此功能需訂閱 Microsoft Intune Plan 2 或額外訂閱。 關於授權選項,請參閱 Microsoft Intune 方案與價格,以及 Microsoft 365 安全企業方案。
當您將行動應用管理隧道 (Microsoft MAM) 加入租戶時,您可以利用未註冊的 iOS 裝置Microsoft隧道VPN 閘道來支援以下情境下的 MAM:
- 利用現代認證、單一登入 (SSO) 及條件存取,提供對本地資源的安全存取。
- 允許終端使用者使用個人裝置存取公司內部資源。 MDM (行動裝置管理) 註冊不強制,公司資料也會受到保護。
- 允許組織採用自帶裝置 (自帶裝置) 計畫。 BYOD或個人裝置降低整體擁有成本,確保使用者隱私,並保護企業資料於這些裝置上。
適用於:
- iOS/iPadOS
MAM iOS 隧道是一項強大的工具,讓組織能安全管理並保護其行動應用程式。 此解決方案的 VPN 連線是透過 適用於 MAM 的 Microsoft Tunnel iOS SDK 提供。
除了對未註冊裝置使用 MAM 隧道外,你也可以對已註冊裝置使用。 然而,註冊裝置必須使用 MDM 隧道配置或 MAM 隧道配置,不能同時使用兩者。 例如,註冊裝置不能使用像 Microsoft Edge 這類使用 MAM 隧道配置的應用程式,而其他應用程式則使用 MDM 隧道設定。
試試互動式示範[Microsoft Tunnel for Mobile Application Management for iOS/iPadOS] (/ https:/regale.cloud/Microsoft/viewer/1976/microsoft-tunnel-for-mobile-application-management-for-ios-ipados/index.html#/0/) 0 互動式展示展示了 Tunnel for MAM 如何擴展 Microsoft 隧道VPN 閘道以支援未註冊於 Intune 的 iOS 與 iPadOS 裝置。
政府雲端支援
適用於 MAM 的 Microsoft Tunnel 在 iOS/iPadOS 上支援以下主權雲端環境:
- 美國政府社群雲 (GCC) High
- 美國國防部 (國防部)
適用於 MAM 的 Microsoft Tunnel 在 iOS/iPadOS 上不支援由 21Vianet 運營的 Microsoft Azure。
iOS 和 iPadOS 上的 適用於 MAM 的 Microsoft Tunnel 不支援 FIPS) Standard (聯邦資訊處理。
欲了解更多資訊,請參閱 Microsoft Intune 以了解美國政府 GCC 服務說明。
iOS 必備的 SDK
要使用 適用於 MAM 的 Microsoft Tunnel iOS,您必須更新業務線 (LOB) 應用程式,以整合以下三個 SDK。 本文後面會找到整合每個 SDK 的指引:
Tunnel for MAM iOS SDK 架構
下圖描述了一個已成功與 Tunnel for MAM SDK for iOS 整合的受管理應用程式的流程。
動作
- 應用程式初次啟動時,會透過 MAM SDK 的隧道連線。
- 認證需要一個認證令牌。
- 裝置可能已經有先前登入時,透過其他支援 MAM 功能的應用程式取得的Microsoft Entra認證令牌, (Outlook、Microsoft Edge 和 Microsoft 365 Office 行動應用程式) 。
- TCP Connect (TLS 握手) 與通道伺服器的憑證一起發生。
- 若 Microsoft 隧道閘道啟用 UDP,則會透過 DTLS 建立資料通道連線。 若 UDP 被停用,則使用 TCP 來建立資料通道至隧道閘道。 詳見 Microsoft 隧道架構中的 TCP、UDP 備註。
- 當行動應用程式連接到本地企業資源時:
- 會針對該公司資源進行 適用於 MAM 的 Microsoft Tunnel API 連接請求。
- 一個加密的網路請求會發送給企業資源。
注意事項
MAM iOS SDK 的隧道提供 VPN 隧道。 它被限定在應用程式內的網路層。 iOS 設定中不會顯示 VPN 連線。
每個與 Tunnel for MAM iOS-SDK 整合並在前景運行的活躍業務線 (LOB) 應用程式,代表隧道閘道伺服器上的活躍用戶端連線。 mst-cli 命令列工具可用來監控活躍的客戶端連線。 關於 mst-cli 命令列工具的資訊,請參見 Microsoft 隧道閘道參考文獻。
配置 Intune 政策以適用於 MAM 的 Microsoft Tunnel iOS
適用於 MAM 的 Microsoft Tunnel iOS 使用以下 Intune 政策與配置檔:
- 應用程式設定政策 - 設定 Edge 與 LOB 應用程式的 Microsoft 隧道閘道設定。 你可以新增任何可信憑證,以取得本地資源存取。
- 應用程式防護政策 - 設定資料保護設定。 它也建立了一種部署應用程式配置政策的方法,該政策能設定 Edge 和 LOB 應用程式的 Microsoft 隧道設定。
- 受信任憑證設定檔 - 適用於連接本地資源,並由本地或私人憑證授權中心 (CA) 發出的 SSL/TLS 憑證保護的應用程式。
為 LOB 應用程式設定一個設定策略
為使用 Tunnel for MAM 的應用程式建立一個應用程式的設定政策。 此政策設定應用程式使用特定的Microsoft隧道閘道站、代理及受信任憑證憑證 () ,用於邊緣及業務線 (LOB) 應用程式。 這些資源用於連接本地資源。
登入 Microsoft Intune 管理中心,然後前往應用程式>設定>建立>受管理應用程式。
在 「基本」 標籤中,輸入保單 名稱 及可選 (描述) 。
對於 LOB 應用程式,請選擇 + 選擇自訂應用程式 以開啟 「選擇目標應用程式 」面板。 在 「選擇應用程式以目標」 面板中:
- 對於 Bundle 或 Package ID,請指定 LOB 應用程式的 Bundle ID
- 在 平台選項中,選擇 iOS/iPadOS,然後選擇 新增。
- 選擇你剛新增的應用程式,然後 選擇。
注意事項
LOB 應用程式需要 Intune App SDK 來支援 iOS 和 MSAL 整合。 MSAL 需要註冊 Microsoft Entra 應用程式。 確保應用程式設定政策中使用的套件 ID 與 Microsoft Entra 應用程式註冊及 Xcode 應用程式專案中指定的套件 ID 相同。 Xcode 是蘋果整合開發者環境,能在 macOS 上運行,並用來將 Tunnel for MAM iOS SDK 整合到你的應用程式中。
要讓應用程式的套件 ID 加入 Intune,可以使用 Intune 管理中心。
選擇應用程式後,選擇 「下一步」。
欲了解更多關於將自訂應用程式加入政策的資訊,請參閱 Intune App SDK 管理應用程式的 App 配置政策。
在 設定 標籤中,展開「*Microsoft Tunnel for Mobile Application Management 設定」並設定以下選項:
注意事項
在設定代理與分割隧道時:
- 代理自動設定腳本 (PAC) 檔案允許你啟用分割隧道和代理。
- 使用代理位址或埠號時,不支援同時啟用分割隧道與代理。 如果包含的路由中有代理伺服器設定,所有流量都會經過代理伺服器。 若包含的路由未設定代理伺服器,則所有流量將被排除在隧道之外。
- 將 適用於 MAM 的 Microsoft Tunnel 設為「是」。
- 對於 連線名稱,請指定一個面向使用者的名稱,例如 mam-tunnel-vpn。
- 接著,選擇 「選擇一個站點」,並選擇其中一個 Microsoft 隧道閘道站點。 如果你還沒設定隧道閘道站點,請參見 「配置 Microsoft 隧道」。
- 如果你的應用程式需要受信任憑證,請選擇 根憑證,然後選擇可信憑證設定檔來使用。 欲了解更多資訊,請參閱本文後面 的「配置受信任憑證設定檔 」。
對於聯邦化的 Microsoft Entra 租戶,必須進行以下設定,以確保您的應用程式能夠驗證並存取所需資源。 此配置繞過公開安全令牌服務的網址:
在 設定 標籤中,展開 「一般設定設定 」,然後依以下方式設定 名稱 與 值 對,以設定隧道的邊緣設定檔:
-
名稱 =
com.microsoft.tunnel.custom_configuration -
價值 =
{"bypassedUrls":["Company'sSTSURL"]}
-
名稱 =
注意事項
繞過的網址應該包含聯邦 STS 端點。
例如, Value 可能顯示為 {“bypassedUrls”:[“ipcustomer.com”, “whatsmyip.org”]}。
設定好隧道 MAM 設定後,選擇 「下一步 」以開啟 指派 標籤。
在「指派」標籤中,選擇「新增群組」,然後選擇一個或多個將接收此政策的 Microsoft Entra 使用者群組。 設定好群組後,選擇 「下一步」。
在 「Review + Create 」標籤中,選擇 建立 以完成政策建立,並將政策部署到指定群組。
新政策會出現在應用程式設定政策清單中。
為 Microsoft Edge 設定應用程式配置政策
為 Microsoft Edge 建立應用程式設定政策。 此政策會設定裝置上的 Edge 連接 Microsoft 隧道。
注意事項
如果你已經為你的 LOB App 建立了應用程式設定政策,你可以編輯該政策,加入 Edge 以及所需的 鍵值對設定 。
在 Microsoft Intune 管理中心,請前往 Apps>Configuration> 建立Managed>Apps。
關於 基礎 標籤:
- 輸入保單 名稱 及 描述 , (可選) 。
- 點選「 選擇公開應用程式」,選擇 iOS/iPadOS 的 Microsoft Edge,然後點選 「選擇」。
- 在 Microsoft Edge 被列為 公開應用程式後,選擇 「下一步」。
在 設定 標籤中,展開 「一般設定設定 」,然後依以下方式設定 名稱 與 值 對,以設定隧道的邊緣設定檔:
名稱 描述 com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
價值:True當設定為 True時,它會支援 Edge 的 嚴格隧道模式 。 當使用者用組織帳號登入 Edge 時,如果 VPN 沒有連接,那麼 嚴格隧道模式會 阻擋網路流量。
當 VPN 重新連接時,網路瀏覽功能就會恢復。com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly
價值:True當設定為 True時,它為 Edge 提供身份 切換 支援。
當使用者用 工作帳號或學校帳號登入時,Edge 會自動連接到 VPN。 當使用者啟用私人瀏覽時,Edge 會切換到 個人帳號 並斷開 VPN。Federated Microsoft Entra 僅限租戶 com.microsoft.tunnel.custom_configuration
價值:{"bypassedUrls":["Company'sSTSURL"]}由聯邦化的 Microsoft Entra 租戶使用。 為了確保 Edge 能夠認證並存取所需資源,這個設定是必要的。 它繞過了公開的安全令牌服務的網址。
該bypassedUrl值應包含聯邦 STS 端點。 例如,值可能為{"bypassedUrls":["ipcustomer.com", "whatsmyip.org"]}。以下圖片顯示了 Microsoft Edge 應用程式設定政策中的
bypassedUrl設定:
注意事項
確保 General 設定末尾沒有後方空格。
你也可以用這個政策在 Microsoft Edge 設定 類別中配置其他 Microsoft Edge 的設定。 在 Microsoft Edge 的其他設定都準備好後,選擇 「下一步」。
在分配標籤中,選擇新增群組,然後選擇一個或多個會接收此政策的 Microsoft Entra 群組。 設定好群組後,選擇 「下一步」。
在 「Review + Create 」標籤中,選擇 建立 以完成政策建立,並將政策部署到指定群組。
設定應用程式保護政策
使用 iOS 適用於 MAM 的 Microsoft Tunnel 應用程式的 Microsoft 隧道需要 應用程式防護 政策。
此政策提供必要的資料保護,並建立將應用程式配置政策傳遞給應用程式的方式。 要建立應用程式保護政策,請遵循以下步驟:
登入 Microsoft Intune 管理中心,前往 Apps>Protection>+ 建立政策>,選擇 iOS/iPadOS。
在 「基礎 」標籤中,輸入保單 名稱 ,並選擇 () 「 描述 」,然後選擇 「下一步」。
在 應用程式 標籤中,針對目標目標應用程式,選擇 + 選擇自訂應用程式 以開啟 「選擇目標應用程式 」面板。 然後,在 「選擇目標應用程式 」面板中:
- 對於 Bundle ID,請先指定 LOB 應用程式的 Bundle ID,然後選擇 新增。
- 選擇你剛新增的應用程式,然後 選擇。
注意事項
LOB 應用程式需要 Intune App SDK 來支援 iOS 和 MSAL 整合。 MSAL 需要註冊 Microsoft Entra 應用程式。 確保應用程式設定政策中使用的套件 ID 與 Microsoft Entra 應用程式註冊及 Xcode 應用程式專案中指定的套件 ID 相同。
要讓應用程式的套件 ID 加入 Intune,可以使用 Intune 管理中心。
在 資料保護、 存取需求和 條件啟動 分頁中,根據你的部署與資料保護需求,設定剩餘的應用程式保護政策設定。
在「指派」標籤中,選擇「新增群組」,然後選擇一個或多個將接收此政策的 Microsoft Entra 使用者群組。 設定好群組後,選擇 「下一步」。
這項新政策出現在應用程式防護政策清單中。
設定受信任的憑證設定檔
使用 MAM 隧道連接由本地或私人憑證授權中心 (CA 發行的 SSL/TLS 憑證保護的本地資源的應用程式) 需要 受信任的憑證設定檔。 如果你的應用程式不需要這種連線方式,那你可以跳過這部分。 受信任憑證設定檔不會被加入應用程式的設定政策中。
建立與本地基礎設施的信任鏈是建立信任鏈所必需的可信憑證設定檔。 該配置檔允許裝置信任由本地網頁或應用伺服器使用的憑證,確保應用程式與伺服器間的安全通訊。
MAM 隧道使用Intune受信任憑證設定檔中的公鑰憑證有效載荷,但不要求將該設定檔指派給任何 Microsoft Entra 使用者或裝置群組。 因此,任何平台都可以使用受信任的憑證設定檔。 因此,iOS 裝置可以使用 Android、iOS 或 Windows 的受信任憑證配置檔來滿足此需求。
重要事項
MAM iOS SDK 的隧道要求受信任憑證必須使用 DER 編碼的二進位 X.509 或 PEM 憑證格式。
在設定一個將使用 MAM 隧道的應用程式設定檔時,你會選擇所使用的憑證設定檔。 關於如何配置這些設定檔,請參閱 Microsoft Intune 受信任根憑證設定檔。
在 Microsoft Entra 系統管理中心配置業務線應用程式
使用 適用於 MAM 的 Microsoft Tunnel iOS 的業務線應用程式需要:
- A Microsoft Tunnel Gateway 服務主體雲端應用程式
- Microsoft Entra 應用程式註冊
Microsoft 隧道閘道服務主體
如果還沒有為 Microsoft Tunnel MDM 條件存取建立,請設定 Microsoft Tunnel Gateway 服務主體雲端應用程式。 如需指引,請參閱 「使用 Microsoft 隧道 VPN 閘道與條件存取政策」。
Microsoft Entra 應用程式註冊
當您將 Tunnel for MAM iOS SDK 整合進業務線應用程式時,以下應用程式註冊設定必須與您的 Xcode 應用程式專案相符:
- 應用程式識別碼
- 租用戶識別碼
根據您的需求,請選擇以下選項之一:
建立新的應用程式註冊
如果你有 iOS 應用程式尚未與 iOS Intune App SDK 或 MSAL) (Microsoft 認證庫整合,則需要建立新的應用程式註冊。 建立新應用程式註冊的步驟包括:- 應用程式註冊
- 認證設定
- 新增 API 權限
- 令牌配置
- 使用 Integration 助理驗證
更新現有的應用程式註冊
如果你有先前與 Intune App SDK for iOS 整合的 iOS 應用程式,那麼你需要審查並更新現有的應用程式註冊。
建立新的應用程式註冊
Microsoft Entra 線上文件提供了詳細的應用程式註冊指引與指引。
以下指引針對 MAM iOS SDK 隧道整合的需求。
在你的租戶 Microsoft Entra 系統管理中心,展開應用程式,然後選擇應用程式>註冊+新註冊。
在 註冊申請 頁面:
- 請指定應用程式註冊的**名稱
- 在此 組織目錄中選擇帳戶,僅 (YOUR_TENANT_NAME - 單一租戶) 。
- 目前不需要提供 重定向 URI 。 其中一筆會在後續步驟自動建立。
選擇 「註冊 」按鈕完成註冊,並開啟應用程式註冊 的概覽 頁面。
在 概覽 窗格中,注意 應用程式 (客戶端) ID 與 租戶) ID (目錄的值。 這些值是應用程式註冊 Xcode 專案所必需的。 記錄兩個值後,在管理選項中選擇驗證。
在應用程式註冊的 認證 面板中,選擇 + 新增平台,然後選擇 iOS/macOS 的磁貼。 「 配置您的 iOS 或 macOS 應用程式 」面板打開了。
在 「配置你的 iOS 或 macOS 應用程式 」面板,輸入 Xcode 應用程式的 套件 ID ,以便與 MAM iOS SDK 隧道整合,然後選擇 配置。 iOS/macOS 設定窗格會打開。
此視圖中的 Bundle ID 必須與 Xcode 中的 Bundle ID 完全一致。 此細節可在 Xcode 專案的以下地點找到:
- info.plist > IntuneMAMSettings: ADALRedirectUri
- 專案 > 通用 > 識別:套件ID
自動產生 重定向 URI 與 MSAL 配置 。 在對話視窗底部選擇 「完成 」以完成。 驗證不需要其他設定。
接著,在查看應用程式註冊時,選擇 API 權限 ,然後 + 新增權限。 新增 Microsoft 行動應用程式管理 與 Microsoft 隧道閘道的 API 權限:
- 在 請求 API 權限 頁面,選擇 我組織使用的 API 標籤。
- 搜尋 Microsoft 行動應用程式管理,選擇結果,然後勾選勾選方塊。
- 選擇 新增權限。
接著,重複第二次權限的流程:
- 選擇 + 新增權限 ,然後切換到 我組織使用的 API 標籤。
- 搜尋 Microsoft Tunnel Gateway,選擇結果,然後勾選「 隧道允許」的勾選框。
- 選擇 新增權限。
要完成設定,回到 API 權限 面板,選擇 授權管理員同意,然後選擇 YOUR_TENANT,然後選擇「是」。
接著,在查看應用程式註冊時,選擇 Token 設定,然後 + 新增可選申領。 在 新增可選認領 頁面,標記 類型 選擇 存取權,然後在 認領中勾選 帳號的勾選框。 MAM 隧道需要此認證憑證來驗證使用者至 Microsoft Entra ID。 選擇 新增 以完成代幣的設定。
要確認所有設定是否成功套用,請選擇整合助理:
- 你正在打造哪些應用程式類型?選擇行動應用程式 (Android、iOS、UWP) 。
- 設定為「這個應用程式是否呼叫 API??」,然後選擇「評估我的應用程式註冊」。
結果應顯示推薦配置與不建議配置皆為完成狀態。
更新現有的應用程式註冊
當你已經有應用程式註冊時,可以選擇更新它,而不是重新建立一個。 請檢視以下設定,必要時進行調整。
- 應用程式識別碼 與 租戶識別碼
- 認證設定
- API 使用權限
- 令牌配置
- 整合助理
在 Microsoft Entra 系統管理中心,展開應用程式,然後選擇應用程式註冊。 接著,選擇你想檢視並更新的應用程式註冊,以開啟 其總覽 窗格。 記錄 應用程式 (客戶端) ID 及 租戶目錄 () ID。
這些數值必須與你 Xcode 應用程式專案中的以下數值完全相符:
- info.plist > IntuneMAMSettings
- Application (client) ID = ADALClientId
- Directory (tenant) ID = ADALAuthority
- info.plist > IntuneMAMSettings
選擇 認證 並檢視應用程式平台類型。 必須是 iOS/macOS,並且有 Bundle ID 和 Redirect URI。 重定向 URI 必須形成為
msauth.Your_Bundle_ID://auth。接著,選擇 「檢視 」以查看 套件 ID 與 重定向 URI 的詳細資訊。 確保有 MSAL 設定 。 如果沒有,請參閱「建立一個 Microsoft Entra 應用程式與服務主體,該應用程式能存取資源以獲得指引。
如前一步,將 Bundle ID 與 Redirect URI 的值與 Xcode 應用程式專案中的這些值比較:
- 專案 > 通用 > 識別:套件ID
- info.plist > IntuneMAMSettings: ADALRedirectUri
同時,請確保你的應用程式專案中的 Xcode 套件識別碼與應用程式註冊套件 ID 相符:
驗證並更新 API 權限。 請確保你已經設定好 Microsoft Graph 和 Microsoft Mobile Application Management 權限。
接著為 Microsoft 隧道閘道 服務主體新增權限:
選擇 + 新增權限。
選擇 我組織使用的 API 標籤
搜尋 Microsoft Tunnel Gateway,然後選擇它來 請求 API 權限。
如果 Microsoft Tunnel Gateway 不出現在列表中,代表它還沒被設定。 要配置它,請參見 「使用 Microsoft 隧道 VPN 閘道與條件存取政策」。
選擇 Tunnel_Allow 權限,然後選擇 「新增權限 」以繼續。
接著,授予 管理員對 新權限的同意:
- 選擇 授予管理員同意以YOUR_TENANT_NAME。
- 在 補助金管理員同意確認 對話框中,選擇 「是」。
更新後,你應該會看到以下三個 API 權限,狀態為 「授予YOUR_TENANT_NAME」:
- Microsoft Graph
- Microsoft 行動管理
- Microsoft 隧道閘道
選擇 Token 設定 以確認設定。 關於 Claim,你應該會看到 Acct 的值,並且有 Token 類型的存取權。
如果帳 號 不存在,請選擇 +新增可選申訴 以新增申訴:
- 對於 代幣類型,請選擇 存取。
- 勾選 acct 的勾選框。
- 選擇 新增 以完成設定。
選擇整合助理以驗證應用程式註冊:
- 你要開發哪些應用程式類型?選擇行動應用程式 (Android、iOS、UWP)
- 設定為「這個應用程式是否呼叫 API??」,然後選擇「評估我的應用程式註冊」。
結果應顯示推薦配置與不建議配置皆為完成狀態。
Xcode 商務線應用程式整合
Xcode 是蘋果整合開發者環境,能在 macOS 上運行,並用來將 Tunnel for MAM iOS SDK 整合到你的應用程式中。
以下是使用 Xcode 成功整合 iOS 應用程式以適用於 MAM 的 Microsoft Tunnel iOS 的條件:
- macOS - 執行 Xcode
- Xcode 14.0 或更新版本
- MAM-SDK – min version: 16.1.1
- MSAL-SDK – min version: 1.2.3
- MAM iOS SDK 隧道,可於 GitHub 取得
關於整合 SDK 的指引,請參閱 Tunnel for MAM iOS SDK 開發指南。
已知問題
以下是 iOS 上 MAM 隧道已知的問題或限制。 關於 適用於 MAM 的 Microsoft Tunnel iOS SDK 已知問題,請參閱 Tunnel for MAM iOS SDK 開發者指南。
使用 MDM 隧道時不支援 MAM 隧道
你可以選擇在已註冊的裝置中使用 MAM 隧道,而不是使用 MDM 隧道設定。 然而,在同一裝置上同時部署包含 Microsoft 隧道設定的 MAM 與 MDM 隧道應用程式設定策略,並不支援,會導致用戶端網路故障。
例如,註冊裝置不能有像 Microsoft Edge 這類使用 MAM 隧道應用程式設定的應用程式,而其他應用程式則使用 MDM 隧道設定。
變通方法:要在已註冊的裝置上使用 MAM 隧道,請確保 Defender for Endpoint iOS 應用程式沒有設定 Microsoft Tunnel 設定的應用程式設定政策。
JavaScript WebSockets 支援
預設情況下,適用於 MAM 的 Microsoft Tunnel iOS 支援從網頁檢視啟動的 JavaScript WebSockets。 然而,目前不支援原生 WebSocket API 或依賴這些 API 的應用程式。
Firebase 與 MAM iOS 隧道的整合
當使用 Microsoft Tunnel for iOS 搭配整合 Firebase 的應用程式時,如果該應用程式在初始化 Firebase 前未建立 Tunnel 連線,初始化問題和意外行為可能會發生。
變通方法:為避免此問題,請確保應用程式邏輯優先建立成功連接 Tunnel 後再初始化 Firebase。
欲了解更多 Firebase,請參閱 https://firebase.google.com/。
新建立的自訂應用程式在使用者體驗中未顯示
當你建立自訂應用程式設定政策時,新增的應用程式可能不會出現在目標應用程式清單或可用自訂應用程式清單中。
解決方法:此問題可透過刷新 Intune 管理中心並重新存取政策來解決:
- 在 Intune 管理中心,點到 Apps>Configuration>Create。
- 選擇自訂應用程式,新增 iOS 的套件或套件 ID,完成流程,然後建立應用程式設定政策。
- 編輯基本設定。 新增的組合 ID 應該會出現在目標自訂應用程式的清單中。
Microsoft Azure Authenticator 應用程式無法與 Tunnel for MAM iOS 條件存取相容
解決方法:如果你有 Microsoft 隧道閘道的條件存取政策,要求多重驗證作為授權存取控制,你必須在業務線應用程式的 Microsoft 隧道代理類別中實作「onTokenRequiredWithCallback」方法。
Federated Microsoft Entra 租戶
在 App 設定中建立一個通用設定,排除客戶的 STS (聯邦伺服器 URL) ,以解決 MAM-Tunnel Connect 登入問題:
當使用者用工作帳號登入時,我有 Edge 瀏覽器的經驗。 用戶首次登入 LOB 應用程式時也會有這種感覺。
解決方法:建立一個「一般設定設定」:
說明:com.microsoft.tunnel.custom_configuration
value: {“bypassedUrls”:[“ipchicken.com”, “whatsmyip.org”]}
注意事項
繞過的網址應該包含聯邦 STS 端點。
在 iOS/iPadOS 上使用 Edge 的限制
MAM 隧道不支援:
- 使用 Kerberos 的本地站點。
- 基於憑證的網站驗證,使用 Edge
解決方法:沒有。
提示
iOS 上的 MAM 隧道確實支援 NTLM 整合認證網頁伺服器Microsoft登入,但不支援業務線 (LOB) 應用程式。 欲了解更多資訊,請參閱 Intune 在 iOS 與 Android 上的 Manage Microsoft Edge 中管理 NTLM 單一登入網站。