如何在 Microsoft Intune 中管理 iOS 應用程式之間的數據傳輸
若要協助保護公司數據,請將檔案傳輸限制為僅限您管理的應用程式。 您可以透過下列方式管理 iOS 應用程式:
設定應用程式的應用程式保護原則,以保護公司或學校帳戶的組織數據。 我們稱之為 受原則管理的應用程式。 請參閱 Microsoft Intune 受保護的應用程式。
透過 iOS 裝置管理部署和管理應用程式,這需要裝置註冊行動裝置 裝置管理 (MDM) 解決方案。 您部署的應用程式可以是 受原則管理的應用程式 或其他 iOS 管理的應用程式。
已註冊 iOS 裝置 的開啟管理 功能可以限制 iOS 受控應用程式之間的檔案傳輸。 使用應用程式保護原則設定 [開啟管理限制],此原則會使用 [開啟/共用] 篩選值將組織數據傳送至其他應用程式至受原則管理的應用程式,然後使用 Intune 部署原則。 當使用者安裝已部署的應用程式時,您設定的限制會根據指派的原則套用。
使用開啟管理來保護 iOS 應用程式和數據
使用 應用程式防護 原則搭配 iOS 開啟管理功能,以下列方式保護公司數據:
不受任何 MDM 解決方案管理的裝置: 您可以設定應用程式保護原則設定,以透過 [開 啟] 或 [ 共用擴充功能] 來控制與其他應用程式共享數據。 若要這樣做,請使用 [開啟/共用] 篩選值,將 [將 組織數據傳送至其他應用程式 ] 設定為 [受原則 管理的應用程式] 。 受原則管理應用程式中的[開啟/共用] 行為只會將其他受原則管理的應用程式顯示為共用的選項。 如需相關信息,請參閱 iOS/iPadOS 和 Android 應用程式、數據傳輸和 iOS 共用擴充功能的 應用程式防護 原則。
MDM 解決方案所管理的裝置:針對註冊 Intune 或第三方 MDM 解決方案的裝置,透過應用程式保護原則的應用程式與透過 MDM 部署的其他受控 iOS 應用程式之間的數據共用,是由 Intune 應用程式原則和 iOS 開啟管理功能所控制。 若要確定您使用 MDM 解決方案部署的應用程式也與 Intune 應用程式保護原則相關聯,請設定使用者 UPN 設定,如下一節設定使用者 UPN 設定中所述。 若要指定如何允許數據傳輸至其他 受原則管理的應用程式 和 iOS 受管理的應用程式,請將 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ 使用 OS 共用來管理原則的應用程式]。 若要指定如何允許應用程式接收來自其他應用程式的數據,請啟用 [從其他應用程式接收數據 ],然後選擇您慣用的接收數據層級。 如需接收和共用應用程式數據的詳細資訊,請參閱 數據重新配置設定。
設定 Microsoft Intune 或第三方 EMM 的使用者 UPN 設定
Intune 或第三方 EMM 解決方案所管理的裝置需要設定使用者 UPN 設定,才能在將數據傳輸至 iOS 受控應用程式時,識別傳送原則管理應用程式的已註冊用戶帳戶。 如需必要應用程式組態設定的詳細資訊,請參閱 裝置管理 類型。 UPN 設定適用於您從 Intune 部署的應用程式保護原則。
下列程式是如何設定 UPN 設定和產生使用者體驗的一般流程:
在 Microsoft Intune 系統管理中心,建立並指派 iOS/iPadOS 的應用程式保護原則。 根據公司需求設定原則設定,然後選取應該有此原則的 iOS 應用程式。
使用下列一般化步驟,部署您想要透過 Intune 或第三方 MDM 解決方案管理的應用程式和電子郵件設置檔。 範 例 1 也涵蓋此體驗。
將具有下列應用程式組態設定的應用程式部署至受控裝置:
key = IntuneMAMUPN, value = username@company.com
範例:['IntuneMAMUPN', 'janellecraig@contoso.com']
注意事項
在 Intune 中,應用程式組態 原則註冊類型必須設定為受控裝置。 此外,如果應用程式設定為可用) 或視需要推送至裝置,則必須從 Intune 公司入口網站 (安裝應用程式。
注意事項
將 IntuneMAMUPN 應用程式組態設定部署至傳送數據的目標受控應用程式。 將應用程式組態金鑰新增至接收應用程式是選擇性的。
注意事項
目前,如果相同裝置上有 MDM 註冊的帳戶,則不支援在應用程式上向不同的用戶註冊。
使用 Intune 或您的第三方 MDM 提供者將開啟管理原則部署到已註冊的裝置。
範例 1:在 Intune 或第三方 MDM 控制台中 管理員 體驗
移至 Microsoft Intune 系統管理中心或您的第三方 MDM 提供者。 移至系統管理中心的 區段,您會在其中將應用程式組態設定部署至已註冊的iOS裝置。
在 [應用程式組態] 區段中,針對將數據傳輸至 iOS 受控應用程式的每個受原則管理 應用程式 輸入下列設定,但根據 裝置管理類型自動設定的應用程式除外:
key = IntuneMAMUPN, value = username@company.com
索引鍵/值組的確切語法可能會根據您的第三方 MDM 提供者而有所不同。 下表顯示第三方 MDM 提供者的範例,以及您應該為索引鍵/值組輸入的確切值。
第三方 MDM 提供者 組態金鑰 值類型 組態值 Microsoft Intune IntuneMAMUPN 字串 {{userprincipalname}} Microsoft Intune IntuneMAMOID 字串 {{userid}} VMware AirWatch IntuneMAMUPN 字串 {UserPrincipalName} MobileIron IntuneMAMUPN 字串 ${userUPN} 或 ${userEmailAddress} Citrix 端點管理 IntuneMAMUPN 字串 ${user.userprincipalname} ManageEngine Mobile 裝置管理員 IntuneMAMUPN 字串 %upn%
注意事項
針對 iOS/iPadOS 版 Outlook,如果您使用 [使用設定設計工具] 選項來部署受管理的裝置 應用程式組態 原則,並啟用 [只允許公司或學校帳戶],則會在幕後自動為原則設定設定密鑰 IntuneMAMUPN。 如需詳細資訊,請參閱 iOS 版和 Android 版新 Outlook 應用程式組態 原則體驗 – 一般 應用程式組態 中的常見問題一節。
範例 2:用戶體驗
使用OS共用從 受原則管理的應用程式 共用至其他應用程式
使用者會在已註冊的 iOS 裝置上開啟 Microsoft OneDrive 應用程式,並登入其工作帳戶。 使用者輸入的帳戶必須符合您在 Microsoft OneDrive 應用程式的應用程式組態設定中指定的帳戶 UPN。
登入之後,系統管理員設定的應用程式設定會套用至 Microsoft OneDrive 中的用戶帳戶。 這包括將 [將 組織數據傳送至其他應用程式 ] 設定設定為具有 OS共用值的原則受控應用程式 。
用戶預覽工作檔案,並嘗試透過[開啟至 iOS 管理的應用程式] 共用。
數據傳輸成功,且數據現在受到iOS受控應用程式 中的開啟管理 保護。 Intune 應用程式不適用於非受原則管理應用程式的應用程式。
使用傳入組織數據從iOS受控應用程式共用至受原則管理的應用程式
使用者使用受控電子郵件設置檔在已註冊的 iOS 裝置上開啟原生郵件。
用戶會開啟原生郵件的工作檔附件,以Microsoft Word。
當 Word 應用程式啟動時,會發生兩種體驗之一:
- 當下列狀況下,Intune APP 會保護數據:
- 使用者已登入其工作帳戶,其符合您在應用程式組態設定中指定的帳戶 UPN,Microsoft Word 應用程式。
- 系統管理員設定的應用程式設定會套用至Microsoft Word 中的用戶帳戶。 這包括將 [ 從其他應用程式接收數據 ] 設定為 [ 所有具有傳入組織數據的應用程式 ] 值。
- 數據傳輸成功,且檔會在應用程式中標記工作身分識別。 Intune APP 會保護檔的用戶動作。
- 當下列狀況下,Intune APP 不會保護數據:
- 使用者 未 登入其工作帳戶。
- 系統管理員設定的設定不會套用至Microsoft Word,因為使用者未登入。
- 數據傳輸成功,且檔 未 標記為應用程式中的工作身分識別。 Intune APP 不會保護檔的使用者動作,因為它不在使用中。
注意事項
用戶可以使用 Word 來新增和使用其個人帳戶。 當使用者在工作內容外部使用 Word 時,應用程式防護 原則不適用。
- 當下列狀況下,Intune APP 會保護數據:
驗證第三方 EMM 的使用者 UPN 設定
設定使用者 UPN 設定之後,請驗證 iOS 應用程式接收並遵守 Intune 應用程式保護原則的能力。
例如, [需要應用程式 PIN] 原則設定很容易測試。 當原則設定等於 [需要] 時,用戶應該會看到設定或輸入 PIN 的提示,才能存取公司數據。
首先, 建立應用程式保護原則並指派 給iOS應用程式。 如需如何測試應用程式保護原則的詳細資訊,請參閱 驗證應用程式保護原則。