Sichern und Konfigurieren der mobilen App von Qlik Analytics mit Microsoft Intune | Qlik Cloud Hilfe
Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal

Sichern und Konfigurieren der mobilen App von Qlik Analytics mit Microsoft Intune

Die mobile App von Qlik Analytics bietet Außendienstteams sicheren Zugriff auf Qlik Cloud-Analysen auf ihren mobilen Geräten. Sie können Microsoft Intune und Microsoft Entra ID verwenden, um den Zugriff zu steuern, Unternehmensdaten zu schützen und die Einstellungen bereitzustellen, die Benutzer benötigen, um sich mit Ihrem Qlik Cloud-Mandanten zu verbinden.

In diesem Thema wird erläutert, wie Sie Intune-App-Schutzrichtlinien, App-Konfigurationsrichtlinien und Qlik Cloud Zugriffssteuerungen konfigurieren, um die Qlik Analytics Mobil-App auf Android- und iOS-Geräten zu verwalten und zu sichern.

Info zur Microsoft Intune-Integration

  • Qlik hat die standardmäßigen Intune- und MSAL-SDKs (Microsoft Authentication Library) von Microsoft gemäß den Entwicklerrichtlinien von Microsoft integriert.

  • Microsoft Entra ID, Microsoft Intune und zugehörige SDKs sind Microsoft-Produkte.

  • Qlik, einschließlich Qlik-Support, kann keine Hilfestellung zur Konfiguration Ihrer Entra- oder Intune-Bereitstellung oder zu Mobilgeräteeinstellungen für Geräte geben, auf denen die Qlik Analytics Mobil-App ausgeführt wird.

  • Informationen zur Verwaltung mobiler Geräte (MDM) oder zur Verwaltung mobiler Anwendungen (MAM) finden Sie in der Microsoft Intune-Dokumentation oder wenden Sie sich an den Microsoft Intune-Support.

InformationshinweisDas Microsoft Tunnel for Mobile Application Management SDK ist nicht in die mobile App von Qlik Analytics integriert.

Was Sie vor dem Start benötigen

Bevor Sie die mobile App von Qlik Analytics in Intune konfigurieren, stellen Sie sicher, dass Sie Folgendes haben:

  • Qlik Cloud Mandant, der Microsoft Entra ID als primären Identitätsanbieter verwendet

    Das Erzwingen von Intune MAM erfordert, dass Ihr Qlik Cloud Mandant für die direkte Verwendung von Entra ID als Identitätsanbieter über OIDC konfiguriert ist. Weitere Informationen finden Sie unter Identitätsanbieter in Qlik Cloud.

    InformationshinweisMandanten, die einen anderen Identitätsanbieter als Entra (wie Okta, Auth0, SAML oder Qlik Account) verwenden, unterstützen das Erzwingen von Intune MAM nicht. Mandanten, die einen anderen Identitätsanbieter als Entra in Microsoft Entra ID föderieren, werden in dieser Version nicht unterstützt. Weitere Informationen finden Sie unter Kompatibilität des Identitätsanbieters.

  • Microsoft Entra ID in Microsoft Intune integriert

    Ihre Organisation muss Entra mit Intune verbunden haben, damit Sie Geräte- und App-Richtlinien durchsetzen können.

  • Benutzer, die in Microsoft Entra ID registriert sind

    Alle Benutzer, die auf die Qlik Analytics Mobil-App zugreifen, benötigen Konten in Ihrem Entra ID-Mandanten und müssen im Benutzerverzeichnis aufgeführt sein, das für den Qlik Cloud Mandantenzugriff verwendet wird.

  • Qlik Cloud Mandantenadministratorberechtigungen

    Sie benötigen Mandantenadministratorzugriff in Qlik Cloud, um Benutzern und Gruppen mobile Zugriffssteuerungen zuzuweisen. Weitere Informationen finden Sie unter Konfigurieren des mobilen Zugriffs mit MAM in Qlik Cloud.

Installieren der mobilen App von Qlik Analytics

Die mobile App von Qlik Analytics ist im iOS App Store und Google Play Store verfügbar. Weitere Informationen finden Sie unter Erste Schritte mit der Qlik Analytics Mobil-App.

InformationshinweisJe nach Plattform und Bereitstellung können Microsoft Company Portal und/oder Microsoft Authenticator auf dem Gerät erforderlich sein. Auf Android ist Company Portal für Szenarien mit MAM ohne Geräteregistrierung (MAM-WE) erforderlich.

Einrichten von Microsoft Intune für die mobile App von Qlik Analytics in Microsoft Entra ID

Dieser Abschnitt beschreibt die wichtigsten Schritte zum Registrieren und Verwalten der Qlik Analytics mobilen App in Entra ID und Intune. Konfigurieren Sie Entra ID und Intune entsprechend den Anforderungen Ihrer Organisation. Detaillierte Anweisungen zur Anwendungsregistrierung finden Sie in der Microsoft Intune-Dokumentation.

Registrieren der Qlik Analytics-App in Microsoft Entra ID

Registrieren Sie die mobile App von Qlik Analytics in Microsoft Entra ID, um sie mit Microsoft Intune zu verwenden.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in Entra ID zu App-Registrierungen und wählen Sie Neue Registrierung aus.

  2. Wählen Sie den Link zu Unternehmensanwendungen aus, da Sie eine global registrierte Anwendung integrieren.

  3. Suchen Sie nach der Anwendungs-ID: 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Dies ist die globale Registrierung der Qlik App.

  4. Falls erforderlich, kann der Intune-Administrator die Registrierung initiieren, indem er sich anmeldet und folgende Seite besucht:

    https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9

  5. Sobald die mobile App von Qlik Analytics hinzugefügt wurde und unter Unternehmensanwendungen angezeigt wird, führen Sie Folgendes aus:

    • Weisen Sie Benutzer und Gruppen zu, wenn Sie den Zugriff auf die App einschränken möchten.

    • Erteilen Sie unter Berechtigungen die Administratorzustimmung für Ihre Domäne.

Anleitung zur Richtlinie für bedingten Zugriff

Die Qlik Analytics Mobil-App ist global in Microsoft Entra ID mit der Anwendungs-ID 53dfc2c0-8711-4bb3-a48f-b384ff663ab9 registriert. Diese Registrierung wird als Cloud-Anwendung in Ihrem Mandanten angezeigt. Jede Richtlinie für bedingten Zugriff, deren Anwendungsbereich Alle Cloud-Apps umfasst, gilt für diese App-Registrierung.

Bedingter Zugriff und Authentifizierungsfluss

Der Authentifizierungsfluss Mit Intune zulässig umfasst zwei Anmeldeschritte:

  1. App-Authentifizierung (MSAL-Anmeldung)

    Die Qlik Analytics Mobil-App verwendet MSAL zur Authentifizierung des Benutzers mit Entra. Intune MAM-Richtlinien werden in diesem Schritt ausgewertet.

  2. Browserbasierte Qlik Cloud-Anmeldung

    Über die App wird ein externer Browser auf dem Gerät geöffnet, um die Qlik Cloud Authentifizierung abzuschließen. Für Intune-Flüsse wird Microsoft Edge erzwungen.

In diesem zweiten Schritt wertet Entra den Browser – nicht die Qlik Analytics Mobil-App – als Client-Anwendung aus, wenn Richtlinien für bedingten Zugriff auf die App-Registrierung angewendet werden. Jede auf die App-Registrierung angewendete Gewährungskontrolle muss vom in diesem Schritt verwendeten Browser unterstützt werden.

Überlegungen zum Anwendungsbereich des bedingten Zugriffs

Da die Qlik Analytics App-Registrierung als Cloud-Anwendung in Ihrem Mandanten angezeigt wird, gelten Richtlinien für bedingten Zugriff mit dem Anwendungsbereich Alle Cloud-Apps auch für den Browser-Anmeldeschritt.

Wenn eine Richtlinie App-Schutzrichtlinie erforderlich als Gewährungssteuerung verwendet, muss der im Qlik Anmeldeschritt verwendete Browser diese Anforderung unabhängig erfüllen. Dies erfordert, dass für Microsoft Edge eine Intune App-Schutzrichtlinie für Ihre Benutzer bereitgestellt wird. Wenn Edge nicht durch eine App-Schutzrichtlinie abgedeckt ist, kann der Browser-Anmeldeschritt blockiert werden.

Vor der Bereitstellung

Bevor Sie die Qlik Analytics Mobil-App mit Intune MAM-Erzwingung bereitstellen, erkundigen Sie sich bei Ihrem Microsoft Entra- oder Intune-Administrator, wie Ihre vorhandenen Richtlinien für bedingten Zugriff auf den Browser angewendet werden, der im Qlik Anmeldeschritt verwendet wird.

Qlik bietet keine Hilfestellung zur Konfiguration von Entra-Richtlinien für bedingten Zugriff oder umfassenderen Intune-Bereitstellungskonfigurationen. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Erfahren Sie mehr über bedingtem Zugriff und Intune.

So funktioniert die MAM-Erzwingung für die Qlik Analytics Mobil-App

Wenn einem Benutzer der Zugriff Mit Intune zulässig zugewiesen wird, initiiert die Qlik Analytics Mobil-App die Microsoft Intune-Registrierung als Teil des Anmeldevorgangs. Die App überprüft den Registrierungsstatus, bevor Zugriff auf Mandanteninhalte gewährt wird. Wenn das Gerät nicht ordnungsgemäß registriert ist oder die Intune-Anforderungen nicht erfüllt, wird der Zugriff auf App-Ebene verweigert.

Diese Erzwingung wird in der Mobil-App durchgeführt und ist Teil einer phasenweisen Bereitstellung. Eine zukünftige Version wird eine entsprechende serverseitige Erzwingung auf Qlik Cloud Authentifizierungsebene hinzufügen, um weiteren verstärkten Schutz zu bieten.

Konfigurieren des mobilen Zugriffs mit MAM in Qlik Cloud

Die Intune (MAM)-Erzwingung wird durch die Berechtigung für den mobilen Zugriff gesteuert, die Benutzern und Gruppen im Qlik Cloud Aktivitätscenter „Administration“ zugewiesen ist. Dies ist der wichtigste Konfigurationsschritt auf Qlik Seite. Er muss zusammen mit Ihrer Intune- und Entra-Konfiguration abgeschlossen werden.

Berechtigungen für den mobilen Zugriff

Sie konfigurieren die Berechtigungen für den mobilen Zugriff im Aktivitätscenter Administration > Benutzer verwalten > Berechtigungen.

Öffnen Sie die Berechtigungseinstellungen für die Rolle „Benutzerstandard“ oder eine benutzerdefinierte Rolle, erweitern Sie Funktionen und Aktionen und suchen Sie Mobil > Native Mobil-App.

Weitere Informationen zu den Berechtigungseinstellungen finden Sie unter Festlegen des Zugriffs auf die Qlik Analytics Mobil-App.

Hilfestellung zur Berechtigungszuweisung für von Intune verwaltete Mandanten

Für Mandanten, die Intune-App-Schutz verwenden, weisen Sie Mit Intune zulässig allen Benutzern und Gruppen zu, die mobilen Zugriff benötigen, unabhängig vom Geräteverwaltungsstatus.

Warum „Zulässig“ für von Intune verwaltete Benutzer nicht ausreicht

Die Berechtigung für mobilen Zugriff gilt für den Benutzer, nicht für das Gerät. Wenn einem Benutzer auf seinem unternehmenseigenen, MDM-registrierten Gerät Zulässig zugewiesen ist, hat er dieselbe Zugriffsberechtigung, wenn er sich auf einem persönlichen, nicht verwalteten Gerät anmeldet.

Dieses persönliche Gerät hat keine MDM-Registrierung und keinen Intune-Broker. Wenn die Zugriffsberechtigung des Benutzers auf Zulässig festgelegt ist, erfordert die Qlik Analytics Mobil-App keine Intune-Registrierung, und der Zugriff wird ohne Anwendung von App-Schutzrichtlinien gewährt. Der Benutzer kann von einem nicht verwalteten Gerät ohne Intune-Schutz auf den Mandanten zugreifen und dabei die Intune-Richtlinien Ihrer Organisation umgehen.

Empfohlenes Zuweisungsmuster für Intune-verwaltete Mandanten

Zuweisungsmuster
Zuweisung Berechtigung

Grund
Benutzerstandard-Einstellungen Nicht zulässig

Standardmäßig kein mobiler Zugriff
MDM-registrierte Benutzer Mit Intune zulässig

Auf registrierten Geräten erfolgt die Registrierung im Hintergrund bzw. größtenteils im Hintergrund. Es entsteht kein nennenswerter Mehraufwand. Derselbe Benutzer muss auf einem persönlichen Gerät die Registrierung abschließen, bevor Zugriff gewährt wird.
BYOD-Benutzer Mit Intune zulässig

Vollständige Registrierungsanforderung auf nicht verwalteten Geräten.

Verwenden Sie Zulässig nur für Mandanten oder Gruppen, bei denen kein Intune-App-Schutz erforderlich ist, z. B. interne Nicht-Intune-Mandanten oder bestimmte Dienstkonten.

Kompatibilität des Identitätsanbieters

Die Erzwingung von Intune MAM erfordert Microsoft Entra ID als Identitätsanbieter (IdP) für Ihren Qlik Cloud Mandanten. In der folgenden Tabelle wird die Unterstützung von Mobil-Apps über Identitätsanbieterkonfigurationen hinweg zusammengefasst.

IdP-Kompatibilität
Identitätsanbieter Standardmäßiger mobiler Zugriff (Zulässig) Intune-Erzwingung (Mit Intune zulässig)
Microsoft Entra ID Unterstützt Unterstützt
Okta (keine Entra-Föderation) Unterstützt Nicht unterstützt — Mit Intune zulässig nicht zuweisen
Auth0 (keine Entra-Föderation) Unterstützt Nicht unterstützt — Mit Intune zulässig nicht zuweisen
SAML / ADFS (keine Entra-Föderation) Unterstützt Nicht unterstützt — Mit Intune zulässig nicht zuweisen
Qlik Account Unterstützt Nicht unterstützt — Mit Intune zulässig nicht zuweisen
Generisches OIDC Unterstützt Nicht unterstützt — Mit Intune zulässig nicht zuweisen
Szenarien mit föderiertem IdP (beliebiger Nicht-Entra-IdP, der in Entra ID föderiert ist) Unterstützt

In dieser Version nicht unterstützt
InformationshinweisSzenarien mit föderiertem IdP: Kunden, die Okta, Auth0, SAML oder ADFS in Microsoft Entra ID föderieren, werden in dieser Version für die Intune MAM-Erzwingung nicht unterstützt. Das Zuweisen von Mit Intune zulässig an Benutzer in einem föderierten IdP-Mandanten führt zu Authentifizierungsfehlern. Die Unterstützung für Szenarien mit föderierten IdPs ist für eine zukünftige Version geplant.

Einrichten von App-Schutzrichtlinien

Die mobile App von Qlik Analytics unterstützt die folgenden Intune-Richtlinienfunktionen:

  • Benutzer zur Anmeldung mit Firmenzugangsdaten verpflichten (Microsoft Entra ID).

  • Eine PIN für den Zugriff auf die App vorschreiben.

  • Kopier-, Einfüge- und Downloadaktionen innerhalb der App einschränken.

  • Screenshots blockieren oder steuern.

  • Qlik Cloud-Mandanteneinstellungen mithilfe von App-Konfigurationsrichtlinien vorab laden.

Wichtige Überlegungen

App-Schutzrichtlinien steuern, welche Apps Daten miteinander teilen können.

  • Wenn Benutzer Diagnose-E-Mails von der mobilen App von Qlik Analytics senden müssen, muss die Richtlinie die Datenübertragung zwischen Apps zulassen.

  • Die Qlik Analytics Mobil-App benötigt Zugriff auf den Gerätebrowser, um die Anmeldung abzuschließen. Ihre App-Schutzrichtlinie muss dies zulassen.

  • Wichtige Intune-App-Richtlinieneinstellungen, die überprüft werden sollten, sind:

    • Datenschutz > Organisationsdaten an andere Apps senden

    • Datenschutz > Apps zum Freistellen auswählen (com.qlik.qsm)

    • Funktionalität > Webinhaltsübertragung mit anderen Apps einschränken – wenn für das Öffnen von URLs in Microsoft Edge konfiguriert, wird die Qlik Cloud Anmeldeseite in Edge geöffnet. Edge führt dann eine eigene Microsoft-Authentifizierung durch, bevor die Seite gerendert wird. Wenn Ihre Richtlinien für bedingten Zugriff eine Gewährungskontrolle auf Alle Cloud-Apps oder auf Ihre IdP-App-Registrierung anwenden, wird diese Gewährungskontrolle an dieser Stelle für Edge ausgewertet. Siehe Anleitung zur Richtlinie für bedingten Zugriff für die Auswirkungen verschiedener Gewährungskontrollen in diesem Auswertungspunkt.

Einrichten von App-Konfigurationsrichtlinien

Verwenden Sie App-Konfigurationsrichtlinien in Intune, um der mobilen App von Qlik Analytics die erforderlichen Einstellungen bereitzustellen, um eine Verbindung zu Ihrem Qlik Cloud-Mandanten herzustellen.

Die folgenden Beispiele zeigen, wie Schlüssel-Wert-Paare für die Mobil-App in Intune konfiguriert werden. Ersetzen Sie Platzhalter (<policy name>, <tenant name>, <tenant URL>) durch Ihre eigenen Werte.

Verwaltete Geräte (iOS)

App-Konfigurationen > Richtlinienname > Eigenschaften > Einstellungen:

  • Geräteregistrierungstyp: Verwaltete Geräte

  • Plattform: iOS

Schlüssel-Wert-Paare:

Schlüssel: mdm

Wert:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts definiert einen oder mehrere Qlik Cloud-Mandanten, mit denen sich die App verbinden kann.

  • name: Ihr gewählter Mandantenname, der Benutzern angezeigt wird.

  • url: Die URL des Qlik Cloud-Mandanten (zum Beispiel mobileintune.us.qlikcloud.com).

Schlüssel: IntuneMAMOID

Wert: {{userid}}

Übergibt die Intune-Benutzer-ID an die App.

ODER

  • Geräteregistrierungstyp: Verwaltete Geräte

  • Plattform: Android

Schlüssel-Wert-Paare:

Schlüssel: mdm

Wert:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts definiert einen oder mehrere Qlik Cloud-Mandanten, mit denen sich die App verbinden kann.

  • name: Ihr gewählter Mandantenname, der Benutzern angezeigt wird.

  • url: Die URL des Qlik Cloud-Mandanten (zum Beispiel mobileintune.us.qlikcloud.com).

Verwaltete Apps (mehrere Plattformen)

App-Konfigurationen > Richtlinienname > Eigenschaften > Einstellungen:

  • Geräteregistrierungstyp: Verwaltete Apps

  • Plattform: iOS

Schlüssel-Wert-Paar:

Schlüssel: mdm

Wert:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Diese JSON-Datei erfüllt dieselbe Funktion wie im Szenario mit verwalteten Geräten, indem sie die verfügbaren Mandantenverbindungen für die Authentifizierung in Ihrer Qlik Cloud-Umgebung definiert. In diesem Szenario ist nur der mdm-Schlüssel erforderlich. Es ist keine Zuordnung der Benutzer-ID erforderlich.

Richtlinieninformationen in der App

Der Info-Bildschirm in den Einstellungen der Qlik Analytics Mobil-App zeigt an, ob eine Richtlinie auf die App angewendet wird.

  • Wenn eine Richtlinie bereitgestellt wird (App-Schutz oder App-Konfiguration), zeigt der Bildschirm Richtlinie angewendet – Ja an.

  • Wenn für die Richtlinie ein Richtlinienname konfiguriert ist, wird dieser auch in einer separaten Zeile als Richtlinienname angezeigt.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!

Geben Sie hier Ihr Feedback ab