Gegevensoverdracht tussen iOS-apps beheren in Microsoft Intune
Als u bedrijfsgegevens wilt beveiligen, beperkt u bestandsoverdrachten tot alleen de apps die u beheert. U kunt iOS-apps op de volgende manieren beheren:
Beveilig organisatiegegevens voor werk- of schoolaccounts door een app-beveiligingsbeleid voor de apps te configureren. die we door beleid beheerde apps noemen. Zie beveiligde apps Microsoft Intune.
Implementeer en beheer de apps via iOS-apparaatbeheer, waarvoor apparaten moeten worden ingeschreven bij een MDM-oplossing (Mobile Apparaatbeheer). De apps die u implementeert, kunnen door beleid beheerde apps of andere door iOS beheerde apps zijn.
De functie Open-in-beheer voor ingeschreven iOS-apparaten kan bestandsoverdracht tussen door iOS beheerde apps beperken. Stel Beperkingen voor Open-in-beheer in met behulp van een app-beveiligingsbeleid waarmee Organisatiegegevens verzenden naar andere apps wordt ingesteld op de filterwaarde Door beleid beheerde apps met open-in-/delenfilterwaarde en vervolgens het beleid implementeren met behulp van Intune. Wanneer een gebruiker de geïmplementeerde app installeert, worden de beperkingen die u instelt toegepast op basis van het toegewezen beleid.
Open-in-beheer gebruiken om iOS-apps en -gegevens te beveiligen
Gebruik App-beveiliging-beleid met de iOS-functie Open-in-beheer om bedrijfsgegevens op de volgende manieren te beveiligen:
Apparaten die niet worden beheerd door een MDM-oplossing: U kunt de instellingen voor het beveiligingsbeleid voor apps instellen om het delen van gegevens met andere toepassingen te beheren via extensies openen ofdelen. Hiervoor configureert u de instelling Organisatiegegevens verzenden naar andere apps op Door beleid beheerde apps met de filterwaarde Open-In/Share . Het gedrag Openen in/delen in de door beleid beheerde app toont alleen andere door beleid beheerde apps als opties voor delen. Zie App-beveiliging beleid voor iOS-/iPadOS- en Android-apps, Gegevensoverdracht en iOS-shareextensie voor gerelateerde informatie.
Apparaten die worden beheerd door MDM-oplossingen: voor apparaten die zijn ingeschreven bij Intune of EXTERNE MDM-oplossingen, wordt het delen van gegevens tussen apps met app-beveiligingsbeleid en andere beheerde iOS-apps die via MDM zijn geïmplementeerd, beheerd door Intune APP-beleid en de iOS Open-in-beheerfunctie. Als u ervoor wilt zorgen dat apps die u implementeert met behulp van een MDM-oplossing ook worden gekoppeld aan uw Intune app-beveiligingsbeleid, configureert u de UPN-instelling van de gebruiker zoals beschreven in de volgende sectie, UPN-instelling voor gebruikers configureren. Als u wilt opgeven hoe u gegevensoverdracht wilt toestaan naar andere door beleid beheerde apps en door iOS beheerde apps, configureert u de instelling Organisatiegegevens verzenden naar andere apps op Door beleid beheerde apps met delen van het besturingssysteem. Als u wilt opgeven hoe een app gegevens van andere apps mag ontvangen, schakelt u Gegevens ontvangen van andere apps in en kiest u vervolgens het gewenste niveau van het ontvangen van gegevens. Zie Instellingen voor gegevensverplaatsing voor meer informatie over het ontvangen en delen van app-gegevens.
UPN-instelling voor gebruikers configureren voor Microsoft Intune of EMM van derden
Het configureren van de UPN-instelling van de gebruiker is vereist voor apparaten die worden beheerd door Intune of een EMM-oplossing van derden om het geregistreerde gebruikersaccount te identificeren voor de app die door beleid wordt verzonden bij het overdragen van gegevens naar een door iOS beheerde app. Zie Apparaatbeheer typen voor meer informatie over vereiste app-configuratie-instellingen. De UPN-configuratie werkt met het app-beveiligingsbeleid dat u implementeert vanuit Intune.
De volgende procedure is een algemene stroom voor het configureren van de UPN-instelling en de resulterende gebruikerservaring:
Maak en wijs in het Microsoft Intune-beheercentrumeen app-beveiligingsbeleid voor iOS/iPadOS toe. Configureer beleidsinstellingen volgens de vereisten van uw bedrijf en selecteer de iOS-apps die dit beleid moeten hebben.
Implementeer de apps en het e-mailprofiel dat u wilt beheren via Intune of uw EXTERNE MDM-oplossing met behulp van de volgende algemene stappen. Deze ervaring wordt ook behandeld in voorbeeld 1.
Implementeer de app met de volgende app-configuratie-instellingen op het beheerde apparaat:
key = IntuneMAMUPN, waarde = username@company.com
Voorbeeld: ['IntuneMAMUPN', 'janellecraig@contoso.com']]
Opmerking
In Intune moet het inschrijvingstype App Configuration beleid worden ingesteld op Beheerde apparaten. Daarnaast moet de app worden geïnstalleerd vanuit de Intune-bedrijfsportal (indien ingesteld als beschikbaar) of worden gepusht naar het apparaat.
Opmerking
Implementeer intuneMAMUPN-app-configuratie-instellingen naar de doel-beheerde app die gegevens verzendt. Het toevoegen van de app-configuratiesleutel aan de ontvangende app is optioneel.
Opmerking
Momenteel is er geen ondersteuning voor het inschrijven met een andere gebruiker in een app als er een MDM-account op hetzelfde apparaat is ingeschreven.
Implementeer het open-in-beheerbeleid met behulp van Intune of uw externe MDM-provider op ingeschreven apparaten.
Voorbeeld 1: Beheer ervaring in Intune of mdm-console van derden
Ga naar het Microsoft Intune-beheercentrum of uw externe MDM-provider. Ga naar de sectie van het beheercentrum waarin u toepassingsconfiguratie-instellingen implementeert op ingeschreven iOS-apparaten.
Voer in de sectie Toepassingsconfiguratie de volgende instelling in voor elke door beleid beheerde app die gegevens overbrengt naar door iOS beheerde apps, met uitzondering van apps die automatisch worden geconfigureerd op basis van apparaatbeheertype:
key = IntuneMAMUPN, waarde = username@company.com
De exacte syntaxis van het sleutel-waardepaar kan verschillen op basis van uw externe MDM-provider. In de volgende tabel ziet u voorbeelden van EXTERNE MDM-providers en de exacte waarden die u moet invoeren voor het sleutel-waardepaar.
MDM-provider van derden Configuratiesleutel Waardetype: Configuratiewaarde Microsoft Intune IntuneMAMUPN Tekenreeks {{userprincipalname}} Microsoft Intune IntuneMAMOID Tekenreeks {{userid}} VMware AirWatch IntuneMAMUPN Tekenreeks {UserPrincipalName} MobileIron IntuneMAMUPN Tekenreeks ${userUPN} of ${userEmailAddress} Citrix Endpoint Management IntuneMAMUPN Tekenreeks ${user.userprincipalname} ManageEngine Mobile Apparaatbeheer IntuneMAMUPN Tekenreeks %upn%
Opmerking
Als u voor Outlook voor iOS/iPadOS een beheerde apparaten implementeert App Configuration Beleid met de optie 'Configuration Designer gebruiken' en Alleen werk- of schoolaccounts toestaan inschakelt, wordt de configuratiesleutel IntuneMAMUPN automatisch achter de schermen geconfigureerd voor het beleid. Meer informatie vindt u in de sectie Veelgestelde vragen in New Outlook for iOS and Android App Configuration Policy Experience – General App Configuration.
Voorbeeld 2: eindgebruikerservaring
Delen vanuit een door beleid beheerde app met andere toepassingen met delen van het besturingssysteem
Een gebruiker opent de Microsoft OneDrive-app op een ingeschreven iOS-apparaat en meldt zich aan bij het werkaccount. Het account dat de gebruiker invoert, moet overeenkomen met de ACCOUNT-UPN die u hebt opgegeven in de app-configuratie-instellingen voor de Microsoft OneDrive-app.
Na het aanmelden zijn de door de beheerder geconfigureerde APP-instellingen van toepassing op het gebruikersaccount in Microsoft OneDrive. Dit omvat het configureren van de instelling Organisatiegegevens naar andere apps verzenden naar de waarde voor door beleid beheerde apps met het delen van het besturingssysteem .
De gebruiker bekijkt een voorbeeld van een werkbestand en probeert te delen via Open-in met iOS beheerde app.
De gegevensoverdracht slaagt en de gegevens worden nu beveiligd door Open-in-beheer in de door iOS beheerde app. Intune APP is niet van toepassing op toepassingen die geen door beleid beheerde apps zijn.
Delen van een door iOS beheerde app naar een door beleid beheerde app met binnenkomende organisatiegegevens
Een gebruiker opent systeemeigen e-mail op een ingeschreven iOS-apparaat met een beheerd e-mailprofiel.
De gebruiker opent een werkdocumentbijlage van systeemeigen Mail naar Microsoft Word.
Wanneer de Word-app wordt gestart, treedt een van de volgende twee ervaringen op:
- De gegevens worden beveiligd door Intune APP wanneer:
- De gebruiker is aangemeld bij het werkaccount dat overeenkomt met de ACCOUNT-UPN die u hebt opgegeven in de app-configuratie-instellingen voor de Microsoft Word-app.
- De door de beheerder geconfigureerde APP-instellingen zijn van toepassing op het gebruikersaccount in Microsoft Word. Dit omvat het configureren van de instelling Gegevens ontvangen van andere apps op de waarde Alle apps met binnenkomende organisatiegegevens .
- De gegevensoverdracht slaagt en het document wordt gelabeld met de werkidentiteit in de app. Intune APP beveiligt de gebruikersacties voor het document.
- De gegevens worden niet beveiligd door Intune APP wanneer:
- De gebruiker is niet aangemeld bij het werkaccount.
- De door de beheerder geconfigureerde instellingen worden niet toegepast op Microsoft Word omdat de gebruiker niet is aangemeld.
- De gegevensoverdracht slaagt en het document is niet gelabeld met de werkidentiteit in de app. Intune APP beveiligt de gebruikersacties voor het document niet omdat het niet actief is.
Opmerking
Gebruikers kunnen hun persoonlijke accounts toevoegen en gebruiken met Word. App-beveiliging beleid is niet van toepassing wanneer de gebruiker Word buiten een werkcontext gebruikt.
- De gegevens worden beveiligd door Intune APP wanneer:
UPN-instelling van de gebruiker valideren voor EMM van derden
Nadat u de UPN-instelling van de gebruiker hebt geconfigureerd, controleert u of de iOS-app Intune app-beveiligingsbeleid kan ontvangen en naleven.
De beleidsinstelling Pincode van app vereisen is bijvoorbeeld eenvoudig te testen. Wanneer de beleidsinstelling gelijk is aan Vereisen, moet de gebruiker een prompt zien om een pincode in te stellen of in te voeren voordat deze toegang heeft tot bedrijfsgegevens.
Maak eerst een app-beveiligingsbeleid en wijs deze toe aan de iOS-app. Zie Beveiligingsbeleid voor apps valideren voor meer informatie over het testen van app-beveiligingsbeleid.