如何在 Microsoft Intune 中管理 iOS 应用之间的数据传输
若要帮助保护公司数据,请仅将文件传输限制为你管理的应用。 可以通过以下方式管理iOS应用:
通过为应用配置应用保护策略来保护工作或学校帐户的组织数据。 我们调用策略 托管应用。 请参阅Microsoft Intune受保护的应用。
通过iOS设备管理部署和管理应用,这要求设备注册移动设备管理 (MDM) 解决方案。 部署的应用可以是 策略托管应用 或其他iOS托管应用。
已注册iOS设备的 开放式管理 功能可以限制iOS托管应用之间的文件传输。 使用应用保护策略设置 开放式管理 限制,该策略使用 Open-In/Share 筛选 值 将组织数据发送到其他应用,然后使用Intune部署策略。 当用户安装已部署的应用时,将根据分配的策略应用设置的限制。
使用开放式管理保护iOS应用和数据
将应用保护策略与iOS 开放式管理 功能配合使用,以以下方式保护公司数据:
未由任何 MDM 解决方案管理的设备: 可以设置应用保护策略设置,以控制通过 Open-in 或 Share 扩展 与其他应用程序共享数据。 为此,请将 “将组织数据发送到其他应用 ”设置配置为 具有 Open-In/Share 筛选值的策略托管应用 。 策略 托管应用 中的 Open-in/Share 行为仅显示其他 策略托管应用 作为共享选项。 有关相关信息,请参阅应用保护iOS/iPadOS 和Android应用、数据传输和iOS共享扩展的策略。
由 MDM 解决方案管理的设备:对于在 Intune 或第三方 MDM 解决方案中注册的设备,应用与应用保护策略以及通过 MDM 部署的其他托管iOS应用之间的数据共享由Intune应用策略和iOS 开放式管理 功能控制。 若要确保使用 MDM 解决方案部署的应用也与Intune应用保护策略相关联,请按照以下部分中所述配置用户 UPN 设置,配置用户 UPN 设置。 若要指定如何允许数据传输到其他 策略托管应用 和iOS托管应用,请使用 OS 共享将 组织数据发送到其他应用 设置到 策略托管应用。 若要指定如何允许应用从其他应用接收数据,请启用 从其他应用接收数据 ,然后选择首选的接收数据级别。 有关接收和共享应用数据的详细信息,请参阅 数据重新定位设置。
为Microsoft Intune或第三方 EMM 配置用户 UPN 设置
对于由Intune或第三方 EMM 解决方案管理的设备,需要 配置用户 UPN 设置,以便在将数据传输到iOS托管应用时标识发送 策略托管应用 的已注册用户帐户。 UPN 配置适用于从Intune部署的应用保护策略。 以下过程是有关如何配置 UPN 设置和生成的用户体验的常规流程:
在Microsoft Endpoint Manager管理中心,为iOS/iPadOS 创建和分配应用保护策略。 根据公司要求配置策略设置,并选择应具有此策略的iOS应用。
使用以下通用步骤部署要通过Intune或第三方 MDM 解决方案管理的应用和电子邮件配置文件。 示 例 1 也介绍了此体验。
使用以下应用配置设置将应用部署到托管设备:
key = IntuneMAMUPN, value = username@company.com
示例:['IntuneMAMUPN', 'janellecraig@contoso.com']
备注
在Intune中,必须将应用程序配置策略注册类型设置为 托管设备。 此外,如果将应用设置为可用) 或按要求推送到设备,则需要从Intune 公司门户 (安装应用。
备注
将 IntuneMAMUPN 应用配置设置部署到发送数据的目标托管应用。 将应用配置密钥添加到接收应用是可选的。
备注
目前,如果同一设备上存在 MDM 注册帐户,则不支持在应用上注册其他用户。
使用Intune或第三方 MDM 提供程序将 开放式管理 策略部署到已注册的设备。
示例 1:Intune或第三方 MDM 控制台中的管理员体验
转到Intune或第三方 MDM 提供程序的管理控制台。 转到控制台中将应用程序配置设置部署到已注册iOS设备的部分。
在“应用程序配置”部分中,为将数据传输到iOS托管应用的每个 策略托管应用 输入以下设置:
key = IntuneMAMUPN, value = username@company.com
键/值配对的确切语法可能因第三方 MDM 提供程序而异。 下表显示了第三方 MDM 提供程序的示例,以及应为键/值配对输入的确切值。
第三方 MDM 提供程序 配置密钥 值类型 配置值 Microsoft Intune IntuneMAMUPN String {{userprincipalname}} Microsoft Intune IntuneMAMOID String {{userid}} VMware AirWatch IntuneMAMUPN String {UserPrincipalName} MobileIron IntuneMAMUPN String ${userUPN} 或 ${userEmailAddress} Citrix 终结点管理 IntuneMAMUPN String ${user.userprincipalname} ManageEngine Mobile 设备管理器 IntuneMAMUPN String %upn%
备注
对于iOS/iPadOS 的Outlook,如果使用“使用配置设计器”选项部署托管设备应用程序配置策略,并且仅启用 允许工作或学校帐户,则会在策略的后台自动配置配置密钥 IntuneMAMUPN。 有关iOS和Android 应用程序配置策略体验的新Outlook中常见问题解答部分的更多详细信息 - 常规应用程序配置。
示例 2:最终用户体验
使用 OS 共享从策略 托管应用 共享到其他应用程序
用户在已注册的iOS设备上打开Microsoft OneDrive应用并登录到其工作帐户。 用户输入的帐户必须与在应用配置设置中为Microsoft OneDrive应用指定的帐户 UPN 匹配。
登录后,管理员配置的应用设置将应用于Microsoft OneDrive中的用户帐户。 这包括将 “将组织数据发送到其他应用 ”设置配置为 具有 OS 共享值的策略托管应用 。
用户预览工作文件,并尝试通过 Open-in 共享到iOS托管应用。
数据传输成功,数据现在受 iOS 托管应用中的 开放式管理 保护。 Intune应用不适用于不是 策略托管应用的应用程序。
使用**传入的组织数据 从iOS托管应用共享 到 策略托管应用
用户使用托管电子邮件配置文件在已注册的iOS设备上打开本机邮件。
用户打开从本机邮件到Microsoft Word的工作文档附件。
Word 应用启动时,会出现以下两种体验之一:
- 在以下情况下,数据受应用Intune保护:
- 用户登录到其工作帐户,该帐户与你在Microsoft Word应用的应用配置设置中指定的帐户 UPN 匹配。
- 管理员配置的应用设置适用于Microsoft Word中的用户帐户。 这包括将 接收数据从其他应用 设置配置为 具有传入 Org 数据值的所有应用 。
- 数据传输成功,文档随应用中的工作标识标记。 Intune APP 保护文档的用户操作。
- 在以下情况下,数据 不受 应用Intune保护:
- 用户 未 登录到其工作帐户。
- 管理员配置的设置 不会 应用于Microsoft Word,因为用户未登录。
- 数据传输成功, 且文档未 标记为应用中的工作标识。 Intune应用 不会 保护文档的用户操作,因为它不处于活动状态。
备注
用户可以使用 Word 添加和使用其个人帐户。 当用户在工作上下文外部使用 Word 时,应用保护策略不适用。
- 在以下情况下,数据受应用Intune保护:
验证第三方 EMM 的用户 UPN 设置
配置用户 UPN 设置后,验证iOS应用接收和遵守Intune应用保护策略的能力。
例如, 需要应用 PIN 策略设置易于测试。 当策略设置等于 “需要”时,用户应看到设置或输入 PIN 的提示,然后才能访问公司数据。
首先,创建应用保护策略并将其分配给iOS应用。 有关如何测试应用保护策略的详细信息,请参阅 验证应用保护策略。