Comment gérer les transferts de données entre applications iOS dans Microsoft Intune

Pour protéger les données de l’entreprise, limitez les transferts de fichiers aux seules applications que vous gérez. Vous pouvez gérer les applications iOS des manières suivantes :

  • Protégez les données de l’organisation pour les comptes professionnels ou scolaires en configurant une stratégie de protection des applications pour les applications. que nous appelons applications gérées par une stratégie. Consultez Applications protégées par Microsoft Intune.

  • Déployez et gérez les applications via la gestion des appareils iOS, ce qui exige que les appareils s’inscrivent dans une solution de gestion des appareils mobiles (GPM). Les applications que vous déployez peuvent être des applications gérées par une stratégie ou d’autres applications iOS gérées.

La fonctionnalité de gestion Open-in pour les appareils iOS inscrits peut limiter les transferts de fichiers entre les applications gérées par iOS. Définissez des restrictions de gestion open-in à l’aide d’une stratégie de protection des applications qui définit Envoyer des données d’organisation à d’autres applications sur applications gérées par la stratégie avec la valeur de filtrage Ouvrir/Partager , puis déployez la stratégie à l’aide d’Intune. Lorsqu’un utilisateur installe l’application déployée, les restrictions que vous définissez sont appliquées en fonction de la stratégie affectée.

Utiliser la gestion open-in pour protéger les applications et les données iOS

Utilisez des stratégies de protection des applications avec la fonctionnalité de gestion Open-in iOS pour protéger les données d’entreprise des manières suivantes :

  • Appareils non gérés par une solution MDM : Vous pouvez définir les paramètres de stratégie de protection des applications pour contrôler le partage de données avec d’autres applications via les extensions Ouvrir dans ou Partager. Pour ce faire, configurez le paramètre Envoyer des données d’organisation à d’autres applications sur Applications gérées par la stratégie avec la valeur de filtrage Open-In/Share . Le comportement Ouvrir/Partager dans l’application gérée par une stratégie présente uniquement d’autres applications gérées par une stratégie comme options de partage. Pour plus d’informations, consultez Stratégies de protection des applications pour les applications iOS/iPadOS et Android, Transfert de données et extension de partage iOS.

  • Appareils gérés par des solutions MDM : pour les appareils inscrits dans Intune ou des solutions GPM tierces, le partage de données entre des applications avec des stratégies de protection des applications et d’autres applications iOS managées déployées via mdm est contrôlé par les stratégies d’application Intune et la fonctionnalité de gestion open-in iOS. Pour vous assurer que les applications que vous déployez à l’aide d’une solution MDM sont également associées à vos stratégies de protection des applications Intune, configurez le paramètre UPN utilisateur comme décrit dans la section suivante, Configurer le paramètre UPN utilisateur. Pour spécifier la façon dont vous souhaitez autoriser le transfert de données vers d’autres applications gérées par une stratégie et des applications iOS gérées, configurez le paramètre Envoyer des données d’organisation à d’autres applications sur Applications gérées par stratégie avec partage de système d’exploitation. Pour spécifier la façon dont vous souhaitez autoriser une application à recevoir des données d’autres applications, activez Recevoir des données d’autres applications , puis choisissez votre niveau de réception préféré. Pour plus d’informations sur la réception et le partage de données d’application, consultez Paramètres de réadressage des données.

Configurer le paramètre UPN utilisateur pour Microsoft Intune ou EMM tiers

La configuration du paramètre UPN utilisateur est requise pour les appareils gérés par Intune ou une solution EMM tierce afin d’identifier le compte d’utilisateur inscrit pour l’application gérée par la stratégie d’envoi lors du transfert de données vers une application iOS gérée. La configuration UPN fonctionne avec les stratégies de protection des applications que vous déployez à partir d’Intune. La procédure suivante est un flux général sur la façon de configurer le paramètre UPN et l’expérience utilisateur résultante :

  1. Dans le Centre d’administration Microsoft Intune, créez et affectez une stratégie de protection des applications pour iOS/iPadOS. Configurez les paramètres de stratégie en fonction des besoins de votre entreprise et sélectionnez les applications iOS qui doivent avoir cette stratégie.

  2. Déployez les applications et le profil de messagerie que vous souhaitez gérer via Intune ou votre solution GPM tierce en suivant les étapes généralisées suivantes. Cette expérience est également couverte par l’exemple 1.

  3. Déployez l’application avec les paramètres de configuration d’application suivants sur l’appareil géré :

    key = IntuneMAMUPN, value = username@company.com

    Exemple : ['IntuneMAMUPN', 'janellecraig@contoso.com']

    Remarque

    Dans Intune, le type d’inscription de stratégie App Configuration doit être défini sur Appareils gérés. En outre, l’application doit être installée à partir du portail d’entreprise Intune (si elle est définie comme disponible) ou envoyée (push) en fonction des besoins vers l’appareil.

    Remarque

    Déployez les paramètres de configuration d’application IntuneMAMUPN sur l’application managée cible qui envoie des données. L’ajout de la clé de configuration de l’application à l’application de réception est facultatif.

    Remarque

    Actuellement, il n’existe aucune prise en charge de l’inscription auprès d’un autre utilisateur sur une application s’il existe un compte inscrit GPM sur le même appareil.

  4. Déployez la stratégie de gestion Open-in à l’aide d’Intune ou de votre fournisseur GPM tiers sur les appareils inscrits.

Exemple 1 : Expérience d’administration dans Intune ou une console MDM tierce

  1. Accédez au Centre d’administration Microsoft Intune ou à votre fournisseur GPM tiers. Accédez à la section du centre d’administration dans laquelle vous déployez les paramètres de configuration d’application sur les appareils iOS inscrits.

  2. Dans la section Configuration de l’application, entrez le paramètre suivant pour chaque application gérée par une stratégie qui transfère des données vers des applications iOS gérées :

    key = IntuneMAMUPN, value = username@company.com

    La syntaxe exacte de la paire clé/valeur peut différer en fonction de votre fournisseur GPM tiers. Le tableau suivant présente des exemples de fournisseurs GPM tiers et les valeurs exactes que vous devez entrer pour la paire clé/valeur.

    Fournisseur GPM tiers Clé de configuration Type de valeur Valeur de configuration
    Microsoft Intune IntuneMAMUPN Chaîne {{userprincipalname}}
    Microsoft Intune IntuneMAMOID Chaîne {{userid}}
    VMware AirWatch IntuneMAMUPN Chaîne {UserPrincipalName}
    MobileIron IntuneMAMUPN Chaîne ${userUPN} ou ${userEmailAddress}
    Citrix Endpoint Management IntuneMAMUPN Chaîne ${user.userprincipalname}
    ManageEngine Mobile Device Manager IntuneMAMUPN Chaîne %upn%

Remarque

Pour Outlook pour iOS/iPadOS, si vous déployez une stratégie app Configuration des appareils gérés avec l’option « Utilisation du concepteur de configuration » et activez Autoriser uniquement les comptes professionnels ou scolaires, la clé de configuration IntuneMAMUPN est configurée automatiquement en arrière-plan pour la stratégie. Pour plus d’informations, consultez la section FAQ dans Nouvelle expérience de stratégie de configuration d’application Outlook pour iOS et Android – Configuration générale des applications.

Exemple 2 : Expérience de l’utilisateur final

Partage à partir d’une application gérée par une stratégie vers d’autres applications avec partage de système d’exploitation

  1. Un utilisateur ouvre l’application Microsoft OneDrive sur un appareil iOS inscrit et se connecte à son compte professionnel. Le compte entré par l’utilisateur doit correspondre à l’UPN du compte que vous avez spécifié dans les paramètres de configuration de l’application Microsoft OneDrive.

  2. Après la connexion, vos paramètres d’application configurés par l’administrateur s’appliquent au compte d’utilisateur dans Microsoft OneDrive. Cela inclut la configuration du paramètre Envoyer des données d’organisation à d’autres applications sur applications gérées par la stratégie avec la valeur de partage de système d’exploitation .

  3. L’utilisateur affiche un aperçu d’un fichier de travail et tente de le partager via Ouvrir dans une application gérée iOS.

  4. Le transfert de données réussit et les données sont désormais protégées par la gestion open-in dans l’application gérée iOS. L’application Intune ne s’applique pas aux applications qui ne sont pas des applications gérées par une stratégie.

Partage à partir d’une application gérée iOS vers une application gérée par une stratégie avec des données d’organisation entrantes

  1. Un utilisateur ouvre courrier natif sur un appareil iOS inscrit avec un profil de messagerie managé.

  2. L’utilisateur ouvre une pièce jointe de document de travail à partir du courrier natif vers Microsoft Word.

  3. Lorsque l’application Word démarre, l’une des deux expériences se produit :

    1. Les données sont protégées par l’application Intune dans les cas suivants :
      • L’utilisateur est connecté à son compte professionnel qui correspond à l’UPN de compte que vous avez spécifié dans les paramètres de configuration de l’application Microsoft Word.
      • Les paramètres d’application configurés par l’administrateur s’appliquent au compte d’utilisateur dans Microsoft Word. Cela inclut la configuration du paramètre Recevoir des données d’autres applications sur la valeur Toutes les applications avec des données d’organisation entrantes .
      • Le transfert de données réussit et le document est étiqueté avec l’identité professionnelle dans l’application. L’application Intune protège les actions de l’utilisateur pour le document.
    2. Les données ne sont pas protégées par l’application Intune dans les cas suivants :
      • L’utilisateur n’est pas connecté à son compte professionnel.
      • Les paramètres configurés par l’administrateur ne sont pas appliqués à Microsoft Word, car l’utilisateur n’est pas connecté.
      • Le transfert de données réussit et le document n’est pas étiqueté avec l’identité professionnelle dans l’application. Intune APP ne protège pas les actions de l’utilisateur pour le document, car il n’est pas actif.

    Remarque

    L’utilisateur peut ajouter et utiliser ses comptes personnels avec Word. Les stratégies de protection des applications ne s’appliquent pas lorsque l’utilisateur utilise Word en dehors d’un contexte professionnel.

Valider le paramètre UPN utilisateur pour un EMM tiers

Après avoir configuré le paramètre UPN utilisateur, validez la capacité de l’application iOS à recevoir et à se conformer à la stratégie de protection des applications Intune.

Par exemple, le paramètre de stratégie Exiger le code confidentiel de l’application est facile à tester. Lorsque le paramètre de stratégie est Obligatoire, l’utilisateur doit voir une invite pour définir ou entrer un code confidentiel avant de pouvoir accéder aux données de l’entreprise.

Tout d’abord, créez et affectez une stratégie de protection des applications à l’application iOS. Pour plus d’informations sur la façon de tester la stratégie de protection des applications, consultez Valider les stratégies de protection des applications.

Voir aussi

Qu’est-ce que la stratégie de protection des applications Intune ?