如何在 Microsoft Intune 中管理 iOS 應用程式之間的資料傳輸

  • 發行項

若要協助保護公司資料,請將檔案傳輸限制為僅限您管理的應用程式。 您可以透過下列方式管理 iOS 應用程式:

  • 設定應用程式的應用程式保護原則,以保護公司或學校帳戶的組織資料。 我們稱之為 受原則管理的應用程式。 請參閱Microsoft Intune受保護的應用程式

  • 透過 iOS 裝置管理部署和管理應用程式,這需要裝置註冊行動裝置管理 (MDM) 解決方案。 您部署的應用程式可以是 受原則管理的應用程式 或其他 iOS 管理的應用程式。

已註冊 iOS 裝置 的開啟管理 功能可以限制 iOS 受控應用程式之間的檔案傳輸。 使用應用程式保護原則設定[開啟管理限制],此原則會使用[開啟/共用] 篩選值將組織資料傳送至其他應用程式到受原則管理的應用程式,然後使用 Intune 部署原則。 當使用者安裝已部署的應用程式時,您設定的限制會根據指派的原則套用。

使用開啟管理來保護 iOS 應用程式和資料

使用應用程式防護原則搭配 iOS開啟管理功能,以下列方式保護公司資料:

  • 不受任何 MDM 解決方案管理的裝置: 您可以設定應用程式保護原則設定,以透過 [開 啟] 或 [ 共用擴充功能] 來控制與其他應用程式共用資料。 若要這樣做,請使用 [開啟/共用] 篩選值,將 [將 組織資料傳送至其他應用程式 ] 設定為 [受原則 管理的應用程式] 。 受原則管理應用程式中的[開啟/共用] 行為只會將其他受原則管理的應用程式顯示為共用的選項。 如需相關資訊,請參閱 iOS/iPadOS 和 Android 應用程式資料傳輸iOS 共用擴充功能的應用程式防護原則。

  • MDM 解決方案所管理的裝置:針對註冊Intune或協力廠商 MDM 解決方案的裝置,透過應用程式保護原則的應用程式與透過 MDM 部署的其他受控 iOS 應用程式之間的資料共用,是由Intune應用程式原則和 iOS開啟管理功能所控制。 若要確定您使用 MDM 解決方案部署的應用程式也與Intune應用程式保護原則相關聯,請設定使用者 UPN 設定,如下一節設定使用者 UPN 設定中所述。 若要指定如何允許資料傳輸至其他 受原則管理的應用程式 和 iOS 管理的應用程式,請設定 [將 組織資料傳送至其他應用程式 ] 設定為 [ 具有 OS 共用的原則受控應用程式]。 若要指定如何允許應用程式接收來自其他應用程式的資料,請啟用 [從其他應用程式接收資料 ],然後選擇您慣用的接收資料層級。 如需接收和共用應用程式資料的詳細資訊,請參閱 資料重新配置設定

設定Microsoft Intune或協力廠商 EMM 的使用者 UPN 設定

Intune或協力廠商 EMM 解決方案所管理的裝置需要設定使用者 UPN 設定,才能在將資料傳輸至 iOS 受控應用程式時,識別傳送原則受控應用程式的已註冊使用者帳戶。 UPN 設定適用于您從 Intune 部署的應用程式保護原則。 下列程式是如何設定 UPN 設定和產生使用者體驗的一般流程:

  1. Microsoft Intune 系統管理中心中,建立並指派iOS/iPadOS 的應用程式保護原則。 根據公司需求設定原則設定,然後選取應該有此原則的 iOS 應用程式。

  2. 使用下列一般化步驟,部署您想要透過Intune或協力廠商 MDM 解決方案管理的應用程式和電子郵件設定檔。 范 例 1也涵蓋此體驗。

  3. 將具有下列應用程式組態設定的應用程式部署至受控裝置:

    key = IntuneMAMUPN, value = username@company.com

    範例:['IntuneMAMUPN', ' janellecraig@contoso.com ']

    注意事項

    在Intune中,應用程式組態原則註冊類型必須設定為受控裝置。 此外,如果應用程式設定為可用) ,或視需要推送至裝置,則必須從Intune 公司入口網站 (安裝應用程式。

    注意事項

    將 IntuneMAMUPN 應用程式組態設定部署至傳送資料的目標受控應用程式。 將應用程式組態金鑰新增至接收應用程式是選擇性的。

    注意事項

    目前,如果相同裝置上有 MDM 註冊的帳戶,則不支援在應用程式上向不同的使用者註冊。

  4. 使用Intune或您的協力廠商 MDM 提供者將開啟管理原則部署到已註冊的裝置。

範例 1:在 Intune 或協力廠商 MDM 主控台中管理員體驗

  1. 移至Microsoft Intune系統管理中心或您的協力廠商 MDM 提供者。 移至系統管理中心的 區段,您會在其中將應用程式組態設定部署至已註冊的 iOS 裝置。

  2. 在 [應用程式組態] 區段中,針對將資料傳輸至 iOS 受控應用程式的每個 受原則管理應用程式 輸入下列設定:

    key = IntuneMAMUPN, value = username@company.com

    索引鍵/值組的確切語法可能會根據您的協力廠商 MDM 提供者而有所不同。 下表顯示協力廠商 MDM 提供者的範例,以及您應該為索引鍵/值組輸入的確切值。

    協力廠商 MDM 提供者 組態金鑰 值類型 組態值
    Microsoft Intune IntuneMAMUPN 字串 {{userprincipalname}}
    Microsoft Intune IntuneMAMOID 字串 {{userid}}
    VMware AirWatch IntuneMAMUPN 字串 {UserPrincipalName}
    MobileIron IntuneMAMUPN 字串 ${userUPN} ${userEmailAddress}
    Citrix 端點管理 IntuneMAMUPN 字串 ${user.userprincipalname}
    ManageEngine Mobile 裝置管理員 IntuneMAMUPN 字串 %upn%

注意事項

針對 iOS/iPadOS 版 Outlook,如果您使用 [使用設定設計工具] 選項部署受管理的裝置應用程式組態原則,並啟用[只允許公司或學校帳戶],則會在幕後自動為原則設定設定金鑰 IntuneMAMUPN。 如需詳細資訊,請參閱iOS 版和 Android 版新 Outlook 應用程式組態原則體驗 – 一般應用程式組態中的常見問題一節。

範例 2:使用者體驗

使用 OS 共用從 受原則管理的應用程式 共用至其他應用程式

  1. 使用者會在已註冊的 iOS 裝置上開啟 Microsoft OneDrive 應用程式,並登入其工作帳戶。 使用者輸入的帳戶必須符合您在 Microsoft OneDrive 應用程式的應用程式組態設定中指定的帳號 UPN。

  2. 登入之後,系統管理員設定的應用程式設定會套用至 Microsoft OneDrive 中的使用者帳戶。 這包括將 [將 組織資料傳送至其他應用程式 ] 設定設定為具有 OS 共用值的原則受控應用程式

  3. 使用者預覽工作檔案,並嘗試透過[開啟至 iOS 管理的應用程式] 共用。

  4. 資料傳輸成功,且資料現在受到 iOS 受控應用程式 中的開啟管理 保護。 Intune應用程式不適用於非受原則管理應用程式的應用程式

使用傳入組織資料從 iOS 受控應用程式共用受原則管理的應用程式

  1. 使用者使用受控電子郵件設定檔在已註冊的 iOS 裝置上開啟原生郵件。

  2. 使用者會開啟從原生郵件到 Microsoft Word 的工作檔附件。

  3. 當 Word 應用程式啟動時,會發生兩種體驗之一:

    1. 當下列狀況下,Intune APP 會保護資料:
      • 使用者已登入其工作帳戶,其符合您在 Microsoft Word 應用程式的應用程式組態設定中指定的帳號 UPN。
      • 系統管理員設定的應用程式設定會套用至 Microsoft Word 中的使用者帳戶。 這包括將 [ 從其他應用程式接收資料 ] 設定為 [ 所有具有傳入組織資料的應用程式 ] 值。
      • 資料傳輸成功,且檔會標記為應用程式中的工作身分識別。 Intune APP 會保護檔的使用者動作。
    2. 當下列狀況下,Intune APP不會保護資料:
      • 使用者 登入其工作帳戶。
      • 系統管理員設定的設定 不會 套用至 Microsoft Word,因為使用者未登入。
      • 資料傳輸成功,且檔 標記為應用程式中的工作身分識別。 Intune APP不會保護檔的使用者動作,因為它不在使用中。

    注意事項

    使用者可以使用 Word 新增和使用其個人帳戶。 當使用者在工作內容外部使用 Word 時,應用程式防護原則不適用。

驗證協力廠商 EMM 的使用者 UPN 設定

設定使用者 UPN 設定之後,請驗證 iOS 應用程式接收並遵守Intune應用程式保護原則的能力。

例如, [需要應用程式 PIN] 原則設定很容易測試。 當原則設定等於 [需要]時,使用者應該會看到設定或輸入 PIN 的提示,才能存取公司資料。

首先, 建立應用程式保護原則並指派 給 iOS 應用程式。 如需如何測試應用程式保護原則的詳細資訊,請參閱 驗證應用程式保護原則

另請參閱

什麼是Intune應用程式保護原則