共用方式為

針對應用程式之間的數據傳輸進行疑難解答

  • 發行項

本文提供針對Microsoft Intune 應用程式保護原則 (APP) 設計來允許數據傳輸無法如預期運作之案例的疑難解答指引。 Intune APP 最常見的用途是數據保護,控制應用程式受控應用程式(應用程式)之間的公司數據傳輸,以及限制數據傳輸至非受控應用程式。 例如,使用者可以將公司數據從 Microsoft Outlook 應用程式傳輸到 Microsoft Excel 應用程式(兩者皆受原則管理),但不能傳送至 Dropbox 行動應用程式(非受控應用程式)。

在套用 Intune APP 進行數據保護時,主要非預期的行為會看見您的使用者無法在受管理的應用程式之間傳輸數據,例如 Outlook 和 Teams。 在這種情況下,請使用本文中的疑難解答步驟來協助診斷和解決問題。 如需一般應用程式疑難解答,請參閱 在 Intune 中針對應用程式保護原則部署進行疑難解答。

確認您使用的是支援的平臺、OS 版本和應用程式

確認您已符合使用應用程式保護原則的必要條件。 支援的平臺、作業系統 (OS) 版本和應用程式有一些需求。

確認帳戶是公司帳戶,且檔案為公司數據

Intune 應用程式保護原則 (APP) 的範圍僅涵蓋公司帳戶和數據。 您無法使用 APP 來保護個人帳戶或管理個人資料的傳輸。 若要正確套用 APP,您必須確定您用來登入受控應用程式的帳戶是公司帳戶,而您嘗試共享的數據就是公司數據。 請檢閱下列項目:

  • 公司帳戶: 用戶帳戶屬於貴公司Microsoft Entra 租使用者,且被視為公司帳戶。 這些帳戶可以使用 Microsoft Entra Connect 與 內部部署的 Active Directory 同步處理。 您必須將 Intune 授權指派給使用者,才能使用 APP。

  • 公司數據:儲存在受管理位置的數據,例如 商務用 OneDrive 或 SharePoint Online,會被視為公司數據。 儲存在個人、本機儲存位置的數據不會被視為公司數據。 使用受控Microsoft Office 應用程式 建立的檔案(例如 Word 或 Excel),只有在儲存到受控位置(商務用 OneDrive 和 SharePoint Online)時,才會被視為公司數據。 如果您將 Office 檔案儲存至 商務用 OneDrive,則會將其視為公司數據。 儲存至本機記憶體或其他非受控位置的檔案會被視為個人資料,不受APP保護。 如果在使用公司帳戶登入時建立電子郵件,Microsoft Outlook 應用程式中的草稿、傳送和接收電子郵件會被視為公司數據。

  • 多重身分識別應用程式: 某些應用程式,例如 Outlook 和 OneDrive,支援多重身分識別,可讓您同時將公司和個人帳戶新增至應用程式。 在此案例中,公司帳戶下的檔案、電子郵件和檔會被視為公司數據並受到APP保護。 例如,儲存在 商務用 OneDrive 和 Outlook 電子郵件和附件中的檔案會被視為公司數據。 您可以使用 APP 來限制此資料的傳輸資料。 另一方面,個人帳戶下的 OneDrive 檔案和 Outlook 電子郵件會被視為個人資料,不受 APP 保護。 您無法使用 APP 限制這些帳戶的數據傳輸。

針對 Android,請檢查應用程式是否在工作設定檔中

如果您使用 Android 工作設定檔案裝置,請確定您的使用者正在使用公司數據時使用工作設定檔應用程式。 若要將 Intune APP 套用至這些裝置,您必須在工作配置檔中安裝 Intune 公司入口網站 應用程式。 如需安裝 公司入口網站 應用程式的相關信息,請參閱使用 Microsoft Intune 新增 Windows 10 公司入口網站 應用程式。

工作配置檔中的應用程式會以應用程式圖示上的公事包徽章來識別。

顯示公事包徽章的 Android 工作設定檔應用程式圖示。

如需 Android 工作設定檔的詳細資訊,請參閱 Android 工作設定檔簡介。

確認預期的應用程式設定已套用至應用程式

檢查 Intune 和裝置端所設定的應用程式保護原則設定。 本檔 Intune 中檢閱 APP 設定一節中的表格提供一般指導方針,以確認您已在系統管理中心正確設定設定。 確認之後,請確認相同的設定已套用至裝置上的應用程式。

在 Intune 中檢閱應用程式設定

Intune 系統管理中心中,您可以在 [應用程式> 應用程式防護 原則] 底下建立和管理應用程式保護原則。 數據保護一節包含數據傳輸案例的重要設定,您應該檢閱您是否看到非預期的行為。 下表列出數據保護的常見應用程式設定及其使用案例。

設定名稱 OS 設定值 使用案例
將組織數據傳送至其他應用程式 Android 受原則管理的應用程式 將數據傳輸限制為受原則管理的應用程式。 數據可以傳輸至 Unmanaged 應用程式,但數據已加密且無法開啟。
iOS/iPadOS 使用OS共享的原則受控應用程式 數據傳輸可以透過套用 「IntuneMAMUPN」 應用程式設定原則,限制為受原則管理和非受控應用程式。

請參閱 iOS/iPadOS 安全性應用程式設定原則,以及如何管理 Microsoft Intune 中 iOS 應用程式之間的數據傳輸。
iOS 使用 Open-In/Share 篩選的原則受控應用程式 藉由篩選共用延伸模組中顯示的應用程式來限制數據傳輸。 使用此設定共用檔案會將可用的應用程式限制為僅支援 Intune APP 的應用程式。
選取要豁免的應用程式 iOS 自訂 URI 配置 允許數據傳輸至特定的 Unmanaged 應用程式。
Android 應用程式套件識別碼 允許數據傳輸至特定的 Unmanaged 應用程式。
選取要豁免的通用連結 iOS/iPadOS URL 字串 指定 Unmanaged 應用程式以開啟 URL 連結,而不是Microsoft Edge。
選取受控通用連結 iOS/iPadOS URL 字串 指定受控應用程式以開啟 URL 連結,而不是Microsoft Edge。
儲存組織資料的複本 全部 封鎖 封鎖或限制檔案儲存位置。
允許使用者將複本儲存至選取的服務 全部 商務用 OneDrive、SharePoint、Box、本機儲存空間、相片庫 指定受控檔案儲存位置。 其他位置會遭到封鎖或數據保持加密。
從其他應用程式接收數據 全部 所有應用程式 允許受控應用程式從任何應用程式接收數據,包括非受控應用程式。
iOS/iPadOS 所有內送組織數據的應用程式 允許受控應用程式從任何應用程式接收數據,包括非受控應用程式。
全部 受原則管理的應用程式 只允許應用程式從受原則管理的應用程式接收數據。
全部 封鎖來自任何應用程式的傳入數據。
將數據開啟至組織檔 全部 允許 允許從任何數據源開啟數據。
全部 封鎖 限制從特定數據源開啟數據。
允許使用者從選取的服務開啟數據 全部 商務用 OneDrive、SharePoint、相機、相片庫 選取允許數據源應用程式從中開啟數據。
限制與其他應用程式的 Web 內容傳輸 全部 Microsoft Edge 指定受原則管理Microsoft Edge 應用程式以開啟 URL 連結。

如需詳細資訊,請參閱 iOS/iPadOS 應用程式保護原則設定Android 應用程式保護原則設定

使用 Microsoft Edge 檢閱裝置端的應用程式設定

在 Microsoft Edge 中執行 Intune 診斷,以檢查套用至裝置上每個受控應用程式的應用程式設定。

  1. 在裝置上開啟 Microsoft Edge,然後輸入 url about:intunehelpIntune 診斷 將會開啟,如下列範例所示。

  2. 點選 [檢視 Intune 應用程式狀態 ](iOS/iPadOS)或 [檢視應用程式資訊 ] [Android],以查看套用至裝置上每個應用程式的應用程式設定。

  3. 比較此檢視中的設定值與 Intune 中所設定的值。

    如需這些設定值的說明,請參閱 檢閱用戶端應用程式保護記錄

iOS/iPadOS 裝置上 Intune 診斷的並存螢幕快照(左側)和 Android 裝置(右)。

注意:您也可以在此檢視中驗證應用程式版本和 Intune App SDK 版本。

比較行為與其他裝置、使用者、應用程式和模式

藉由比較裝置、使用者、應用程式和作業上的行為來針對問題進行疑難解答,以協助區分和縮小根本原因。 嘗試在其他裝置上識別或重現問題,並與其他使用者一起了解問題是否專屬於一部裝置或裝置子集。 如果您在其他裝置上看不到問題,請嘗試找出有問題的裝置有何不同,例如使用者群組、裝置型號、操作系統版本等。

它也有助於比較應用程式之間的行為。 您在 Excel 應用程式看到的問題,Word 應用程式可能不會發生。 當您進行這些比較時,請務必注意應用程式版本和 Intune App SDK 版本,因為非預期的行為可能專屬於版本。 建議您定期將應用程式更新為可用的最新版本。