Hantera dataöverföring mellan iOS-appar i Microsoft Intune

  • Artikel

För att skydda företagsdata begränsar du filöverföringar till endast de appar som du hanterar. Du kan hantera iOS-appar på följande sätt:

  • Skydda organisationsdata för arbets- eller skolkonton genom att konfigurera en appskyddsprincip för apparna. som vi kallar principhanterade appar. Se Microsoft Intune skyddade appar.

  • Distribuera och hantera apparna via iOS-enhetshantering, vilket kräver att enheter registreras i en MDM-lösning (Mobile Enhetshantering). De appar som du distribuerar kan vara principhanterade appar eller andra iOS-hanterade appar.

Funktionen Öppna i hantering för registrerade iOS-enheter kan begränsa filöverföringar mellan iOS-hanterade appar. Ange begränsningar för öppna i-hantering med hjälp av en appskyddsprincip som anger Skicka organisationsdata till andra appar till principhanterade appar med filtreringsvärdet Öppna i/Dela och distribuera sedan principen med hjälp av Intune. När en användare installerar den distribuerade appen tillämpas de begränsningar som du anger baserat på den tilldelade principen.

Använda Öppen hantering för att skydda iOS-appar och data

Använd Appskydd principer med funktionen öppna iOS-hantering för att skydda företagsdata på följande sätt:

  • Enheter som inte hanteras av någon MDM-lösning: Du kan ange inställningar för appskyddsprinciper för att styra delning av data med andra program via Open-in- eller Share-tillägg. Det gör du genom att konfigurera inställningen Skicka organisationsdata till andra appar till Principhanterade appar med filtreringsvärdet Öppna i/Dela . Beteendet Öppna i/Dela i den principhanterade appen visar endast andra principhanterade appar som alternativ för delning. Relaterad information finns i Appskydd principer för iOS/iPadOS- och Android-appar, dataöverföring och iOS-delningstillägg.

  • Enheter som hanteras av MDM-lösningar: För enheter som registrerats i Intune eller MDM-lösningar från tredje part styrs datadelning mellan appar med appskyddsprinciper och andra hanterade iOS-appar som distribueras via MDM av Intune APP-principer och iOS-funktionen för öppen hantering. Om du vill se till att appar som du distribuerar med hjälp av en MDM-lösning också är associerade med dina Intune appskyddsprinciper konfigurerar du inställningen för användar-UPN enligt beskrivningen i följande avsnitt Konfigurera upn-inställning för användare. Om du vill ange hur du vill tillåta dataöverföring till andra principhanterade appar och iOS-hanterade appar konfigurerar du inställningen Skicka organisationsdata till andra appar till Principhanterade appar med OS-delning. Om du vill ange hur du vill tillåta att en app tar emot data från andra appar aktiverar du Ta emot data från andra appar och väljer sedan önskad nivå för att ta emot data. Mer information om hur du tar emot och delar appdata finns i Inställningar för dataflytt.

Konfigurera användarens UPN-inställning för Microsoft Intune eller EMM från tredje part

Konfiguration av användarens UPN-inställning krävs för enheter som hanteras av Intune eller en EMM-lösning från tredje part för att identifiera det registrerade användarkontot för den principhanterade appen som skickas när data överförs till en iOS-hanterad app. UPN-konfigurationen fungerar med de appskyddsprinciper som du distribuerar från Intune. Följande procedur är ett allmänt flöde för hur du konfigurerar UPN-inställningen och den resulterande användarupplevelsen:

  1. I Microsoft Intune administrationscenterskapar och tilldelar du en appskyddsprincip för iOS/iPadOS. Konfigurera principinställningar enligt företagets krav och välj de iOS-appar som ska ha den här principen.

  2. Distribuera de appar och den e-postprofil som du vill ska hanteras via Intune eller din MDM-lösning från tredje part med hjälp av följande generaliserade steg. Den här upplevelsen omfattas också av exempel 1.

  3. Distribuera appen med följande appkonfigurationsinställningar till den hanterade enheten:

    key = IntuneMAMUPN, value = username@company.com

    Exempel: ['IntuneMAMUPN', 'janellecraig@contoso.com']

    Obs!

    I Intune måste App Configuration principregistreringstypen anges till Hanterade enheter. Dessutom måste appen antingen installeras från Intune-företagsportal (om den anges som tillgänglig) eller push-överföras efter behov till enheten.

    Obs!

    Distribuera intuneMAMUPN-appkonfigurationsinställningar till den hanterade målappen som skickar data. Det är valfritt att lägga till appkonfigurationsnyckeln i den mottagande appen.

    Obs!

    För närvarande finns det inget stöd för registrering med en annan användare i en app om det finns ett MDM-registrerat konto på samma enhet.

  4. Distribuera principen För öppen hantering med hjälp av Intune eller mdm-providern från tredje part till registrerade enheter.

Exempel 1: Admin erfarenhet av Intune eller MDM-konsol från tredje part

  1. Gå till Microsoft Intune administrationscenter eller mdm-providern från tredje part. Gå till avsnittet i administrationscentret där du distribuerar programkonfigurationsinställningar till registrerade iOS-enheter.

  2. I avsnittet Programkonfiguration anger du följande inställning för varje principhanterad app som ska överföra data till iOS-hanterade appar:

    key = IntuneMAMUPN, value = username@company.com

    Den exakta syntaxen för nyckel/värde-paret kan variera beroende på mdm-providern från tredje part. I följande tabell visas exempel på MDM-providrar från tredje part och de exakta värden som du bör ange för nyckel/värde-paret.

    MDM-provider från tredje part Konfigurationsnyckel Värdetyp Konfigurationsvärde
    Microsoft Intune IntuneMAMUPN Sträng {{userprincipalname}}
    Microsoft Intune IntuneMAMOID Sträng {{userid}}
    VMware AirWatch IntuneMAMUPN Sträng {UserPrincipalName}
    MobileIron IntuneMAMUPN Sträng ${userUPN} eller ${userEmailAddress}
    Citrix-slutpunktshantering IntuneMAMUPN Sträng ${user.userprincipalname}
    HanteraEngine Mobile-Enhetshanteraren IntuneMAMUPN Sträng %upn%

Obs!

För Outlook för iOS/iPadOS konfigureras konfigurationsnyckeln IntuneMAMUPN automatiskt i bakgrunden för principen om du distribuerar en hanterad enhet App Configuration princip med alternativet "Using configuration designer" (Använda Configuration Designer) och aktiverar Tillåt endast arbets- eller skolkonton. Mer information finns i avsnittet Vanliga frågor och svar i New Outlook for iOS and Android App Configuration Policy Experience – Allmänt App Configuration.

Exempel 2: Slutanvändarupplevelse

Dela från en principhanterad app till andra program med os-delning

  1. En användare öppnar Microsoft OneDrive-appen på en registrerad iOS-enhet och loggar in på sitt arbetskonto. Det konto som användaren anger måste matcha kontots UPN som du angav i appkonfigurationsinställningarna för Microsoft OneDrive-appen.

  2. Efter inloggningen gäller dina administratörskonfigurerade APP-inställningar för användarkontot i Microsoft OneDrive. Detta inkluderar att konfigurera inställningen Skicka organisationsdata till andra appar till värdet Principhanterade appar med os-delning .

  3. Användaren förhandsgranskar en arbetsfil och försöker dela via Öppna i iOS-hanterad app.

  4. Dataöverföringen lyckas och data skyddas nu av Öppen hantering i den iOS-hanterade appen. Intune APP gäller inte för program som inte är principhanterade appar.

Dela från en iOS-hanterad app till en principhanterad app med inkommande organisationsdata

  1. En användare öppnar intern e-post på en registrerad iOS-enhet med en hanterad e-postprofil.

  2. Användaren öppnar en bifogad arbetsdokumentbilaga från ursprunglig e-post till Microsoft Word.

  3. När Word-appen startas sker en av två upplevelser:

    1. Data skyddas av Intune APP när:
      • Användaren är inloggad på sitt arbetskonto som matchar det konto-UPN som du angav i appkonfigurationsinställningarna för Microsoft Word-appen.
      • Dina administratörskonfigurerade APP-inställningar gäller för användarkontot i Microsoft Word. Detta inkluderar att konfigurera inställningen Ta emot data från andra appar till värdet Alla appar med inkommande organisationsdata .
      • Dataöverföringen lyckas och dokumentet taggas med arbetsidentiteten i appen. Intune APP skyddar användaråtgärderna för dokumentet.
    2. Data skyddas inte av Intune APP när:
      • Användaren är inte inloggad på sitt arbetskonto.
      • Dina administratörskonfigurerade inställningar tillämpas inte på Microsoft Word eftersom användaren inte är inloggad.
      • Dataöverföringen lyckas och dokumentet är inte taggat med arbetsidentiteten i appen. Intune APP skyddar inte användaråtgärderna för dokumentet eftersom det inte är aktivt.

    Obs!

    Användaren kan lägga till och använda sina personliga konton med Word. Appskydd principer gäller inte när användaren använder Word utanför en arbetskontext.

Verifiera användarens UPN-inställning för EMM från tredje part

När du har konfigurerat inställningen för användar-UPN kontrollerar du iOS-appens möjlighet att ta emot och följa Intune appskyddsprincip.

Inställningen Kräv pin-kod för appen är till exempel enkel att testa. När principinställningen är lika med Kräv bör användaren se en uppmaning om att ange eller ange en PIN-kod innan de kan komma åt företagsdata.

Skapa och tilldela först en appskyddsprincip till iOS-appen. Mer information om hur du testar appskyddsprinciper finns i Verifiera appskyddsprinciper.

Se även

Vad är Intune appskyddsprincip