Rozwiązywanie problemów z transferem danych między aplikacjami
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów w scenariuszach, w których zasady ochrony aplikacji (APP) usługi Microsoft Intune zaprojektowane pod kątem zezwalania na transfer danych nie działają zgodnie z oczekiwaniami. Najbardziej typowe zastosowania aplikacji usługi Intune to ochrona danych, kontrolowanie transferu danych firmowych między aplikacjami zarządzanymi przez aplikację (aplikacje) oraz ograniczanie transferu danych do aplikacji niezarządzanych. Na przykład użytkownicy mogą przesyłać dane firmowe z aplikacji Microsoft Outlook do aplikacji Microsoft Excel (zarządzanej przez zasady), ale nie do aplikacji mobilnej Dropbox (niezarządzanej aplikacji).
W przypadku stosowania aplikacji usługi Intune do ochrony danych poważne nieoczekiwane zachowanie oznacza, że użytkownicy nie mogą przesyłać danych między aplikacjami zarządzanymi, takimi jak Outlook i Teams. W takich scenariuszach skorzystaj z kroków rozwiązywania problemów w tym artykule, aby ułatwić diagnozowanie i rozwiązywanie problemu. Aby uzyskać ogólne informacje na temat rozwiązywania problemów z aplikacjami, zobacz Rozwiązywanie problemów z wdrażaniem zasad ochrony aplikacji w usłudze Intune.
Upewnij się, że używasz obsługiwanych platform, wersji systemu operacyjnego i aplikacji
Upewnij się, że spełniono wymagania wstępne dotyczące używania zasad ochrony aplikacji. Istnieją pewne wymagania dotyczące obsługiwanych platform, wersji systemu operacyjnego i aplikacji.
Obsługiwane platformy: zasady Ochrona aplikacji są obsługiwane w systemach iOS, iPadOS i Android. Jednak urządzenia udostępnione iPad i dedykowane urządzenia z systemem Android Enterprise nie są obsługiwane.
Obsługiwane wersje systemu operacyjnego: sprawdź, czy pracujesz z obsługiwanym systemem operacyjnym i wersją. Należy pamiętać o wszelkich specjalnych wymaganiach dotyczących wersji zasad ochrony aplikacji zgodnie z opisem w temacie Obsługiwane systemy operacyjne i przeglądarki w usłudze Intune. Obsługiwane systemy operacyjne zmienią się w czasie, a starsze wersje staną się nieobsługiwane. Upewnij się również, że system operacyjny spełnia wymagania każdej używanej aplikacji.
Obsługiwane aplikacje: aplikacje muszą być zintegrowane z zestawem SDK aplikacji usługi Microsoft Intune, aby obsługiwać zasady ochrony aplikacji. Aby uzyskać listę obsługiwanych aplikacji firmy Microsoft i partnerów, zobacz Chronione aplikacje w usłudze Microsoft Intune.
Sprawdź, czy konto jest kontem firmowym i czy plik jest danymi firmowymi
Zakres zasad ochrony aplikacji (APP) usługi Intune obejmuje tylko konta firmowe i dane. Nie można używać aplikacji do ochrony kont osobistych ani zarządzania transferem danych osobowych. Aby prawidłowo zastosować aplikację, musisz upewnić się, że konto używane do logowania się do aplikacji zarządzanej jest kontem firmowym, a dane, które próbujesz udostępnić, to dane firmowe. Przejrzyj następujące treści:
Konta firmowe: konta użytkowników należą do dzierżawy firmy Microsoft Entra i są uznawane za konta firmowe. Te konta można synchronizować z lokalna usługa Active Directory przy użyciu programu Microsoft Entra Connect. Aby korzystać z aplikacji, musisz przypisać użytkownikom licencje usługi Intune.
Dane firmowe: dane przechowywane w zarządzanych lokalizacjach, takich jak OneDrive dla Firm lub SharePoint Online, są traktowane jako dane firmowe. Dane przechowywane w osobistych lokalizacjach przechowywania lokalnego nie są traktowane jako dane firmowe. Pliki utworzone za pomocą zarządzanych aplikacja pakietu Office firmy Microsoft (takich jak Word lub Excel) są traktowane jako dane firmowe tylko wtedy, gdy są zapisywane w lokalizacji zarządzanej (OneDrive dla Firm i SharePoint Online). Jeśli zapiszesz pliki pakietu Office w OneDrive dla Firm, będą one traktowane jako dane firmowe. Pliki zapisane w magazynie lokalnym lub w innych lokalizacjach, które nie są zarządzane, są traktowane jako dane osobowe i nie są chronione przez aplikację. Wersje robocze, wysłane i odebrane wiadomości e-mail w aplikacji Microsoft Outlook są traktowane jako dane firmowe, jeśli zostały utworzone podczas logowania przy użyciu konta firmowego.
Aplikacje z wieloma tożsamościami: niektóre aplikacje, takie jak Outlook i OneDrive, obsługują wiele tożsamości, co umożliwia jednoczesne dodawanie kont firmowych i osobistych do aplikacji. W tym scenariuszu pliki, wiadomości e-mail i dokumenty w ramach kont firmowych są traktowane jako dane firmowe i chronione przez aplikację. Na przykład pliki przechowywane w OneDrive dla Firm i wiadomościach e-mail i załącznikach programu Outlook są traktowane jako dane firmowe. Możesz ograniczyć transfer danych tych danych przy użyciu aplikacji. Z drugiej strony pliki usługi OneDrive i wiadomości e-mail programu Outlook w ramach kont osobistych są traktowane jako dane osobowe i nie są chronione przez aplikację. Nie można ograniczyć transferu danych dla tych kont za pomocą aplikacji.
W przypadku systemu Android sprawdź, czy aplikacje znajdują się w profilu służbowym
Jeśli używasz urządzeń z profilem służbowym systemu Android, upewnij się, że użytkownicy korzystają z aplikacji profilu służbowego podczas pracy z danymi firmowymi. Aby zastosować aplikację usługi Intune do tych urządzeń, należy zainstalować aplikację Intune — Portal firmy w profilu służbowym. Aby uzyskać informacje na temat instalowania aplikacji Portal firmy, zobacz Dodawanie aplikacji systemu Windows 10 Portal firmy przy użyciu usługi Microsoft Intune.
Aplikacje w profilu służbowym są identyfikowane z znaczkiem aktówki na ikonach aplikacji.
Aby uzyskać więcej informacji na temat profilu służbowego systemu Android, zobacz Wprowadzenie do profilu służbowego systemu Android.
Upewnij się, że oczekiwane ustawienia aplikacji są stosowane do aplikacji
Sprawdź ustawienia zasad ochrony aplikacji zarówno w usłudze Intune, jak i po stronie urządzenia. Tabela w sekcji Przeglądanie ustawień aplikacji w usłudze Intune w tym dokumencie zawiera ogólne wskazówki, aby potwierdzić, że ustawienia zostały prawidłowo skonfigurowane w centrum administracyjnym. Po potwierdzeniu sprawdź, czy te same ustawienia są stosowane do aplikacji na urządzeniach.
Przeglądanie ustawień aplikacji w usłudze Intune
W centrum administracyjnym usługi Intune można tworzyć zasady ochrony aplikacji i zarządzać nimi w obszarze Aplikacje> Ochrona aplikacji zasady. Sekcja Ochrona danych zawiera ważne ustawienia scenariuszy transferu danych, które należy sprawdzić, jeśli widzisz nieoczekiwane zachowanie. W poniższej tabeli wymieniono typowe ustawienia aplikacji dotyczące ochrony danych i ich przypadków użycia.
Nazwa ustawienia | System operacyjny | Wartość ustawienia | Przypadek użycia |
---|---|---|---|
Wysyłanie danych organizacji do innych aplikacji | Android | Aplikacje zarządzane przez zasady | Ogranicz transfer danych do aplikacji zarządzanych przez zasady. Dane można przesyłać do aplikacji niezarządzanych, ale dane są szyfrowane i nie można ich otwierać. |
iOS/iPadOS | Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego | Transfer danych może być ograniczony do aplikacji zarządzanych przez zasady i niezarządzanych przez zastosowanie zasad konfiguracji aplikacji "IntuneMAMUPN". Zapoznaj się z tematem Zasady konfiguracji aplikacji zabezpieczeń systemu iOS/iPadOS i Jak zarządzać transferem danych między aplikacjami systemu iOS w usłudze Microsoft Intune. |
|
iOS | Aplikacja zarządzana przez zasady z filtrowaniem Otwórz w/Udostępnianie | Ogranicz transfer danych, filtrując aplikacje wyświetlane w rozszerzeniach udostępniania. Udostępnianie plików za pomocą tego ustawienia ogranicza dostępne aplikacje tylko do tych, które obsługują tylko aplikację usługi Intune. | |
Wybieranie aplikacji do wykluczenia | iOS | Niestandardowe schematy identyfikatorów URI | Zezwalaj na przesyłanie danych do określonych niezarządzanych aplikacji. |
Android | Identyfikatory pakietów aplikacji | Zezwalaj na przesyłanie danych do określonych niezarządzanych aplikacji. | |
Wybieranie linków uniwersalnych do wykluczenia | iOS/iPadOS | Ciągi adresów URL | Określ aplikacje niezarządzane, aby otwierać linki adresu URL zamiast przeglądarki Microsoft Edge. |
Wybieranie zarządzanych linków uniwersalnych | iOS/iPadOS | Ciągi adresów URL | Określ aplikacje zarządzane, aby otwierać linki adresu URL zamiast przeglądarki Microsoft Edge. |
Zapisywanie kopii danych organizacji | wszystkie | Zablokowanie | Blokuj lub ogranicz lokalizacje zapisywania plików. |
Zezwalaj użytkownikowi na zapisywanie kopii w wybranych usługach | wszystkie | OneDrive dla Firm, SharePoint, Box, Magazyn lokalny, Biblioteka zdjęć | Określ lokalizacje zapisywania plików zarządzanych. Inne lokalizacje są blokowane lub dane są szyfrowane. |
Odbieranie danych z innych aplikacji | wszystkie | Wszystkie aplikacje | Zezwalaj aplikacjom zarządzanym na odbieranie danych z dowolnej aplikacji, w tym niezarządzanych aplikacji. |
iOS/iPadOS | Wszystkie aplikacje z przychodzącymi danymi organizacji | Zezwalaj aplikacjom zarządzanym na odbieranie danych z dowolnej aplikacji, w tym niezarządzanych aplikacji. | |
wszystkie | Aplikacje zarządzane przez zasady | Zezwalaj aplikacjom na odbieranie danych tylko z aplikacji zarządzanych przez zasady. | |
wszystkie | Brak | Blokuj dane przychodzące z dowolnej aplikacji. | |
Otwieranie danych w dokumentach organizacji | wszystkie | Zezwalaj | Zezwalaj na otwieranie danych z dowolnych źródeł danych. |
wszystkie | Zablokowanie | Ogranicz otwieranie danych z określonych źródeł danych. | |
Zezwalaj użytkownikom na otwieranie danych z wybranych usług | wszystkie | OneDrive dla Firm, SharePoint, Aparat fotograficzny, Biblioteka zdjęć | Wybierz aplikacje źródeł danych, z których można otwierać dane. |
Ograniczanie transferu zawartości internetowej do innych aplikacji | wszystkie | Microsoft Edge | Określ aplikację Microsoft Edge zarządzaną przez zasady, aby otwierać linki adresu URL. |
Aby uzyskać więcej informacji, zobacz Ustawienia zasad ochrony aplikacji dla systemu iOS/iPadOS i Ustawienia zasad ochrony aplikacji systemu Android.
Przeglądanie ustawień aplikacji po stronie urządzenia za pomocą przeglądarki Microsoft Edge
Uruchom diagnostykę usługi Intune w przeglądarce Microsoft Edge, aby sprawdzić ustawienie aplikacji zastosowane do każdej aplikacji zarządzanej na urządzeniu.
Otwórz przeglądarkę Microsoft Edge na urządzeniu i wprowadź adres URL : about:intunehelp. Zostanie otwarta diagnostyka usługi Intune, jak pokazano w poniższych przykładach.
Naciśnij pozycję Wyświetl stan aplikacji usługi Intune (iOS/iPadOS) lub WYŚWIETL informacje o aplikacji (Android), aby wyświetlić ustawienia aplikacji zastosowane do każdej aplikacji na urządzeniu.
Porównaj wartości ustawień w tym widoku z wartościami skonfigurowanymi w usłudze Intune.
Aby uzyskać wyjaśnienie wartości tych ustawień, zobacz Przeglądanie dzienników ochrony aplikacji klienckich.
Uwaga: możesz również zweryfikować wersję aplikacji i wersję zestawu SDK aplikacji usługi Intune w tym widoku.
Porównanie zachowania z innymi urządzeniami, użytkownikami, aplikacjami i wzorcami
Rozwiąż problemy, porównując zachowania na urządzeniach, użytkownikach, aplikacjach i operacjach, aby ułatwić oddzielenie i zawężenie głównej przyczyny. Spróbuj zidentyfikować lub odtworzyć problem na innych urządzeniach i z innymi użytkownikami, aby dowiedzieć się, czy problem jest specyficzny dla jednego urządzenia lub podzestawu urządzeń. Jeśli nie widzisz problemu na innych urządzeniach, spróbuj zidentyfikować, co różni się od problematycznego urządzenia, takich jak grupy użytkowników, modele urządzeń, wersje systemu operacyjnego itp.
Ułatwia również porównywanie zachowań między aplikacjami. Problem widoczny w aplikacji programu Excel może nie wystąpić w aplikacji Word. W przypadku tych porównań należy pamiętać o wersjach aplikacji i wersjach zestawu SDK aplikacji usługi Intune, ponieważ nieoczekiwane zachowanie może być specyficzne dla wersji. Zalecamy regularne aktualizowanie aplikacji do najnowszej dostępnej wersji.