Zabezpieczanie i konfigurowanie aplikacji mobilnej Qlik Analytics za pomocą Microsoft Intune

Aplikacja mobilna Qlik Analytics zapewnia zespołom terenowym bezpieczny dostęp do analiz Qlik Cloud na ich urządzeniach mobilnych. Możesz użyć Microsoft Intune i Microsoft Entra ID, aby kontrolować dostęp, chronić dane firmowe i udostępniać ustawienia, których użytkownicy potrzebują, aby połączyć się z Twoją dzierżawą Qlik Cloud.

Ten temat opisuje, jak skonfigurować zasady ochrony aplikacji Intune, zasady konfiguracji aplikacji i kontrole dostępu Qlik Cloud w celu zarządzania i zabezpieczania aplikacji mobilnej Qlik Analytics na urządzeniach z systemem Android i iOS.

Informacje o integracji z Microsoft Intune

Firma Qlik zintegrowała standardowe pakiety SDK Intune i Microsoft Authentication Library (MSAL) firmy Microsoft zgodnie z wytycznymi dla programistów firmy Microsoft.
Microsoft Entra ID, Microsoft Intune i powiązane pakiety SDK to produkty firmy Microsoft.
Firma Qlik, w tym Pomoc techniczna Qlik, nie może udzielać wskazówek dotyczących konfigurowania wdrożenia Entra lub Intune ani ustawień urządzeń mobilnych dla urządzeń, na których działa aplikacja mobilna Qlik Analytics.
Zapoznaj się z dokumentacją Microsoft Intune lub skontaktuj się z pomocą techniczną Microsoft Intune, aby uzyskać wskazówki dotyczące zarządzania urządzeniami mobilnymi (MDM) lub zarządzania aplikacjami mobilnymi (MAM).

Pakiet SDK Microsoft Tunnel for Mobile Application Management nie jest zintegrowany z aplikacją mobilną Qlik Analytics.

Co jest potrzebne przed rozpoczęciem

Przed skonfigurowaniem aplikacji mobilnej Qlik Analytics w Intune upewnij się, że masz następujące elementy:

Dzierżawa Qlik Cloud używająca Microsoft Entra ID jako głównego dostawcy tożsamości

Wymuszanie Intune MAM wymaga, aby dzierżawa Qlik Cloud była skonfigurowana do używania Entra ID bezpośrednio jako dostawcy tożsamości za pośrednictwem OIDC. Więcej informacji zawiera temat Dostawcy tożsamości w Qlik Cloud.

InformacjaDzierżawy korzystające z dostawcy tożsamości innego niż Entra (takiego jak Okta, Auth0, SAML lub Qlik Account) nie obsługują wymuszania Intune MAM. Dzierżawy, które federują dostawcę tożsamości innego niż Entra z Microsoft Entra ID, nie są obsługiwane w tej wersji. Zobacz Zgodność dostawcy tożsamości.
Microsoft Entra ID zintegrowany z Microsoft Intune

Twoja organizacja musi mieć Entra połączone z Intune, aby można było wymuszać zasady dotyczące urządzeń i aplikacji.
Użytkownicy zarejestrowani w Microsoft Entra ID

Wszyscy użytkownicy, którzy będą uzyskiwać dostęp do aplikacji mobilnej Qlik Analytics, muszą mieć konta w dzierżawie Entra ID i być uwzględnieni w katalogu użytkowników używanym do dostępu do dzierżawy Qlik Cloud.
Uprawnienia administratora dzierżawy Qlik Cloud

Potrzebujesz dostępu administratora dzierżawy w Qlik Cloud, aby przypisywać kontrole dostępu mobilnego użytkownikom i grupom. Zobacz Konfigurowanie dostępu mobilnego z MAM w Qlik Cloud.

Instalowanie aplikacji mobilnej Qlik Analytics

Aplikacja mobilna Qlik Analytics jest dostępna w sklepach iOS App Store i Google Play Store. Więcej informacji zawiera temat Rozpoczęcie pracy z aplikacją mobilną Qlik Analytics.

W zależności od platformy i wdrożenia na urządzeniu może być wymagany Portal firmy Microsoft i/lub Microsoft Authenticator. W systemie Android Portal firmy jest wymagany w scenariuszach MAM bez rejestracji urządzenia (MAM-WE).

Konfigurowanie Microsoft Intune dla aplikacji mobilnej Qlik Analytics w Microsoft Entra ID

W tej sekcji opisano główne kroki rejestracji i zarządzania aplikacją mobilną Qlik Analytics w Entra ID i Intune. Skonfiguruj Entra ID i Intune zgodnie z wymaganiami swojej organizacji. Szczegółowe instrukcje dotyczące rejestracji aplikacji można znaleźć w dokumentacji Microsoft Intune.

Rejestrowanie aplikacji Qlik Analytics w Microsoft Entra ID

Zarejestruj aplikację mobilną Qlik Analytics w Microsoft Entra ID, aby używać jej z Microsoft Intune.

Wykonaj następujące czynności:

W Entra ID przejdź do Rejestracje aplikacji i wybierz Nowa rejestracja.
Wybierz łącze do Aplikacje dla przedsiębiorstw, ponieważ integrujesz globalnie zarejestrowaną aplikację.
Wyszukaj identyfikator aplikacji: 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Jest to globalna rejestracja aplikacji Qlik.
W razie potrzeby administrator Intune może zainicjować rejestrację, logując się i odwiedzając stronę:

https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9
Po dodaniu aplikacji mobilnej Qlik Analytics i jej pojawieniu się w sekcji Aplikacje dla przedsiębiorstw wykonaj następujące czynności:
- Przypisz użytkowników i grupy, jeśli chcesz ograniczyć dostęp do aplikacji.
- W sekcji Uprawnienia udziel zgody administratora dla swojej domeny.

Wskazówki dotyczące zasad dostępu warunkowego

Aplikacja mobilna Qlik Analytics jest globalnie zarejestrowana w Microsoft Entra ID z identyfikatorem aplikacji 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Ta rejestracja pojawia się jako aplikacja w chmurze w Twojej dzierżawie. Wszelkie zasady dostępu warunkowego o zakresie Wszystkie aplikacje w chmurze mają zastosowanie do tej rejestracji aplikacji.

Dostęp warunkowy i przepływ uwierzytelniania

Przepływ uwierzytelniania Dozwolone z Intune obejmuje dwa kroki logowania:

Uwierzytelnianie aplikacji (logowanie MSAL)

Aplikacja mobilna Qlik Analytics używa MSAL do uwierzytelniania użytkownika w Entra. Zasady Intune MAM są oceniane podczas tego kroku.
Logowanie do Qlik Cloud w przeglądarce

Aplikacja otwiera zewnętrzną przeglądarkę na urządzeniu, aby ukończyć uwierzytelnianie Qlik Cloud. W przypadku przepływów Intune wymuszana jest przeglądarka Microsoft Edge.

W tym drugim kroku Entra ocenia przeglądarkę — a nie aplikację mobilną Qlik Analytics — jako aplikację kliencką podczas stosowania zasad dostępu warunkowego dla rejestracji aplikacji. Wszelkie kontrole przyznawania zastosowane do rejestracji aplikacji muszą być obsługiwane przez przeglądarkę używaną w tym kroku.

Kwestie dotyczące zakresu dostępu warunkowego

Ponieważ rejestracja aplikacji Qlik Analytics jest widoczna jako aplikacja w chmurze w Twojej dzierżawie, zasady dostępu warunkowego o zakresie Wszystkie aplikacje w chmurze mają również zastosowanie do kroku logowania w przeglądarce.

Jeśli zasada używa Wymagaj zasad ochrony aplikacji jako kontroli przyznawania, przeglądarka używana w kroku logowania Qlik musi niezależnie spełniać to wymaganie. Wymaga to wdrożenia zasad ochrony aplikacji Intune dla przeglądarki Microsoft Edge dla użytkowników. Jeśli przeglądarka Edge nie jest objęta zasadami ochrony aplikacji, krok logowania w przeglądarce może zostać zablokowany.

Przed wdrożeniem

Przed wdrożeniem aplikacji mobilnej Qlik Analytics z wymuszaniem Intune MAM sprawdź u administratora Microsoft Entra lub Intune, w jaki sposób istniejące zasady dostępu warunkowego mają zastosowanie do przeglądarki używanej w kroku logowania Qlik.

Firma Qlik nie udziela wskazówek dotyczących konfigurowania zasad dostępu warunkowego Entra ani szerszych konfiguracji wdrożenia Intune. Wskazówki można znaleźć w temacie Informacje o dostępie warunkowym i usłudze Intune w dokumentacji firmy Microsoft.

Jak działa wymuszanie MAM dla aplikacji mobilnej Qlik Analytics

Gdy użytkownikowi przypisano dostęp Dozwolone z Intune, aplikacja mobilna Qlik Analytics inicjuje rejestrację w Microsoft Intune w ramach przepływu logowania. Aplikacja weryfikuje stan rejestracji przed przyznaniem dostępu do zawartości dzierżawy. Jeśli urządzenie nie jest prawidłowo zarejestrowane lub nie spełnia wymagań Intune, dostęp jest odrzucany na poziomie aplikacji.

To wymuszanie jest wykonywane w aplikacji mobilnej i jest częścią etapowego dostarczania. W przyszłej wersji dodane zostanie odpowiednie wymuszanie po stronie serwera w warstwie uwierzytelniania Qlik Cloud w celu zapewnienia dodatkowej, dogłębnej obrony.

Konfigurowanie dostępu mobilnego z MAM w Qlik Cloud

Wymuszanie Intune (MAM) jest kontrolowane przez uprawnienie dostępu mobilnego przypisane do użytkowników i grup w centrum aktywności Administrowanie Qlik Cloud. Jest to główny krok konfiguracji po stronie Qlik i musi zostać wykonany wraz z konfiguracją Intune i Entra.

Uprawnienia dostępu mobilnego

Uprawnienia dostępu mobilnego konfiguruje się w centrum aktywności Administrowanie > Zarządzaj użytkownikami > Uprawnienia.

Otwórz ustawienia uprawnień dla opcji Domyślne użytkownika lub roli niestandardowej, rozwiń Funkcje i akcje i zlokalizuj Urządzenia mobilne > Natywna aplikacja mobilna.

Więcej informacji o ustawieniach uprawnień zawiera temat Ustawianie dostępu do aplikacji mobilnej Qlik Analytics.

Wskazówki dotyczące przypisywania uprawnień dla dzierżaw zarządzanych przez Intune

W przypadku dzierżaw korzystających z ochrony aplikacji Intune przypisz Dozwolone z Intune wszystkim użytkownikom i grupom, którzy wymagają dostępu mobilnego, niezależnie od stanu zarządzania urządzeniem.

Dlaczego opcja Dozwolone nie jest wystarczająca dla użytkowników zarządzanych przez Intune

Uprawnienie dostępu mobilnego dotyczy użytkownika, a nie urządzenia. Jeśli użytkownik ma przypisane uprawnienie Dozwolone na swoim firmowym urządzeniu zarejestrowanym w MDM, ma to samo uprawnienie dostępu, gdy loguje się na osobistym, niezarządzanym urządzeniu.

To osobiste urządzenie nie ma rejestracji MDM ani brokera Intune. Gdy uprawnienie dostępu użytkownika jest ustawione na Dozwolone, aplikacja mobilna Qlik Analytics nie wymaga rejestracji w Intune, a dostęp jest przyznawany bez stosowania zasad ochrony aplikacji. Użytkownik może uzyskać dostęp do dzierżawy z niezarządzanego urządzenia bez ochrony Intune, omijając zasady Intune w organizacji.

Zalecany wzorzec przypisywania dla dzierżaw zarządzanych przez Intune

Wzorzec przypisywania
Przypisanie	Uprawnienie	Powód
Ustawienie Domyślne użytkownika	Niedozwolone	Brak dostępu mobilnego domyślnie
Użytkownicy zarejestrowani w MDM	Dozwolone z Intune	Na zarejestrowanych urządzeniach rejestracja kończy się w tle lub prawie w tle. Nie dodaje to żadnych znaczących utrudnień. Ten sam użytkownik na urządzeniu osobistym musi ukończyć rejestrację, zanim uzyska dostęp.
Użytkownicy BYOD	Dozwolone z Intune	Wymóg pełnej rejestracji na urządzeniach niezarządzanych.

Używaj opcji Dozwolone tylko dla dzierżaw lub grup, w których ochrona aplikacji Intune nie jest wymagana, takich jak wewnętrzne dzierżawy bez Intune lub określone konta usług.

Zgodność dostawcy tożsamości

Wymuszanie Intune MAM wymaga Microsoft Entra ID jako dostawcy tożsamości (IdP) dla dzierżawy Qlik Cloud. Poniższa tabela podsumowuje obsługę aplikacji mobilnej w różnych konfiguracjach dostawców tożsamości.

Zgodność IdP
Dostawca tożsamości	Standardowy dostęp mobilny (Dozwolone)	Wymuszanie Intune (Dozwolone z Intune)
Microsoft Entra ID	Obsługiwane	Obsługiwane
Okta (brak federacji Entra)	Obsługiwane	Nieobsługiwane — nie przypisuj Dozwolone z Intune
Auth0 (brak federacji Entra)	Obsługiwane	Nieobsługiwane — nie przypisuj Dozwolone z Intune
SAML / ADFS (brak federacji Entra)	Obsługiwane	Nieobsługiwane — nie przypisuj Dozwolone z Intune
Qlik Account	Obsługiwane	Nieobsługiwane — nie przypisuj Dozwolone z Intune
Ogólny OIDC	Obsługiwane	Nieobsługiwane — nie przypisuj Dozwolone z Intune
Scenariusze federacyjnego IdP (dowolny IdP inny niż Entra sfederowany z Entra ID)	Obsługiwane	Nieobsługiwane w tej wersji

Scenariusze federacyjnego IdP: Klienci, którzy federują Okta, Auth0, SAML lub ADFS z Microsoft Entra ID, nie są obsługiwani w zakresie wymuszania Intune MAM w tej wersji. Przypisanie Dozwolone z Intune użytkownikom w dzierżawie z federacyjnym IdP spowoduje błędy uwierzytelniania. Obsługa scenariuszy federacyjnego IdP jest planowana w przyszłej wersji.

Konfigurowanie zasad ochrony aplikacji

Aplikacja mobilna Qlik Analytics obsługuje następujące funkcje zasad Intune:

Wymaganie od użytkowników logowania się za pomocą poświadczeń firmowych (Microsoft Entra ID).
Wymuszanie kodu PIN w celu uzyskania dostępu do aplikacji.
Ograniczanie akcji kopiowania, wklejania i pobierania w aplikacji.
Blokowanie lub kontrolowanie zrzutów ekranu.
Wstępne ładowanie ustawień dzierżawy Qlik Cloud przy użyciu zasad konfiguracji aplikacji.

Ważne kwestie

Zasady ochrony aplikacji kontrolują, które aplikacje mogą udostępniać sobie nawzajem dane.

Jeśli użytkownicy muszą wysyłać e-maile diagnostyczne z aplikacji mobilnej Qlik Analytics, zasady muszą zezwalać na transfer danych między aplikacjami.
Aplikacja mobilna Qlik Analytics wymaga dostępu do przeglądarki urządzenia, aby ukończyć logowanie. Zasady ochrony aplikacji muszą na to zezwalać.
Kluczowe ustawienia zasad aplikacji Intune do przejrzenia:
- Ochrona danych > Wysyłaj dane organizacji do innych aplikacji
- Ochrona danych > Wybierz aplikacje do wykluczenia (com.qlik.qsm)
- Funkcjonalność > Ogranicz transfer zawartości internetowej z innymi aplikacjami — w przypadku skonfigurowania otwierania adresów URL w przeglądarce Microsoft Edge strona logowania Qlik Cloud jest otwierana w przeglądarce Edge. Następnie przeglądarka Edge wykonuje własne uwierzytelnianie Microsoft przed wyrenderowaniem strony. Jeśli zasady dostępu warunkowego stosują kontrolę przyznawania do Wszystkie aplikacje w chmurze lub do rejestracji aplikacji IdP, ta kontrola przyznawania jest w tym momencie oceniana względem przeglądarki Edge. Zobacz Wskazówki dotyczące zasad dostępu warunkowego, aby poznać implikacje różnych kontroli przyznawania w tym punkcie oceny.

Konfigurowanie zasad konfiguracji aplikacji

Użyj zasad konfiguracji aplikacji w Intune, aby udostępnić aplikacji mobilnej Qlik Analytics ustawienia potrzebne do połączenia z dzierżawą Qlik Cloud.

Poniższe przykłady pokazują, jak skonfigurować pary klucz-wartość dla aplikacji mobilnej w Intune. Zastąp symbole zastępcze (<policy name>, <tenant name>, <tenant URL>) własnymi wartościami.

Zarządzane urządzenia (iOS)

Konfiguracje aplikacji > Nazwa zasady > Właściwości > Ustawienia:

Typ rejestracji urządzenia: Zarządzane urządzenia
Platforma: iOS

Pary klucz-wartość:

Klucz: mdm

Wartość:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts definiuje jedną lub więcej dzierżaw Qlik Cloud, z którymi aplikacja może się połączyć.

name: Wybrana nazwa dzierżawy wyświetlana użytkownikom.
url: Adres URL dzierżawy Qlik Cloud (na przykład mobileintune.us.qlikcloud.com).

Klucz: IntuneMAMOID

Wartość: {{userid}}

Przekazuje identyfikator użytkownika Intune do aplikacji.

LUB

Typ rejestracji urządzenia: Zarządzane urządzenia
Platforma: Android

Pary klucz-wartość:

Klucz: mdm

Wartość:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts definiuje jedną lub więcej dzierżaw Qlik Cloud, z którymi aplikacja może się połączyć.

name: Wybrana nazwa dzierżawy wyświetlana użytkownikom.
url: Adres URL dzierżawy Qlik Cloud (na przykład mobileintune.us.qlikcloud.com).

Zarządzane aplikacje (wiele platform)

Konfiguracje aplikacji > Nazwa zasady > Właściwości > Ustawienia:

Typ rejestracji urządzenia: Zarządzane aplikacje
Platforma: iOS

Para klucz-wartość:

Klucz: mdm

Wartość:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Ten kod JSON pełni tę samą funkcję, co w scenariuszu zarządzanego urządzenia, definiując dostępne połączenia dzierżawy do uwierzytelniania w środowisku Qlik Cloud. W tym scenariuszu wymagany jest tylko klucz mdm. Mapowanie identyfikatora użytkownika nie jest potrzebne.

Informacje o zasadach w aplikacji

Ekran Informacje w ustawieniach aplikacji mobilnej Qlik Analytics pokazuje, czy do aplikacji zastosowano zasady.

Po wdrożeniu dowolnych zasad (ochrony aplikacji lub konfiguracji aplikacji) na ekranie wyświetlany jest komunikat Zastosowano zasady — Tak.
Jeśli zasady mają skonfigurowaną nazwę, pojawia się ona również w osobnym wierszu jako Nazwa zasady.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać!

Przekaż tu opinię