排查应用之间的数据传输问题
本文提供有关Microsoft Intune 应用保护策略(APP)旨在允许数据传输无法按预期方式工作的场景的故障排除指南。 Intune APP 的最常见用途是数据保护,用于控制应用托管应用程序(应用)之间的公司数据传输,以及将数据传输限制为非托管应用。 例如,用户可以将公司数据从 Microsoft Outlook 应用传输到 Microsoft Excel 应用(同时由策略管理),但不能传输到 Dropbox 移动应用(非托管应用)。
应用 Intune APP 进行数据保护时,主要意外行为将看到用户无法在托管应用(如 Outlook 和 Teams)之间传输数据。 在这种情况下,请使用本文中的故障排除步骤来帮助诊断和解决问题。 有关常规应用故障排除,请参阅 Intune 中的应用保护策略部署故障排除。
确认你使用的是受支持的平台、OS 版本和应用
确认已满足使用应用保护策略的先决条件。 支持的平台、操作系统(OS)版本和应用有一些要求。
支持的平台:iOS、iPadOS 和 Android 支持应用保护策略。 但是, 不支持共享 iPad 设备和 Android Enterprise 专用设备 。
支持的 OS 版本: 检查你使用的是受支持的 OS 和版本。 请注意应用保护策略的任何特殊版本要求,如 Intune 中支持的操作系统和浏览器中所述。 支持的操作系统会随着时间而变化,旧版本将变得不受支持。 此外,请确保 OS 也满足你使用的每个应用的要求。
支持的应用: 应用需要与 Microsoft Intune App SDK 集成才能支持应用保护策略。 有关受支持的Microsoft和合作伙伴应用程序的列表,请参阅 Microsoft Intune 保护的应用。
验证该帐户是否为公司帐户,并且该文件是否为公司数据
Intune 应用保护策略(APP)的范围仅涵盖公司帐户和数据。 不能使用 APP 来保护个人帐户或管理个人数据的传输。 若要正确应用 APP,需要确保用于登录托管应用的帐户是公司帐户,而尝试共享的数据是公司数据。 查看以下内容:
公司帐户: 用户帐户属于公司的Microsoft Entra 租户,被视为公司帐户。 可以使用 Microsoft Entra Connect 将这些帐户与本地 Active Directory同步。 必须将 Intune 许可证分配给用户使用 APP。
公司数据: 存储在托管位置(如 OneDrive for Business 或 SharePoint Online)中的数据被视为公司数据。 存储在个人、本地存储位置中的数据不被视为公司数据。 仅当保存到托管位置(OneDrive for Business 和 SharePoint Online)时,才会将使用托管Microsoft 办公室应用(如 Word 或 Excel)创建的文件视为公司数据。 如果将 Office 文件保存到 OneDrive for Business,它们将被视为公司数据。 保存到本地存储或其他非托管位置的文件被视为个人数据,不受 APP 保护。 如果在使用公司帐户登录时创建电子邮件,则 outlook 应用中的草稿、发送和接收 Microsoft的电子邮件被视为公司数据。
多标识应用:某些应用程序(如 Outlook 和 OneDrive)支持多标识,允许同时向应用添加企业和个人帐户。 在此方案中,公司帐户下的文件、电子邮件和文档被视为公司数据并受 APP 保护。 例如,存储在 OneDrive for Business 和 Outlook 电子邮件和附件中的文件被视为公司数据。 可以使用 APP 限制此数据的传输数据。 另一方面,个人帐户下的 OneDrive 文件和 Outlook 电子邮件被视为个人数据,不受 APP 保护。 不能使用 APP 限制这些帐户的数据传输。
对于 Android,请检查应用是否在工作配置文件中
如果使用 Android 工作配置文件设备,请确保用户在处理公司数据时使用工作配置文件应用。 若要将这些设备应用 Intune APP,必须在工作配置文件中安装Intune 公司门户应用。 有关安装公司门户应用的信息,请参阅使用 Microsoft Intune 添加 Windows 10 公司门户 应用。
工作配置文件中的应用使用应用图标上的公文包锁屏提醒进行标识。
有关 Android 工作配置文件的详细信息,请参阅 Android 工作配置文件简介。
确认预期应用设置已应用于应用
在 Intune 和设备端配置的设置上检查应用保护策略设置。 本文档 Intune 部分中的“查看 APP 设置”部分中的表提供了一般准则,用于确认已在管理中心正确配置了设置。 确认后,请验证是否将相同的设置应用于设备上的应用。
在 Intune 中查看 APP 设置
在 Intune 管理中心,可以在“应用>”下创建和管理应用保护策略应用保护策略。 数据保护部分包括数据传输方案的重要设置,如果看到意外行为,则应查看这些设置。 下表列出了数据保护的常见 APP 设置及其用例。
| 设置名 | 操作系统 | 设置值 | 用例 |
|---|---|---|---|
| 将数据发送到其他应用 | Android | 策略管理的应用 | 将数据传输限制为策略托管应用。 可将数据传输到非托管应用,但数据已加密,无法打开。 |
| iOS/iPadOS | 使用 OS 共享的策略托管应用 | 可以通过应用“IntuneMAMUPN”应用配置策略,将数据传输限制为策略托管和非托管应用。 请参阅 iOS/iPadOS 安全应用配置策略,以及如何在 Microsoft Intune 中管理 iOS 应用之间的数据传输。 |
|
| iOS | 使用 Open-In/Share 筛选的策略托管应用 | 通过筛选共享扩展中显示的应用来限制数据传输。 使用此设置共享文件会将可用的应用限制为仅支持 Intune APP 的应用。 | |
| 选择要免除的应用 | iOS | 自定义 URI 方案 | 允许数据传输到特定的非托管应用。 |
| Android | 应用 packageIDs | 允许数据传输到特定的非托管应用。 | |
| 选择要免除的通用链接 | iOS/iPadOS | URL 字符串 | 指定非托管应用以打开 URL 链接,而不是Microsoft Edge。 |
| 选择托管通用链接 | iOS/iPadOS | URL 字符串 | 指定托管应用以打开 URL 链接,而不是Microsoft Edge。 |
| 保存组织数据的副本 | All | 阻止 | 阻止或限制文件保存位置。 |
| 允许用户将副本保存到所选服务 | All | OneDrive for Business、SharePoint、Box、本地存储、照片库 | 指定托管文件保存位置。 其他位置被阻止或数据保持加密。 |
| 从其他应用接收数据 | All | 所有应用 | 允许托管应用从任何应用(包括非托管应用)接收数据。 |
| iOS/iPadOS | 包含传入组织数据的所有应用 | 允许托管应用从任何应用(包括非托管应用)接收数据。 | |
| All | 策略管理的应用 | 允许应用仅从策略托管应用接收数据。 | |
| All | 无 | 阻止来自任何应用的传入数据。 | |
| 将数据打开组织文档 | All | 允许 | 允许从任何数据源打开数据。 |
| All | 阻止 | 限制从特定数据源打开数据。 | |
| 允许用户从所选服务打开数据 | All | OneDrive for Business、SharePoint、相机、照片库 | 选择允许数据源应用从中打开数据。 |
| 限制与其他应用传输 Web 内容 | All | Microsoft Edge | 指定策略管理的 Microsoft Edge 应用以打开 URL 链接。 |
有关详细信息,请参阅 iOS/iPadOS 应用保护策略设置 和 Android 应用保护策略设置。
使用 Microsoft Edge 查看设备端的应用设置
在 Microsoft Edge 中运行 Intune 诊断,检查应用于设备上的每个托管应用程序的 APP 设置。
在设备上打开 Microsoft Edge 并输入 URL about :intunehelp。 Intune 诊断 将打开,如以下示例所示。
点击 “查看 Intune 应用状态 ”(iOS/iPadOS)或 “查看应用信息 ”(Android),查看应用于设备上的每个应用的应用设置。
将此视图中的设置值与 Intune 中配置的设置值进行比较。
有关这些设置值的说明,请参阅 “查看客户端应用保护日志”。
注意:还可以在此视图中验证应用版本和 Intune App SDK 版本。
将行为与其他设备、用户、应用和模式进行比较
通过比较设备、用户、应用和操作上的行为来排查问题,以帮助分离和缩小根本原因。 尝试在其他设备上识别或重现问题,并与其他用户一起了解该问题是否特定于一台设备或一部分设备。 如果在其他设备上看不到此问题,请尝试确定与有问题的设备有何不同,例如用户组、设备模型、OS 版本等。
它还有助于比较应用之间的行为。 在 Excel 应用中看到的问题可能不会在 Word 应用中发生。 执行这些比较时,请务必注意应用版本和 Intune App SDK 版本,因为意外行为可能特定于版本。 建议定期将应用更新为可用的最新版本。