如何在 Microsoft Intune 中管理 iOS 应用之间的数据传输
若要帮助保护公司数据,请将文件传输限制为仅允许你管理的应用。 可以通过以下方式管理 iOS 应用:
通过为应用配置应用保护策略来保护工作或学校帐户的组织数据。 我们称之为 策略托管应用。 请参阅Microsoft Intune受保护的应用。
通过 iOS 设备管理部署和管理应用,这要求设备在移动设备管理 (MDM) 解决方案中注册。 部署的应用可以是 策略托管应用 或其他 iOS 托管应用。
已注册的 iOS 设备的 “打开”管理功能 可以限制 iOS 托管应用之间的文件传输。 使用应用保护策略设置“打开管理限制”,该策略将“将组织数据发送到其他应用”设置为“开放/共享”筛选值的策略托管应用,然后使用Intune部署策略。 当用户安装已部署的应用时,将根据分配的策略应用你设置的限制。
使用开放管理来保护 iOS 应用和数据
将应用保护策略与 iOS 开放管理功能结合使用,通过以下方式保护公司数据:
不受任何 MDM 解决方案管理的设备: 可以设置应用保护策略设置,以通过 Open-in 或 Share 扩展控制与其他应用程序共享数据。 为此,请将 “将组织数据发送到其他应用” 设置配置为 “策略托管应用”,并使用“打开/共享”筛选 值。 策略托管应用中的“打开/共享”行为仅提供其他策略托管应用作为共享选项。 有关相关信息,请参阅 iOS/iPadOS 和 Android 应用应用保护策略、数据传输和 iOS 共享扩展。
MDM 解决方案管理的设备:对于在 Intune 或第三方 MDM 解决方案中注册的设备,使用应用保护策略的应用与通过 MDM 部署的其他托管 iOS 应用之间的数据共享由 Intune 应用策略和 iOS 开放管理功能控制。 若要确保使用 MDM 解决方案部署的应用也与Intune应用保护策略相关联,请配置用户 UPN 设置,如以下配置用户 UPN 设置部分中所述。 若要指定允许将数据传输到其他 策略托管应用 和 iOS 托管应用的方式,请将“ 将组织数据发送到其他应用” 设置配置为 使用 OS 共享的策略托管应用。 若要指定允许应用从其他应用接收数据的方式,请启用 “从其他应用接收数据 ”,然后选择首选的接收数据级别。 有关接收和共享应用数据的详细信息,请参阅 数据重定位设置。
为Microsoft Intune或第三方 EMM 配置用户 UPN 设置
对于由Intune或第三方 EMM 解决方案管理的设备,需要配置用户 UPN 设置,以便在将数据传输到 iOS 托管应用时标识用于发送策略托管应用的已注册用户帐户。 有关所需应用配置设置的详细信息,请参阅设备管理类型。 UPN 配置适用于从 Intune 部署的应用保护策略。
以下过程是有关如何配置 UPN 设置和生成的用户体验的常规流程:
在Microsoft Intune管理中心,创建并分配适用于 iOS/iPadOS 的应用保护策略。 根据公司要求配置策略设置,并选择应具有此策略的 iOS 应用。
使用以下通用步骤部署要通过Intune或第三方 MDM 解决方案管理的应用和电子邮件配置文件。 示例 1 还介绍了这种体验。
使用以下应用配置设置将应用部署到托管设备:
key = IntuneMAMUPN,value = username@company.com
示例:['IntuneMAMUPN', 'janellecraig@contoso.com']
注意
在 Intune 中,必须将应用程序配置策略注册类型设置为“托管设备”。 此外,需要从Intune 公司门户 (安装应用(如果设置为可用) )或根据需要推送到设备。
注意
将 IntuneMAMUPN 应用配置设置部署到发送数据的目标托管应用。 将应用配置密钥添加到接收应用是可选的。
注意
目前,如果同一设备上存在已注册 MDM 的帐户,则不支持向应用上的其他用户注册。
使用 Intune 或第三方 MDM 提供程序将 Open-in 管理策略部署到已注册的设备。
示例 1:Intune或第三方 MDM 控制台中的管理员体验
转到Microsoft Intune管理中心或第三方 MDM 提供商。 转到将应用程序配置设置部署到已注册的 iOS 设备的管理中心部分。
在“应用程序配置”部分中,为将数据传输到 iOS 托管 应用的每个策略托管 应用输入以下设置,但基于 设备管理类型自动配置的应用除外:
key = IntuneMAMUPN,value = username@company.com
键/值对的确切语法可能因第三方 MDM 提供程序而异。 下表显示了第三方 MDM 提供程序的示例,以及应为键/值对输入的确切值。
第三方 MDM 提供程序 配置密钥 值类型 配置值 Microsoft Intune IntuneMAMUPN String {{userprincipalname}} Microsoft Intune IntuneMAMOID String {{userid}} VMware AirWatch IntuneMAMUPN String {UserPrincipalName} MobileIron IntuneMAMUPN String ${userUPN} 或 ${userEmailAddress} Citrix Endpoint Management IntuneMAMUPN String ${user.userprincipalname} ManageEngine Mobile 设备管理器 IntuneMAMUPN String %upn%
注意
对于 Outlook for iOS/iPadOS,如果使用“使用配置设计器”选项应用程序配置策略部署托管设备,并启用“仅允许工作或学校帐户”,则会在后台为策略自动配置配置密钥 IntuneMAMUPN。 有关详细信息,请参阅新 Outlook for iOS 和 Android 应用程序配置 策略体验 - 常规应用程序配置中的常见问题解答部分。
示例 2:最终用户体验
使用 OS 共享从策略托管应用共享到其他应用程序
用户在已注册的 iOS 设备上打开Microsoft OneDrive 应用并登录到其工作帐户。 用户输入的帐户必须与你在 Microsoft OneDrive 应用的应用配置设置中指定的帐户 UPN 匹配。
登录后,管理员配置的应用设置将应用于 Microsoft OneDrive 中的用户帐户。 这包括将 “将组织数据发送到其他应用” 设置配置为 具有 OS 共享值的策略托管应用 。
用户预览工作文件,并尝试通过 Open-in to iOS 托管应用进行共享。
数据传输成功,现在由 iOS 托管应用中的 Open-in 管理 保护数据。 Intune应用不适用于非策略托管应用的应用程序。
使用传入组织数据从 iOS 托管应用共享到策略托管应用
用户使用托管电子邮件配置文件在已注册的 iOS 设备上打开本机邮件。
用户打开从本机 Mail 到Microsoft Word的工作文档附件。
Word应用启动时,会发生以下两种体验之一:
- 在以下情况下,Intune APP 会保护数据:
- 用户登录到其工作帐户,该帐户与你在 Microsoft Word 应用的应用配置设置中指定的帐户 UPN 匹配。
- 管理员配置的应用设置应用于 Microsoft Word 中的用户帐户。 这包括将 “从其他应用接收数据 ”设置配置为 “具有传入组织数据的所有应用 ”值。
- 数据传输成功,并在应用中使用工作标识标记文档。 Intune APP 保护文档的用户操作。
- 在以下情况下,Intune APP 不会保护数据:
- 用户 未 登录到其工作帐户。
- 管理员配置的设置不会应用于Microsoft Word,因为用户未登录。
- 数据传输成功,并且文档 未 在应用中使用工作标识进行标记。 Intune APP 不会保护文档的用户操作,因为它不处于活动状态。
注意
用户可通过Word添加和使用其个人帐户。 当用户在工作上下文之外使用Word时,应用保护策略不适用。
- 在以下情况下,Intune APP 会保护数据:
验证第三方 EMM 的用户 UPN 设置
配置用户 UPN 设置后,验证 iOS 应用是否能够接收和遵守Intune应用保护策略。
例如, “需要应用 PIN” 策略设置易于测试。 当策略设置等于 “需要”时,用户应看到提示设置或输入 PIN,然后才能访问公司数据。
首先, 创建应用保护策略并将其分配给 iOS 应用。 有关如何测试应用保护策略的详细信息,请参阅 验证应用保护策略。