Verwalten der Datenübertragung zwischen iOS-Apps in Microsoft Intune
Um Unternehmensdaten zu schützen, schränken Sie Dateiübertragungen auf die von Ihnen verwalteten Apps ein. Sie können iOS-Apps wie folgt verwalten:
Schützen Sie Organisationsdaten für Geschäfts-, Schul- oder Unikonten, indem Sie eine App-Schutzrichtlinie für die Apps konfigurieren. wir nennen richtlinienverwaltete Apps. Weitere Informationen finden Sie unter Microsoft Intune geschützten Apps.
Stellen Sie die Apps über die iOS-Geräteverwaltung bereit, die erfordert, dass sich Geräte bei einer Mobile Geräteverwaltung-Lösung (MDM) registrieren. Die von Ihnen bereitgestellten Apps können richtlinienverwaltete Apps oder andere verwaltete iOS-Apps sein.
Das Feature Zum Öffnen der Verwaltung für registrierte iOS-Geräte kann Dateiübertragungen zwischen verwalteten iOS-Apps einschränken. Legen Sie Einschränkungen für die Open-In-Verwaltung mithilfe einer App-Schutzrichtlinie fest, die Organisationsdaten an andere Apps senden an die richtlinienverwalteten Apps mit dem Filterwert Open-In/Share festlegt, und stellen Sie dann die Richtlinie mithilfe von Intune bereit. Wenn ein Benutzer die bereitgestellte App installiert, werden die von Ihnen festgelegten Einschränkungen basierend auf der zugewiesenen Richtlinie angewendet.
Verwenden der Open-In-Verwaltung zum Schutz von iOS-Apps und -Daten
Verwenden Sie App-Schutz-Richtlinien mit dem iOS-Feature zum Öffnen der Verwaltung, um Unternehmensdaten auf folgende Weise zu schützen:
Geräte, die nicht von einer MDM-Lösung verwaltet werden: Sie können die Einstellungen der App-Schutzrichtlinie festlegen, um die Freigabe von Daten für andere Anwendungen über Open-in- oder Share-Erweiterungen zu steuern. Konfigurieren Sie dazu die Einstellung Organisationsdaten an andere Apps senden für Richtlinienverwaltete Apps mit dem Filterwert Open-In/Share . Das Open-In/Share-Verhalten in der richtlinienverwalteten App stellt nur andere richtlinienverwaltete Apps als Optionen für die Freigabe dar. Weitere Informationen finden Sie unter App-Schutz-Richtlinien für iOS-/iPadOS- und Android-Apps, Datenübertragung und iOS-Freigabeerweiterung.
Geräte, die von MDM-Lösungen verwaltet werden: Bei Geräten, die in mdm-Lösungen von Intune oder Drittanbietern registriert sind, wird die Datenfreigabe zwischen Apps mit App-Schutzrichtlinien und anderen verwalteten iOS-Apps, die über MDM bereitgestellt werden, durch Intune APP-Richtlinien und das iOS-Feature "Open-in management" gesteuert. Um sicherzustellen, dass Apps, die Sie mithilfe einer MDM-Lösung bereitstellen, auch Ihren Intune App-Schutzrichtlinien zugeordnet sind, konfigurieren Sie die Benutzer-UPN-Einstellung wie im folgenden Abschnitt Konfigurieren der Benutzer-UPN-Einstellung beschrieben. Um anzugeben, wie Sie die Datenübertragung an andere richtlinienverwaltete Apps und iOS-verwaltete Apps zulassen möchten, konfigurieren Sie Organisationsdaten an andere Apps senden auf Richtlinienverwaltete Apps mit Betriebssystemfreigabe. Wenn Sie angeben möchten, wie Sie einer App den Empfang von Daten von anderen Apps gestatten möchten, aktivieren Sie Daten von anderen Apps empfangen , und wählen Sie dann Die bevorzugte Ebene für den Datenempfang aus. Weitere Informationen zum Empfangen und Freigeben von App-Daten finden Sie unter Einstellungen für die Datenverschiebung.
Konfigurieren der Benutzer-UPN-Einstellung für Microsoft Intune oder Emm eines Drittanbieters
Das Konfigurieren der Benutzer-UPN-Einstellung ist für Geräte erforderlich, die von Intune oder einer EMM-Lösung eines Drittanbieters verwaltet werden, um das registrierte Benutzerkonto für die sendende richtlinienverwaltete App zu identifizieren, wenn Daten an eine verwaltete iOS-App übertragen werden. Die UPN-Konfiguration funktioniert mit den App-Schutzrichtlinien, die Sie über Intune bereitstellen. Das folgende Verfahren ist ein allgemeiner Ablauf zum Konfigurieren der UPN-Einstellung und der resultierenden Benutzererfahrung:
Erstellen Sie im Microsoft Intune Admin Center eine App-Schutzrichtlinie für iOS/iPadOS, und weisen Sie sie zu. Konfigurieren Sie Richtlinieneinstellungen gemäß den Anforderungen Ihres Unternehmens, und wählen Sie die iOS-Apps aus, die über diese Richtlinie verfügen sollen.
Stellen Sie die Apps und das E-Mail-Profil bereit, die über Intune oder Ihre MDM-Drittanbieterlösung verwaltet werden sollen, indem Sie die folgenden generalisierten Schritte ausführen. Diese Erfahrung wird auch in Beispiel 1 behandelt.
Stellen Sie die App mit den folgenden App-Konfigurationseinstellungen auf dem verwalteten Gerät bereit:
key = IntuneMAMUPN, value = username@company.com
Beispiel: ['IntuneMAMUPN', 'janellecraig@contoso.com']
Hinweis
In Intune muss der Registrierungstyp der App Configuration-Richtlinie auf Verwaltete Geräte festgelegt werden. Darüber hinaus muss die App entweder aus dem Intune-Unternehmensportal installiert (sofern als verfügbar festgelegt) oder nach Bedarf per Push an das Gerät übertragen werden.
Hinweis
Stellen Sie IntuneMAMUPN-App-Konfigurationseinstellungen für die verwaltete Ziel-App bereit, die Daten sendet. Das Hinzufügen des App-Konfigurationsschlüssels zur empfangenden App ist optional.
Hinweis
Derzeit gibt es keine Unterstützung für die Registrierung mit einem anderen Benutzer in einer App, wenn auf demselben Gerät ein MDM-registriertes Konto vorhanden ist.
Stellen Sie die Open-in-Verwaltungsrichtlinie mithilfe von Intune oder Ihrem MDM-Drittanbieter auf registrierten Geräten bereit.
Beispiel 1: Admin Erfahrung in Intune oder MDM-Konsole eines Drittanbieters
Wechseln Sie zum Microsoft Intune Admin Center oder zum MDM-Drittanbieter. Wechseln Sie zum Abschnitt des Admin Centers, in dem Sie Anwendungskonfigurationseinstellungen für registrierte iOS-Geräte bereitstellen.
Geben Sie im Abschnitt Anwendungskonfiguration die folgende Einstellung für jede richtlinienverwaltete App ein, die Daten an verwaltete iOS-Apps überträgt:
key = IntuneMAMUPN, value = username@company.com
Die genaue Syntax des Schlüssel-Wert-Paares kann je nach MDM-Anbieter eines Drittanbieters abweichen. Die folgende Tabelle enthält Beispiele für MDM-Drittanbieter und die genauen Werte, die Sie für das Schlüssel-Wert-Paar eingeben sollten.
MDM-Drittanbieter Konfigurationsschlüssel Typ Konfigurationswert Microsoft Intune IntuneMAMUPN String {{userprincipalname}} Microsoft Intune IntuneMAMOID String {{userid}} VMware AirWatch IntuneMAMUPN String {UserPrincipalName} MobileIron IntuneMAMUPN String ${userUPN} oder ${userEmailAddress} Citrix Endpoint Management IntuneMAMUPN String ${user.userprincipalname} ManageEngine Mobile Geräte-Manager IntuneMAMUPN String %upn%
Hinweis
Wenn Sie für Outlook für iOS/iPadOS eine verwaltete Geräte App Configuration Richtlinie mit der Option "Verwenden des Konfigurations-Designers" bereitstellen und nur Geschäfts-, Schul- oder Unikonten zulassen aktivieren, wird der Konfigurationsschlüssel IntuneMAMUPN im Hintergrund automatisch für die Richtlinie konfiguriert. Weitere Informationen finden Sie im Abschnitt "Häufig gestellte Fragen" unter New Outlook for iOS and Android App Configuration Policy Experience – General App Configuration.
Beispiel 2: Endbenutzererfahrung
Freigeben von einer richtlinienverwalteten App für andere Anwendungen mit Betriebssystemfreigabe
Ein Benutzer öffnet die Microsoft OneDrive-App auf einem registrierten iOS-Gerät und meldet sich bei dessen Geschäftskonto an. Das Konto, das der Benutzer eingibt, muss dem Konto-UPN entsprechen, den Sie in den App-Konfigurationseinstellungen für die Microsoft OneDrive-App angegeben haben.
Nach der Anmeldung gelten die vom Administrator konfigurierten APP-Einstellungen für das Benutzerkonto in Microsoft OneDrive. Dies umfasst das Konfigurieren der Einstellung Organisationsdaten an andere Apps senden für den Richtlinienverwalteten Apps mit dem Wert für die Betriebssystemfreigabe .
Der Benutzer führt eine Vorschau einer Arbeitsdatei aus und versucht, die Freigabe über open-in für eine verwaltete iOS-App auszuführen.
Die Datenübertragung ist erfolgreich, und die Daten werden jetzt durch die Open-In-Verwaltung in der verwalteten iOS-App geschützt. Intune APP gilt nicht für Anwendungen, bei denen es sich nicht um richtlinienverwaltete Apps handelt.
Freigeben von einer verwalteten iOS-App für eine richtlinienverwaltete App mit eingehenden Organisationsdaten
Ein Benutzer öffnet native E-Mail auf einem registrierten iOS-Gerät mit einem verwalteten E-Mail-Profil.
Der Benutzer öffnet eine Anlage eines Arbeitsdokuments von der nativen Mail an Microsoft Word.The user opens a work document attachment from native Mail to Microsoft Word.
Wenn die Word-App gestartet wird, tritt eine von zwei Funktionen auf:
- Die Daten werden in folgenden Fällen durch Intune APP geschützt:
- Der Benutzer ist bei ihrem Geschäftskonto angemeldet, das dem Konto-UPN entspricht, den Sie in den App-Konfigurationseinstellungen für die Microsoft Word-App angegeben haben.
- Die vom Administrator konfigurierten APP-Einstellungen gelten für das Benutzerkonto in Microsoft Word. Dies umfasst das Konfigurieren der Einstellung Daten von anderen Apps empfangen auf den Wert Alle Apps mit eingehenden Organisationsdaten .
- Die Datenübertragung ist erfolgreich, und das Dokument wird mit der Arbeitsidentität in der App markiert. Intune APP schützt die Benutzeraktionen für das Dokument.
- Die Daten werden in folgenden Fällen nicht durch Intune APP geschützt:
- Der Benutzer ist nicht bei ihrem Geschäftskonto angemeldet.
- Die vom Administrator konfigurierten Einstellungen werden nicht auf Microsoft Word angewendet, da der Benutzer nicht angemeldet ist.
- Die Datenübertragung ist erfolgreich, und das Dokument ist nicht mit der Arbeitsidentität in der App gekennzeichnet. Intune APP schützt die Benutzeraktionen für das Dokument nicht, da es nicht aktiv ist.
Hinweis
Der Benutzer kann seine persönlichen Konten mit Word hinzufügen und verwenden. App-Schutz Richtlinien gelten nicht, wenn der Benutzer Word außerhalb eines Arbeitskontexts verwendet.
- Die Daten werden in folgenden Fällen durch Intune APP geschützt:
Überprüfen der Benutzer-UPN-Einstellung für EMM von Drittanbietern
Überprüfen Sie nach dem Konfigurieren der Benutzer-UPN-Einstellung, ob die iOS-App Intune App-Schutzrichtlinie empfangen und einhalten kann.
Beispielsweise ist die Einstellung App-PIN-Richtlinie erforderlich einfach zu testen. Wenn die Richtlinieneinstellung Auf Erforderlich festgelegt ist, sollte dem Benutzer eine Aufforderung zum Festlegen oder Eingeben einer PIN angezeigt werden, bevor er auf Unternehmensdaten zugreifen kann.
Erstellen Sie zunächst eine App-Schutzrichtlinie, und weisen Sie sie der iOS-App zu. Weitere Informationen zum Testen der App-Schutzrichtlinie finden Sie unter Überprüfen von App-Schutzrichtlinien.