych App Configuration zasad z opcją "Przy użyciu projektanta konfiguracji" i włączenia opcji Zezwalaj tylko na konta służbowe klucz konfiguracji IntuneMAMUPN jest automatycznie konfigurowany w tle dla zasad. Więcej szczegółów można znaleźć w sekcji Często zadawane pytania w temacie New Outlook for iOS and Android App Configuration Policy Experience — General App Configuration ( Nowe środowisko zasad programu Outlook dla systemów iOS i Android — ogólne App Configuration).

Przykład 2. Środowisko użytkownika końcowego

Udostępnianie z aplikacji zarządzanej przez zasady innym aplikacjom za pomocą udostępniania systemu operacyjnego

  1. Użytkownik otwiera aplikację Microsoft OneDrive na zarejestrowanym urządzeniu z systemem iOS i loguje się do swojego konta służbowego. Konto wprowadzone przez użytkownika musi być zgodne z nazwą UPN konta określoną w ustawieniach konfiguracji aplikacji dla aplikacji Microsoft OneDrive.

  2. Po zalogowaniu ustawienia aplikacji skonfigurowane przez administratora mają zastosowanie do konta użytkownika w usłudze Microsoft OneDrive. Obejmuje to skonfigurowanie ustawienia Wyślij dane organizacji do innych aplikacji do wartości Aplikacje zarządzane przez zasady z wartością udostępniania systemu operacyjnego .

  3. Użytkownik wyświetla podgląd pliku roboczego i próbuje go udostępnić za pośrednictwem funkcji Otwórz w aplikacji zarządzanej systemu iOS.

  4. Transfer danych zakończy się pomyślnie, a dane są teraz chronione przez zarządzanie funkcją Otwieranie w aplikacji zarządzanej przez system iOS. Intune APLIKACJA nie ma zastosowania do aplikacji, które nie są aplikacjami zarządzanymi przez zasady.

Udostępnianie z aplikacji zarządzanej przez system iOS aplikacji zarządzanej przez zasady przy użyciu przychodzących danych organizacji

  1. Użytkownik otwiera natywną pocztę na zarejestrowanym urządzeniu z systemem iOS z zarządzanym profilem poczty e-mail.

  2. Użytkownik otwiera załącznik dokumentu służbowego z natywnej poczty do programu Microsoft Word.

  3. Po uruchomieniu aplikacji Word wystąpi jedno z dwóch środowisk:

    1. Dane są chronione przez Intune APP, gdy:
      • Użytkownik jest zalogowany do swojego konta służbowego, które jest zgodne z nazwą UPN konta określoną w ustawieniach konfiguracji aplikacji dla aplikacji Microsoft Word.
      • Ustawienia aplikacji skonfigurowane przez administratora dotyczą konta użytkownika w programie Microsoft Word. Obejmuje to skonfigurowanie ustawienia Odbierz dane z innych aplikacji na wartość Wszystkie aplikacje z przychodzącymi danymi organizacji .
      • Transfer danych zakończy się pomyślnie, a dokument zostanie oznaczony tożsamością służbą w aplikacji. Intune APP chroni akcje użytkownika dla dokumentu.
    2. Dane nie są chronione przez Intune APP, gdy:
      • Użytkownik nie jest zalogowany do swojego konta służbowego.
      • Ustawienia skonfigurowane przez administratora nie są stosowane do programu Microsoft Word, ponieważ użytkownik nie jest zalogowany.
      • Transfer danych zakończy się pomyślnie, a dokument nie zostanie oznaczony tożsamością służbą w aplikacji. Intune APLIKACJA nie chroni akcji użytkownika dla dokumentu, ponieważ nie jest on aktywny.

    Uwaga

    Użytkownik może dodawać konta osobiste i korzystać z nich w programie Word. Ochrona aplikacji zasady nie mają zastosowania, gdy użytkownik używa programu Word poza kontekstem służbowym.

Weryfikowanie ustawienia nazwy UPN użytkownika dla usługi EMM innej firmy

Po skonfigurowaniu ustawienia nazwy UPN użytkownika sprawdź, czy aplikacja systemu iOS może odbierać i przestrzegać zasad ochrony aplikacji Intune.

Na przykład ustawienie zasad Wymagaj numeru PIN aplikacji jest łatwe do przetestowania. Gdy ustawienie zasad ma wartość Wymagaj, użytkownik powinien wyświetlić monit o ustawienie lub wprowadzenie numeru PIN, zanim będzie mógł uzyskać dostęp do danych firmy.

Najpierw utwórz i przypisz zasady ochrony aplikacji do aplikacji systemu iOS. Aby uzyskać więcej informacji na temat testowania zasad ochrony aplikacji, zobacz Weryfikowanie zasad ochrony aplikacji.

Zobacz też

Co to są zasady ochrony aplikacji Intune