如何在 Microsoft Intune 中管理 iOS 应用之间的数据传输
若要帮助保护公司数据,请将文件传输限制为仅允许你管理的应用。 可以通过以下方式管理 iOS 应用:
通过为应用配置应用保护策略来保护工作或学校帐户的组织数据。 我们称之为 策略托管应用。 请参阅 Microsoft受 Intune 保护的应用。
通过 iOS 设备管理部署和管理应用,这要求设备在移动设备管理 (MDM) 解决方案中注册。 部署的应用可以是 策略托管应用 或其他 iOS 托管应用。
已注册的 iOS 设备的 “打开”管理功能 可以限制 iOS 托管应用之间的文件传输。 使用应用保护策略设置 开放管理 限制,该策略将 “向其他应用发送组织数据 ”设置为 具有“打开方式/共享”筛选值的策略托管应用 ,然后使用 Intune 部署策略。 当用户安装已部署的应用时,将根据分配的策略应用你设置的限制。
使用开放管理来保护 iOS 应用和数据
将应用保护策略与 iOS 开放管理功能 结合使用,通过以下方式保护公司数据:
不受任何 MDM 解决方案管理的设备: 可以设置应用保护策略设置,以通过 Open-in 或 Share 扩展控制与其他应用程序共享数据。 为此,请将 “将组织数据发送到其他应用” 设置配置为 “策略托管应用”,并使用“打开/共享”筛选 值。 策略托管应用中的“打开/共享”行为仅提供其他策略托管应用作为共享选项。 有关相关信息,请参阅 适用于 iOS/iPadOS 和 Android 应用的应用保护策略、 数据传输和 iOS 共享扩展。
由 MDM 解决方案管理的设备:对于在 Intune 或第三方 MDM 解决方案中注册的设备,使用应用保护策略的应用与通过 MDM 部署的其他托管 iOS 应用之间的数据共享由 Intune 应用策略和 iOS 开放管理功能 控制。 若要确保使用 MDM 解决方案部署的应用也与 Intune 应用保护策略相关联,请配置用户 UPN 设置,如以下 配置用户 UPN 设置部分中所述。 若要指定允许将数据传输到其他 策略托管应用 和 iOS 托管应用的方式,请将“ 将组织数据发送到其他应用” 设置配置为 使用 OS 共享的策略托管应用。 若要指定允许应用从其他应用接收数据的方式,请启用 “从其他应用接收数据 ”,然后选择首选的接收数据级别。 有关接收和共享应用数据的详细信息,请参阅 数据重定位设置。
为 Microsoft Intune 或第三方 EMM 配置用户 UPN 设置
对于由 Intune 或第三方 EMM 解决方案管理的设备, 需要 配置用户 UPN 设置,以便在将数据传输到 iOS 托管应用时标识用于发送 策略托管应用的 已注册用户帐户。 UPN 配置适用于从 Intune 部署的应用保护策略。 以下过程是有关如何配置 UPN 设置和生成的用户体验的常规流程:
在 Microsoft Intune 管理中心,创建并分配适用于 iOS/iPadOS 的应用保护策略 。 根据公司要求配置策略设置,并选择应具有此策略的 iOS 应用。
使用以下通用步骤部署要通过 Intune 或第三方 MDM 解决方案管理的应用和电子邮件配置文件。 示例 1 还介绍了这种体验。
使用以下应用配置设置将应用部署到托管设备:
key = IntuneMAMUPN,value = username@company.com
示例:['IntuneMAMUPN', 'janellecraig@contoso.com']
注意
在 Intune 中,必须将“应用配置”策略注册类型设置为 “托管设备”。 此外,如果需要将应用设置为可用) ,则需要从 Intune 公司门户安装 (或根据需要推送到设备。
注意
将 IntuneMAMUPN 应用配置设置部署到发送数据的目标托管应用。 将应用配置密钥添加到接收应用是可选的。
注意
目前,如果同一设备上存在已注册 MDM 的帐户,则不支持向应用上的其他用户注册。
使用 Intune 或第三方 MDM 提供程序将 Open-in 管理 策略部署到已注册的设备。
示例 1:Intune 或第三方 MDM 控制台中的管理员体验
转到 Microsoft Intune 管理中心 或第三方 MDM 提供商。 转到将应用程序配置设置部署到已注册的 iOS 设备的管理中心部分。
在“应用程序配置”部分中,为将数据传输到 iOS 托管应用的每个策略托管应用 输入以下设置:
key = IntuneMAMUPN,value = username@company.com
键/值对的确切语法可能因第三方 MDM 提供程序而异。 下表显示了第三方 MDM 提供程序的示例,以及应为键/值对输入的确切值。
第三方 MDM 提供程序 配置密钥 值类型 配置值 Microsoft Intune IntuneMAMUPN String {{userprincipalname}} Microsoft Intune IntuneMAMOID String {{userid}} VMware AirWatch IntuneMAMUPN String {UserPrincipalName} MobileIron IntuneMAMUPN String ${userUPN} 或 ${userEmailAddress} Citrix Endpoint Management IntuneMAMUPN String ${user.userprincipalname} ManageEngine Mobile Device Manager IntuneMAMUPN String %upn%
注意
对于 Outlook for iOS/iPadOS,如果使用“使用配置设计器”选项部署托管设备应用配置策略并启用 “仅允许工作或学校帐户”,则会在后台为策略自动配置配置密钥 IntuneMAMUPN。 可在 新 Outlook for iOS 和 Android 应用配置策略体验 - 常规应用配置中的常见问题解答部分找到更多详细信息。
示例 2:最终用户体验
使用 OS 共享从策略托管应用共享到其他应用程序
用户在已注册的 iOS 设备上打开Microsoft OneDrive 应用并登录到其工作帐户。 用户输入的帐户必须与你在 Microsoft OneDrive 应用的应用配置设置中指定的帐户 UPN 匹配。
登录后,管理员配置的应用设置将应用于 Microsoft OneDrive 中的用户帐户。 这包括将 “将组织数据发送到其他应用” 设置配置为 具有 OS 共享值的策略托管应用 。
用户预览工作文件,并尝试通过 Open-in to iOS 托管应用进行共享。
数据传输成功,现在由 iOS 托管应用中的 Open-in 管理 保护数据。 Intune APP 不适用于非 策略托管应用的应用程序。
使用传入组织数据从 iOS 托管应用共享到策略托管应用
用户使用托管电子邮件配置文件在已注册的 iOS 设备上打开本机邮件。
用户打开从本机 Mail 到 Microsoft Word 的工作文档附件。
启动 Word 应用时,会发生以下两种体验之一:
- 在以下情况下,Intune APP 会保护数据:
- 用户已登录到其工作帐户,该帐户与你在 Microsoft Word 应用的应用配置设置中指定的帐户 UPN 匹配。
- 管理员配置的应用设置将应用于 Microsoft Word 中的用户帐户。 这包括将 “从其他应用接收数据 ”设置配置为 “具有传入组织数据的所有应用 ”值。
- 数据传输成功,并在应用中使用工作标识标记文档。 Intune APP 保护文档的用户操作。
- 在以下情况下,数据 不受 Intune APP 保护:
- 用户 未 登录到其工作帐户。
- 管理员配置的设置 不会 应用于 Microsoft Word,因为用户未登录。
- 数据传输成功,并且文档 未 在应用中使用工作标识进行标记。 Intune APP 不会 保护文档的用户操作,因为它不处于活动状态。
注意
用户可以在 Word 中添加和使用其个人帐户。 当用户在工作上下文之外使用 Word 时,应用保护策略不适用。
- 在以下情况下,Intune APP 会保护数据:
验证第三方 EMM 的用户 UPN 设置
配置用户 UPN 设置后,验证 iOS 应用是否能够接收和遵守 Intune 应用保护策略。
例如, “需要应用 PIN” 策略设置易于测试。 当策略设置等于 “需要”时,用户应看到提示设置或输入 PIN,然后才能访问公司数据。
首先, 创建应用保护策略并将其分配给 iOS 应用。 有关如何测试应用保护策略的详细信息,请参阅 验证应用保护策略。