共用方式為


如何在 Microsoft Intune 中管理 iOS 應用程式之間的數據傳輸

若要協助保護公司數據,請將檔案傳輸限制為僅限您管理的應用程式。 您可以透過下列方式管理 iOS 應用程式:

  • 設定應用程式的應用程式保護原則,以保護公司或學校帳戶的組織數據。 我們稱之為 受原則管理的應用程式。 請參閱 Microsoft Intune 受保護的應用程式

  • 透過 iOS 裝置管理部署和管理應用程式,這需要裝置註冊行動裝置 裝置管理 (MDM) 解決方案。 您部署的應用程式可以是 受原則管理的應用程式 或其他 iOS 管理的應用程式。

已註冊 iOS 裝置 的開啟管理 功能可以限制 iOS 受控應用程式之間的檔案傳輸。 使用應用程式保護原則設定 [開啟管理限制],此原則會使用 [開啟/共用] 篩選值將組織數據傳送至其他應用程式至受原則管理的應用程式,然後使用 Intune 部署原則。 當使用者安裝已部署的應用程式時,您設定的限制會根據指派的原則套用。

使用開啟管理來保護 iOS 應用程式和數據

使用 應用程式防護 原則搭配 iOS 開啟管理功能,以下列方式保護公司數據:

  • 不受任何 MDM 解決方案管理的裝置: 您可以設定應用程式保護原則設定,以透過 [開 啟] 或 [ 共用擴充功能] 來控制與其他應用程式共享數據。 若要這樣做,請使用 [開啟/共用] 篩選值,將 [將 組織數據傳送至其他應用程式 ] 設定為 [受原則 管理的應用程式] 。 受原則管理應用程式中的[開啟/共用] 行為只會將其他受原則管理的應用程式顯示為共用的選項。 如需相關信息,請參閱 iOS/iPadOS 和 Android 應用程式數據傳輸iOS 共用擴充功能的 應用程式防護 原則。

  • MDM 解決方案所管理的裝置:針對註冊 Intune 或第三方 MDM 解決方案的裝置,透過應用程式保護原則的應用程式與透過 MDM 部署的其他受控 iOS 應用程式之間的數據共用,是由 Intune 應用程式原則和 iOS 開啟管理功能所控制。 若要確定您使用 MDM 解決方案部署的應用程式也與 Intune 應用程式保護原則相關聯,請設定使用者 UPN 設定,如下一節設定使用者 UPN 設定中所述。 若要指定如何允許數據傳輸至其他 受原則管理的應用程式 和 iOS 受管理的應用程式,請將 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ 使用 OS 共用來管理原則的應用程式]。 若要指定如何允許應用程式接收來自其他應用程式的數據,請啟用 [從其他應用程式接收數據 ],然後選擇您慣用的接收數據層級。 如需接收和共用應用程式數據的詳細資訊,請參閱 數據重新配置設定

設定 Microsoft Intune 或第三方 EMM 的使用者 UPN 設定

Intune 或第三方 EMM 解決方案所管理的裝置需要設定使用者 UPN 設定,才能在將數據傳輸至 iOS 受控應用程式時,識別傳送原則管理應用程式的已註冊用戶帳戶。 如需必要應用程式組態設定的詳細資訊,請參閱 裝置管理 類型。 UPN 設定適用於您從 Intune 部署的應用程式保護原則。

下列程式是如何設定 UPN 設定和產生使用者體驗的一般流程:

  1. Microsoft Intune 系統管理中心,建立並指派 iOS/iPadOS 的應用程式保護原則。 根據公司需求設定原則設定,然後選取應該有此原則的 iOS 應用程式。

  2. 使用下列一般化步驟,部署您想要透過 Intune 或第三方 MDM 解決方案管理的應用程式和電子郵件設置檔。 範 例 1 也涵蓋此體驗。

  3. 將具有下列應用程式組態設定的應用程式部署至受控裝置:

    key = IntuneMAMUPN, value = username@company.com

    範例:['IntuneMAMUPN', 'janellecraig@contoso.com']

    注意事項

    在 Intune 中,應用程式組態 原則註冊類型必須設定為受控裝置。 此外,如果應用程式設定為可用) 或視需要推送至裝置,則必須從 Intune 公司入口網站 (安裝應用程式。

    注意事項

    將 IntuneMAMUPN 應用程式組態設定部署至傳送數據的目標受控應用程式。 將應用程式組態金鑰新增至接收應用程式是選擇性的。

    注意事項

    目前,如果相同裝置上有 MDM 註冊的帳戶,則不支援在應用程式上向不同的用戶註冊。

  4. 使用 Intune 或您的第三方 MDM 提供者將開啟管理原則部署到已註冊的裝置。

範例 1:在 Intune 或第三方 MDM 控制台中 管理員 體驗

  1. 移至 Microsoft Intune 系統管理中心或您的第三方 MDM 提供者。 移至系統管理中心的 區段,您會在其中將應用程式組態設定部署至已註冊的iOS裝置。

  2. 在 [應用程式組態] 區段中,針對將數據傳輸至 iOS 受控應用程式的每個受原則管理 應用程式 輸入下列設定,但根據 裝置管理類型自動設定的應用程式除外:

    key = IntuneMAMUPN, value = username@company.com

    索引鍵/值組的確切語法可能會根據您的第三方 MDM 提供者而有所不同。 下表顯示第三方 MDM 提供者的範例,以及您應該為索引鍵/值組輸入的確切值。

    第三方 MDM 提供者 組態金鑰 值類型 組態值
    Microsoft Intune IntuneMAMUPN 字串 {{userprincipalname}}
    Microsoft Intune IntuneMAMOID 字串 {{userid}}
    VMware AirWatch IntuneMAMUPN 字串 {UserPrincipalName}
    MobileIron IntuneMAMUPN 字串 ${userUPN} ${userEmailAddress}
    Citrix 端點管理 IntuneMAMUPN 字串 ${user.userprincipalname}
    ManageEngine Mobile 裝置管理員 IntuneMAMUPN 字串 %upn%

注意事項

針對 iOS/iPadOS 版 Outlook,如果您使用 [使用設定設計工具] 選項來部署受管理的裝置 應用程式組態 原則,並啟用 [只允許公司或學校帳戶],則會在幕後自動為原則設定設定密鑰 IntuneMAMUPN。 如需詳細資訊,請參閱 iOS 版和 Android 版新 Outlook 應用程式組態 原則體驗 – 一般 應用程式組態 中的常見問題一節。

範例 2:用戶體驗

使用OS共用從 受原則管理的應用程式 共用至其他應用程式

  1. 使用者會在已註冊的 iOS 裝置上開啟 Microsoft OneDrive 應用程式,並登入其工作帳戶。 使用者輸入的帳戶必須符合您在 Microsoft OneDrive 應用程式的應用程式組態設定中指定的帳戶 UPN。

  2. 登入之後,系統管理員設定的應用程式設定會套用至 Microsoft OneDrive 中的用戶帳戶。 這包括將 [將 組織數據傳送至其他應用程式 ] 設定設定為具有 OS共用值的原則受控應用程式

  3. 用戶預覽工作檔案,並嘗試透過[開啟至 iOS 管理的應用程式] 共用。

  4. 數據傳輸成功,且數據現在受到iOS受控應用程式 中的開啟管理 保護。 Intune 應用程式不適用於非受原則管理應用程式的應用程式

使用傳入組織數據從iOS受控應用程式共用受原則管理的應用程式

  1. 使用者使用受控電子郵件設置檔在已註冊的 iOS 裝置上開啟原生郵件。

  2. 用戶會開啟原生郵件的工作檔附件,以Microsoft Word。

  3. 當 Word 應用程式啟動時,會發生兩種體驗之一:

    1. 當下列狀況下,Intune APP 會保護數據:
      • 使用者已登入其工作帳戶,其符合您在應用程式組態設定中指定的帳戶 UPN,Microsoft Word 應用程式。
      • 系統管理員設定的應用程式設定會套用至Microsoft Word 中的用戶帳戶。 這包括將 [ 從其他應用程式接收數據 ] 設定為 [ 所有具有傳入組織數據的應用程式 ] 值。
      • 數據傳輸成功,且檔會在應用程式中標記工作身分識別。 Intune APP 會保護檔的用戶動作。
    2. 當下列狀況下,Intune APP 不會保護數據:
      • 使用者 登入其工作帳戶。
      • 系統管理員設定的設定不會套用至Microsoft Word,因為使用者未登入。
      • 數據傳輸成功,且檔 標記為應用程式中的工作身分識別。 Intune APP 不會保護檔的使用者動作,因為它不在使用中。

    注意事項

    用戶可以使用 Word 來新增和使用其個人帳戶。 當使用者在工作內容外部使用 Word 時,應用程式防護 原則不適用。

驗證第三方 EMM 的使用者 UPN 設定

設定使用者 UPN 設定之後,請驗證 iOS 應用程式接收並遵守 Intune 應用程式保護原則的能力。

例如, [需要應用程式 PIN] 原則設定很容易測試。 當原則設定等於 [需要] 時,用戶應該會看到設定或輸入 PIN 的提示,才能存取公司數據。

首先, 建立應用程式保護原則並指派 給iOS應用程式。 如需如何測試應用程式保護原則的詳細資訊,請參閱 驗證應用程式保護原則

另請參閱

什麼是 Intune 應用程式保護原則