Sécurisation et configuration de l'application mobile Qlik Analytics avec Microsoft Intune

L'application mobile Qlik Analytics offre aux équipes sur le terrain un accès sécurisé aux analyses Qlik Cloud sur leurs appareils mobiles. Vous pouvez utiliser Microsoft Intune et Microsoft Entra ID pour contrôler l'accès, protéger les données de l'entreprise et fournir les paramètres dont les utilisateurs ont besoin pour se connecter à votre client Qlik Cloud.

Cette rubrique couvre la configuration des stratégies de protection des applications Intune, des stratégies de configuration des applications et des contrôles d'accès Qlik Cloud pour gérer et sécuriser l'application mobile Qlik Analytics sur les appareils Android et iOS.

À propos de l'intégration Microsoft Intune

Qlik a intégré les SDK Intune et Microsoft Authentication Library (MSAL) standards de Microsoft conformément aux directives de développement de Microsoft.
Microsoft Entra ID, Microsoft Intune et les SDK associés sont des produits Microsoft.
Qlik, y compris Support Qlik, ne peut pas vous fournir de conseils sur la configuration de votre déploiement Entra ou Intune ni sur les paramètres des appareils mobiles des appareils exécutant l'application mobile Qlik Analytics.
Reportez-vous à la documentation Microsoft Intune ou contactez le support Microsoft Intune pour obtenir des conseils sur la gestion des appareils mobiles (Mobile Device Management ou MDM) ou la gestion des applications mobiles (Mobile Application Management ou MAM).

Le SDK Microsoft Tunnel pour la gestion des applications mobiles n'est pas intégré à l'application mobile Qlik Analytics.

Ce dont vous avez besoin avant de commencer

Avant de configurer l'application mobile Qlik Analytics dans Intune, assurez-vous de remplir les conditions suivantes :

Client Qlik Cloud utilisant Microsoft Entra ID comme fournisseur d'identité principal

La contrainte MAM Intune nécessite que votre client Qlik Cloud soit configuré de sorte à utiliser Entra ID directement comme fournisseur d'identité via OIDC. Pour plus d'informations, consultez Fournisseurs d'identité dans Qlik Cloud.

Note InformationsLes clients qui utilisent un fournisseur d'identité non-Entra (tel que Okta, Auth0, SAML ou Qlik Account) ne supportent pas la contrainte MAM Intune. Les clients qui fédèrent un fournisseur d'identité non-Entra dans Microsoft Entra ID ne sont pas supportés dans cette version. Consultez Compatibilité du fournisseur d'identité.
Microsoft Entra ID intégré à Microsoft Intune

Votre organisation doit avoir Entra connecté à Intune afin que vous puissiez appliquer des stratégies d'appareils et d'applications.
Utilisateurs enregistrés dans Microsoft Entra ID

Tous les utilisateurs qui accèderont à l'application mobile Qlik Analytics doivent avoir des comptes dans votre client Entra ID et être inclus dans le répertoire d'utilisateurs employé pour l'accès au client Qlik Cloud.
Autorisations d'administrateur de clients Qlik Cloud

Vous avez besoin d'un accès d'administrateur de clients dans Qlik Cloud pour pouvoir affecter des contrôles d'accès mobile à des utilisateurs et à des groupes. Consultez Configuration de l'accès mobile avec MAM dans Qlik Cloud.

Installation de l'application mobile Qlik Analytics

L'application mobile Qlik Analytics est disponible sur l'App Store iOS et le Google Play Store. Pour plus d'informations, consultez Prise en main de l'application mobile Qlik Analytics.

Selon la plateforme et le déploiement, Microsoft Company Portal et/ou Microsoft Authenticator peuvent être requis sur l'appareil. Sur Android, Company Portal est requis pour les scénarios MAM sans inscription d'appareil (MAM-WE).

Configuration de Microsoft Intune pour l'application mobile Qlik Analytics dans Microsoft Entra ID

Cette section décrit les principales étapes pour inscrire et gérer l'application mobile Qlik Analytics dans Entra ID et dans Intune. Configurez Entra ID et Intune selon les exigences de votre organisation. Pour des instructions détaillées sur l'inscription de l'application, consultez la documentation Microsoft Intune.

Inscription de l'application Qlik Analytics dans Microsoft Entra ID

Inscrivez l'application mobile Qlik Analytics dans Microsoft Entra ID pour pouvoir l'utiliser avec Microsoft Intune.

Procédez comme suit :

Dans Entra ID, accédez à Inscriptions d'applications et sélectionnez Nouvelle inscription.
Sélectionnez le lien vers Applications d'entreprise, car vous intégrez une application inscrite globalement.
Recherchez l'ID de l'application : 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Il s'agit de l'inscription globale de l'application Qlik.
Si nécessaire, l'administrateur Intune peut lancer l'inscription en se connectant et en consultant :

https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9
Une fois que l'application mobile Qlik Analytics est ajoutée et apparaît sous Applications d'entreprise, effectuez les opérations suivantes :
- Attribuez des utilisateurs et des groupes si vous souhaitez limiter l'accès à l'application.
- Sous Autorisations, accordez le consentement administrateur pour votre domaine.

Conseils relatifs à la stratégie d'accès conditionnel

L'application mobile Qlik Analytics est enregistrée globalement dans Microsoft Entra ID avec l'ID d'application 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Cet enregistrement apparaît sous la forme d'une application cloud dans votre client. Toute stratégie d'accès conditionnel limitée à Toutes les applications cloud s'applique à cet enregistrement d'application.

Accès conditionnel et flux d'authentification

Le flux d'authentification Autorisé avec Intune comprend deux étapes de connexion :

Authentification d'application (connexion MSAL)

L'application mobile Qlik Analytics utilise MSAL pour authentifier l'utilisateur auprès d'Entra. Les stratégies MAM Intune sont évaluées au cours de cette étape.
Connexion Qlik Cloud basée sur un navigateur

L'application ouvre un navigateur externe sur l'appareil pour effectuer l'authentification Qlik Cloud. Pour les flux Intune, Microsoft Edge est appliqué.

Dans cette deuxième étape, Entra évalue le navigateur — et non l'application mobile Qlik Analytics — comme application cliente lors de l'application de stratégies d'accès conditionnel pour l'enregistrement d'application. Tout contrôle d'octroi appliqué à l'enregistrement d'application doit être supporté par le navigateur utilisé à cette étape.

Considérations relatives à la portée de l'accès conditionnel

Étant donné que l'enregistrement d'application Qlik Analytics est visible sous forme d'application cloud dans votre client, les stratégies d'accès conditionnel axées sur Toutes les applications cloud s'appliquent également à l'étape de connexion du navigateur.

Si une stratégie utilise Exiger une stratégie de protection des applications comme contrôle d'octroi, le navigateur utilisé à l'étape de connexion Qlik doit remplir cette condition indépendamment. Pour ce faire, il faut que Microsoft Edge dispose d'une stratégie de protection des applications Intune déployée pour vos utilisateurs. Si Edge n'est pas couvert par une stratégie de protection des applications, il se peut que l'étape de connexion du navigateur soit bloquée.

Avant le déploiement

Avant de déployer l'application mobile Qlik Analytics avec la contrainte MAM Intune, vérifiez auprès de votre administrateur Microsoft Entra ou Intune comment vos stratégies d'accès conditionnel existantes s'appliquent au navigateur utilisé à l'étape de connexion Qlik.

Qlik ne fournit pas de conseils sur la configuration des stratégies d'accès conditionnel Entra ni sur les configurations de déploiement Intune plus larges. Pour obtenir des conseils, consultez En savoir plus sur l'accès conditionnel et Intune dans la documentation Microsoft.

Fonctionnement de la contrainte MAM pour l'application mobile Qlik Analytics

Lorsqu'un utilisateur se voit attribuer l'accès Autorisé avec Intune, l'application mobile Qlik Analytics lance l'inscription Microsoft Intune dans le cadre du flux de connexion. L'application vérifie le statut d'inscription avant d'accorder l'accès au contenu du client. Si l'appareil n'est pas correctement inscrit ou ne remplit pas les conditions d'Intune, l'accès est refusé au niveau de l'application.

Cette contrainte est imposée dans l'application mobile et fait partie d'une distribution progressive. Une future version ajoutera une contrainte côté serveur correspondante au niveau de la couche d'authentification Qlik Cloud pour une défense en profondeur supplémentaire.

Configuration de l'accès mobile avec MAM dans Qlik Cloud

La contrainte (MAM) Intune est contrôlée par l'autorisation d'accès mobile attribuée aux utilisateurs et aux groupes dans le centre d'activités Administration de Qlik Cloud. Il s'agit de la principale étape de configuration côté Qlik, et elle doit être effectuée en parallèle de votre configuration Intune et Entra.

Autorisations d'accès mobile

Vous configurez les autorisations d'accès mobile dans le centre d'activités Administration > Gérer les utilisateurs > Autorisations.

Ouvrez les paramètres d'autorisation du rôle Utilisateur par défaut ou d'un rôle personnalisé, développez Fonctionnalités et actions et localisez Mobile > Application mobile native.

Pour plus d'informations sur les paramètres d'autorisation, consultez Définition de l'accès à l'application mobile Qlik Analytics.

Conseils d'attribution des autorisations pour les clients gouvernés par Intune

Pour les clients qui utilisent la protection des applications Intune, attribuez Autorisé avec Intune à tous les utilisateurs et à tous les groupes qui nécessitent un accès mobile, quel que soit l'état de gestion de l'appareil.

Pourquoi Accordé n'est pas suffisant pour les utilisateurs gouvernés par Intune

L'autorisation d'accès mobile s'applique à l'utilisateur et non à l'appareil. Si un utilisateur se voit attribuer Accordé sur son appareil d'entreprise inscrit auprès de MDM, il conserve la même autorisation d'accès lorsqu'il se connecte sur un appareil personnel non géré.

Cet appareil personnel n'a aucune inscription MDM et aucun broker Intune. Avec l'autorisation d'accès de l'utilisateur définie sur Accordé, l'application mobile Qlik Analytics ne nécessite pas d'inscription Intune et l'accès est accordé sans appliquer de stratégies de protection des applications. L'utilisateur peut accéder au client à partir d'un appareil non géré sans protection Intune, contournant ainsi les stratégies Intune de votre organisation.

Modèle d'affectation recommandé pour les clients gouvernés par Intune

Modèle d'affectation
Affectation	Autorisations	Motif
Paramètres Utilisateur par défaut	Non accordé	Pas d'accès mobile par défaut
Utilisateurs inscrits auprès de MDM	Autorisé avec Intune	Sur les appareils inscrits, l'inscription s'effectue silencieusement ou quasi-silencieusement. Aucune friction significative n'est ajoutée. Le même utilisateur sur un appareil personnel doit procéder à l'inscription avant que l'accès ne soit accordé.
Utilisateurs BYOD	Autorisé avec Intune	Condition d'inscription complète sur les appareils non gérés.

Utilisez Accordé uniquement pour les clients ou les groupes pour lesquels la protection des applications Intune n'est pas requise, tels que les clients internes non-Intune ou des comptes de service spécifiques.

Compatibilité du fournisseur d'identité

La contrainte MAM Intune nécessite Microsoft Entra ID comme fournisseur d'identité (IdP) pour votre client Qlik Cloud. Le tableau suivant récapitule la compatibilité des applications mobiles avec les différentes configurations de fournisseur d'identité.

Compatibilité IdP
Fournisseur d'identité	Accès mobile standard (Accordé)	Contrainte Intune (Autorisé avec Intune)
Microsoft Entra ID	Supporté	Supporté
Okta (pas de fédération Entra)	Supporté	Non supporté — ne pas attribuer Autorisé avec Intune
Auth0 (pas de fédération Entra)	Supporté	Non supporté — ne pas attribuer Autorisé avec Intune
SAML/ADFS (pas de fédération Entra)	Supporté	Non supporté — ne pas attribuer Autorisé avec Intune
Qlik Account	Supporté	Non supporté — ne pas attribuer Autorisé avec Intune
OIDC générique	Supporté	Non supporté — ne pas attribuer Autorisé avec Intune
Scénarios IdP fédérés (tout IdP non-Entra fédéré dans Entra ID)	Supporté	Non supporté dans cette version

Scénarios IdP fédérés : Les clients qui fédèrent Okta, Auth0, SAML ou ADFS dans Microsoft Entra ID ne sont pas supportés pour la contrainte MAM Intune dans cette version. L'attribution de Autorisé avec Intune à des utilisateurs d'un client IdP fédéré entraînera des échecs d'authentification. Le support des scénarios IdP fédérés est prévu dans une version future.

Configuration des stratégies de protection des applications

L'application mobile Qlik Analytics supporte les fonctionnalités de stratégie Intune suivantes :

Obligation pour les utilisateurs de se connecter via les identifiants de l'entreprise (Microsoft Entra ID).
Application d'un code PIN pour accéder à l'application.
Limitation des actions copier, coller et télécharger au sein de l'application.
Blocage ou contrôle des captures d'écran.
Préchargement des paramètres du client Qlik Cloud à l'aide de stratégies de configuration des applications.

Considérations importantes

Les stratégies de protection des applications contrôlent les applications qui peuvent partager des données entre elles.

Si les utilisateurs doivent envoyer des e-mails de diagnostic depuis l'application mobile Qlik Analytics, la stratégie doit autoriser le transfert de données entre les applications.
L'application mobile Qlik Analytics nécessite un accès au navigateur de l'appareil pour terminer la connexion. Votre stratégie de protection des applications doit le permettre.
Paramètres de stratégies des applications Intune clés à examiner :
- Protection des données > Envoyer les données de l'organisation à d'autres applications
- Protection des données > Sélectionner les applications à exempter (com.qlik.qsm)
- Fonctionnalité > Restreindre le transfert de contenu web avec d'autres applications—en cas de configuration pour ouvrir des URL dans Microsoft Edge, la page de connexion Qlik Cloud s'ouvre dans Edge. Edge effectue alors sa propre authentification Microsoft avant d'afficher la page. Si vos stratégies d'accès conditionnel appliquent un contrôle d'octroi à Toutes les applications cloud ou à l'enregistrement de votre application IdP, ce contrôle d'octroi est évalué par rapport à Edge à ce stade. Consultez Conseils relatifs à la stratégie d'accès conditionnel pour connaître les implications des différents contrôles d'octroi à ce point d'évaluation.

Configuration des stratégies de configuration des applications

Utilisez les stratégies de configuration des applications de Intune pour fournir à l'application mobile Qlik Analytics les paramètres dont elle a besoin pour se connecter à votre client Qlik Cloud.

Les exemples suivants montrent comment configurer des paires clé-valeur pour l'application mobile dans Intune. Remplacez les espaces réservés (<policy name>, <tenant name>, <tenant URL>) par vos propres valeurs.

Appareils gérés (iOS)

Configurations des applications > Nom de la stratégie > Propriétés > Paramètres :

Type d'inscription de l'appareil : appareils gérés
Plateforme : iOS

Paires clé-valeur :

Clé : mdm

Valeur :

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts définit un ou plusieurs clients Qlik Cloud auxquels l'application peut se connecter.

name : nom de client choisi affiché aux utilisateurs.
url : URL du client Qlik Cloud (par exemple, mobileintune.us.qlikcloud.com).

Clé : IntuneMAMOID

Valeur : {{userid}}

Transmet l'ID utilisateur Intune à l'application.

Type d'inscription de l'appareil : appareils gérés
Plateforme : Android

Paires clé-valeur :

Clé : mdm

Valeur :

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts définit un ou plusieurs clients Qlik Cloud auxquels l'application peut se connecter.

name : nom de client choisi affiché aux utilisateurs.
url : URL du client Qlik Cloud (par exemple, mobileintune.us.qlikcloud.com).

Applications gérées (plusieurs plateformes)

Configurations des applications > Nom de la stratégie > Propriétés > Paramètres :

Type d'inscription de l'appareil : applications gérées
Plateforme : iOS

Paire clé-valeur :

Clé : mdm

Valeur :

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Ce JSON remplit la même fonction que dans le scénario de l'appareil géré, en définissant les connexions de client disponibles pour l'authentification auprès de votre environnement Qlik Cloud. Dans ce scénario, seule la clé mdm est requise. Aucun mappage d'ID utilisateur n'est nécessaire.

Informations sur la stratégie dans l'application

L'écran À propos de des paramètres de l'application mobile Qlik Analytics indique si une stratégie est appliquée à l'application.

Lorsqu'une stratégie est déployée (protection d'applications ou configuration d'applications), l'écran affiche Stratégie appliquée — Oui.
Si la stratégie a un nom de stratégie configuré, il apparaît également sur une ligne distincte en tant que Nom de la stratégie.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici