Hantera dataöverföring mellan iOS-appar i Microsoft Intune
För att skydda företagsdata begränsar du filöverföringar till endast de appar som du hanterar. Du kan hantera iOS-appar på följande sätt:
Skydda organisationsdata för arbets- eller skolkonton genom att konfigurera en appskyddsprincip för apparna. som vi kallar principhanterade appar. Se Microsoft Intune-skyddade appar.
Distribuera och hantera apparna via iOS-enhetshantering, vilket kräver att enheter registreras i en MDM-lösning (Mobile Device Management). De appar som du distribuerar kan vara principhanterade appar eller andra iOS-hanterade appar.
Funktionen Öppna i hantering för registrerade iOS-enheter kan begränsa filöverföringar mellan iOS-hanterade appar. Ange begränsningar för öppna i-hantering med hjälp av en appskyddsprincip som anger Skicka organisationsdata till andra appar till principhanterade appar med filtreringsvärdet Öppna i/Dela och distribuera sedan principen med Intune. När en användare installerar den distribuerade appen tillämpas de begränsningar som du anger baserat på den tilldelade principen.
Använda Öppen hantering för att skydda iOS-appar och data
Använd appskyddsprinciper med funktionen öppna iOS-hantering för att skydda företagsdata på följande sätt:
Enheter som inte hanteras av någon MDM-lösning: Du kan ange inställningar för appskyddsprinciper för att styra delning av data med andra program via Open-in- eller Share-tillägg. Det gör du genom att konfigurera inställningen Skicka organisationsdata till andra appar till Principhanterade appar med filtreringsvärdet Öppna i/Dela . Beteendet Öppna i/Dela i den principhanterade appen visar endast andra principhanterade appar som alternativ för delning. Relaterad information finns i Appskyddsprinciper för iOS/iPadOS- och Android-appar, dataöverföring och iOS-delningstillägg.
Enheter som hanteras av MDM-lösningar: För enheter som har registrerats i Intune eller MDM-lösningar från tredje part styrs datadelning mellan appar med appskyddsprinciper och andra hanterade iOS-appar som distribueras via MDM av Intune APP-principer och iOS-funktionen öppna i hantering . Om du vill se till att appar som du distribuerar med hjälp av en MDM-lösning också är associerade med dina Intune-appskyddsprinciper konfigurerar du inställningen för användar-UPN enligt beskrivningen i följande avsnitt Konfigurera upn-inställning för användare. Om du vill ange hur du vill tillåta dataöverföring till andra principhanterade appar och iOS-hanterade appar konfigurerar du inställningen Skicka organisationsdata till andra appar till Principhanterade appar med OS-delning. Om du vill ange hur du vill tillåta att en app tar emot data från andra appar aktiverar du Ta emot data från andra appar och väljer sedan önskad nivå för att ta emot data. Mer information om hur du tar emot och delar appdata finns i Inställningar för dataflytt.
Konfigurera användarens UPN-inställning för Microsoft Intune eller EMM från tredje part
Konfiguration av användarens UPN-inställning krävs för enheter som hanteras av Intune eller en EMM-lösning från tredje part för att identifiera det registrerade användarkontot för den principhanterade appen som skickas när data överförs till en iOS-hanterad app. UPN-konfigurationen fungerar med de appskyddsprinciper som du distribuerar från Intune. Följande procedur är ett allmänt flöde om hur du konfigurerar UPN-inställningen och den resulterande användarupplevelsen:
I administrationscentret för Microsoft Intuneskapar och tilldelar du en appskyddsprincip för iOS/iPadOS. Konfigurera principinställningar enligt företagets krav och välj de iOS-appar som ska ha den här principen.
Distribuera de appar och den e-postprofil som du vill ska hanteras via Intune eller din MDM-lösning från tredje part med hjälp av följande generaliserade steg. Den här upplevelsen omfattas också av exempel 1.
Distribuera appen med följande appkonfigurationsinställningar till den hanterade enheten:
key = IntuneMAMUPN, value = username@company.com
Exempel: ['IntuneMAMUPN', 'janellecraig@contoso.com']
Obs!
I Intune måste registreringstypen appkonfigurationsprincip vara inställd på Hanterade enheter. Dessutom måste appen antingen installeras från Intune-företagsportalen (om den anges som tillgänglig) eller push-överföras efter behov till enheten.
Obs!
Distribuera intuneMAMUPN-appkonfigurationsinställningar till den hanterade målappen som skickar data. Det är valfritt att lägga till appkonfigurationsnyckeln i den mottagande appen.
Obs!
För närvarande finns det inget stöd för registrering med en annan användare i en app om det finns ett MDM-registrerat konto på samma enhet.
Distribuera principen Öppna i-hantering med Intune eller mdm-providern från tredje part till registrerade enheter.
Exempel 1: Administratörsupplevelse i Intune- eller MDM-konsolen från tredje part
Gå till administrationscentret för Microsoft Intune eller mdm-providern från tredje part. Gå till avsnittet i administrationscentret där du distribuerar programkonfigurationsinställningar till registrerade iOS-enheter.
I avsnittet Programkonfiguration anger du följande inställning för varje principhanterad app som ska överföra data till iOS-hanterade appar:
key = IntuneMAMUPN, value = username@company.com
Den exakta syntaxen för nyckel/värde-paret kan variera beroende på mdm-providern från tredje part. I följande tabell visas exempel på MDM-providrar från tredje part och de exakta värden som du bör ange för nyckel/värde-paret.
MDM-provider från tredje part Konfigurationsnyckel Värdetyp Konfigurationsvärde Microsoft Intune IntuneMAMUPN Sträng {{userprincipalname}} Microsoft Intune IntuneMAMOID Sträng {{userid}} VMware AirWatch IntuneMAMUPN Sträng {UserPrincipalName} MobileIron IntuneMAMUPN Sträng ${userUPN} eller ${userEmailAddress} Citrix-slutpunktshantering IntuneMAMUPN Sträng ${user.userprincipalname} HanteraEngine Mobile Device Manager IntuneMAMUPN Sträng %upn%
Obs!
För Outlook för iOS/iPadOS konfigureras konfigurationsnyckeln IntuneMAMUPN automatiskt i bakgrunden för principen om du distribuerar en appkonfigurationsprincip för hanterade enheter med alternativet "Using configuration designer" (Använda Configuration Designer) och aktiverar Tillåt endast arbets- eller skolkonton. Mer information finns i avsnittet Vanliga frågor och svar i New Outlook for iOS and Android App Configuration Policy Experience – Allmän appkonfiguration.
Exempel 2: Slutanvändarupplevelse
Dela från en principhanterad app till andra program med os-delning
En användare öppnar Microsoft OneDrive-appen på en registrerad iOS-enhet och loggar in på sitt arbetskonto. Det konto som användaren anger måste matcha kontots UPN som du angav i appkonfigurationsinställningarna för Microsoft OneDrive-appen.
Efter inloggningen gäller dina administratörskonfigurerade APP-inställningar för användarkontot i Microsoft OneDrive. Detta inkluderar att konfigurera inställningen Skicka organisationsdata till andra appar till värdet Principhanterade appar med os-delning .
Användaren förhandsgranskar en arbetsfil och försöker dela via Öppna i iOS-hanterad app.
Dataöverföringen lyckas och data skyddas nu av Öppen hantering i den iOS-hanterade appen. Intune APP gäller inte för program som inte är principhanterade appar.
Dela från en iOS-hanterad app till en principhanterad app med inkommande organisationsdata
En användare öppnar intern e-post på en registrerad iOS-enhet med en hanterad e-postprofil.
Användaren öppnar en bifogad arbetsdokumentbilaga från ursprunglig e-post till Microsoft Word.
När Word-appen startas sker en av två upplevelser:
- Data skyddas av Intune APP när:
- Användaren är inloggad på sitt arbetskonto som matchar det konto-UPN som du angav i appkonfigurationsinställningarna för Microsoft Word-appen.
- Dina administratörskonfigurerade APP-inställningar gäller för användarkontot i Microsoft Word. Detta inkluderar att konfigurera inställningen Ta emot data från andra appar till värdet Alla appar med inkommande organisationsdata .
- Dataöverföringen lyckas och dokumentet taggas med arbetsidentiteten i appen. Intune APP skyddar användaråtgärderna för dokumentet.
- Data skyddas inte av Intune APP när:
- Användaren är inte inloggad på sitt arbetskonto.
- Dina administratörskonfigurerade inställningar tillämpas inte på Microsoft Word eftersom användaren inte är inloggad.
- Dataöverföringen lyckas och dokumentet är inte taggat med arbetsidentiteten i appen. Intune APP skyddar inte användaråtgärderna för dokumentet eftersom det inte är aktivt.
Obs!
Användaren kan lägga till och använda sina personliga konton med Word. Appskyddsprinciper tillämpas inte när användaren använder Word utanför en arbetskontext.
- Data skyddas av Intune APP när:
Verifiera användarens UPN-inställning för EMM från tredje part
När du har konfigurerat inställningen för användar-UPN kontrollerar du iOS-appens möjlighet att ta emot och följa Intunes appskyddsprincip.
Inställningen Kräv pin-kod för appen är till exempel enkel att testa. När principinställningen är lika med Kräv bör användaren se en uppmaning om att ange eller ange en PIN-kod innan de kan komma åt företagsdata.
Skapa och tilldela först en appskyddsprincip till iOS-appen. Mer information om hur du testar appskyddsprinciper finns i Verifiera appskyddsprinciper.