Защита и настройка мобильного приложения Qlik Analytics с помощью Microsoft Intune | Qlik Cloud Справка
Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik

Защита и настройка мобильного приложения Qlik Analytics с помощью Microsoft Intune

Мобильное приложение Qlik Analytics предоставляет выездным командам безопасный доступ к аналитике Qlik Cloud на их мобильных устройствах. Вы можете использовать Microsoft Intune и Microsoft Entra ID для управления доступом, защиты данных компании и предоставления настроек, необходимых пользователям для подключения к вашему клиенту Qlik Cloud.

В этом разделе описывается, как настроить политики защиты приложений Intune, политики конфигурации приложений и элементы управления доступом Qlik Cloud для управления и защиты мобильного приложения Qlik Analytics на устройствах Android и iOS.

Об интеграции с Microsoft Intune

  • Qlik интегрировал стандартные SDK Microsoft Intune и Microsoft Authentication Library (MSAL) в соответствии с руководством для разработчиков Microsoft.

  • Microsoft Entra ID, Microsoft Intune и связанные SDK являются продуктами Microsoft.

  • Qlik, включая поддержку Qlik, не может предоставить руководство по настройке вашего развертывания Entra или Intune, а также по настройкам мобильных устройств для устройств, на которых запущено мобильное приложение Qlik Analytics.

  • Обратитесь к документации Microsoft Intune или свяжитесь со службой поддержки Microsoft Intune для получения руководства по управлению мобильными устройствами (MDM) или управлению мобильными приложениями (MAM).

Примечание к информацииSDK Microsoft Tunnel for Mobile Application Management не интегрирован в мобильное приложение Qlik Analytics.

Что вам нужно перед началом работы

Перед настройкой мобильного приложения Qlik Analytics в Intune убедитесь, что у вас есть следующее:

  • Клиент Qlik Cloud, использующий Microsoft Entra ID в качестве основного поставщика удостоверений

    Для принудительного применения Intune MAM требуется, чтобы ваш клиент Qlik Cloud был настроен на использование Entra ID напрямую в качестве поставщика удостоверений через OIDC. Для получения дополнительной информации см. Поставщики удостоверений в Qlik Cloud.

    Примечание к информацииКлиенты, использующие поставщика удостоверений, отличного от Entra (например, Okta, Auth0, SAML или Qlik Account), не поддерживают принудительное применение Intune MAM. Клиенты, которые объединяют поставщика удостоверений, отличного от Entra, в Microsoft Entra ID, не поддерживаются в этом выпуске. См. Совместимость поставщика удостоверений.

  • Microsoft Entra ID, интегрированный с Microsoft Intune

    В вашей организации Entra должен быть подключен к Intune, чтобы вы могли применять политики устройств и приложений.

  • Пользователи, зарегистрированные в Microsoft Entra ID

    Все пользователи, которые будут получать доступ к мобильному приложению Qlik Analytics, должны иметь учетные записи в вашем клиенте Entra ID и быть включены в каталог пользователей, используемый для доступа к клиенту Qlik Cloud.

  • Разрешения администратора клиента Qlik Cloud

    Вам нужен доступ администратора клиента в Qlik Cloud, чтобы назначать элементы управления мобильным доступом пользователям и группам. См. Настройка мобильного доступа с помощью MAM в Qlik Cloud.

Установка мобильного приложения Qlik Analytics

Мобильное приложение Qlik Analytics доступно в iOS App Store и Google Play Store. Для получения дополнительной информации см. Начало работы с мобильным приложением Qlik Analytics.

Примечание к информацииВ зависимости от платформы и развертывания на устройстве может потребоваться Microsoft Company Portal и/или Microsoft Authenticator. На Android Company Portal требуется для сценариев MAM без регистрации устройства (MAM-WE).

Настройка Microsoft Intune для мобильного приложения Qlik Analytics в Microsoft Entra ID

В этом разделе описаны основные шаги по регистрации и управлению мобильным приложением Qlik Analytics в Entra ID и Intune. Настройте Entra ID и Intune в соответствии с требованиями вашей организации. Подробные инструкции по регистрации приложения см. в документации Microsoft Intune.

Регистрация приложения Qlik Analytics в Microsoft Entra ID

Зарегистрируйте мобильное приложение Qlik Analytics в Microsoft Entra ID, чтобы использовать его с Microsoft Intune.

Выполните следующие действия.

  1. В Entra ID перейдите в раздел Регистрация приложений и выберите Новая регистрация.

  2. Выберите ссылку на Корпоративные приложения, так как вы интегрируете глобально зарегистрированное приложение.

  3. Найдите идентификатор приложения: 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Это глобальная регистрация приложения Qlik.

  4. При необходимости администратор Intune может инициировать регистрацию, войдя в систему и перейдя по ссылке:

    https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9

  5. После того как мобильное приложение Qlik Analytics будет добавлено и появится в разделе Корпоративные приложения, выполните следующее:

    • Назначьте пользователей и группы, если вы хотите ограничить доступ к приложению.

    • В разделе Разрешения предоставьте согласие администратора для вашего домена.

Руководство по политике условного доступа

Мобильное приложение Qlik Analytics глобально зарегистрировано в Microsoft Entra ID с идентификатором приложения 53dfc2c0-8711-4bb3-a48f-b384ff663ab9. Эта регистрация отображается как облачное приложение в вашем клиенте. Любая политика условного доступа, применяемая ко Всем облачным приложениям, применяется к этой регистрации приложения.

Условный доступ и процесс аутентификации

Процесс аутентификации Разрешено с Intune включает два этапа входа:

  1. Аутентификация приложения (вход MSAL)

    Мобильное приложение Qlik Analytics использует MSAL для аутентификации пользователя с помощью Entra. Политики Intune MAM оцениваются на этом этапе.

  2. Вход в Qlik Cloud через браузер

    Приложение открывает внешний браузер на устройстве для завершения аутентификации Qlik Cloud. Для процессов Intune принудительно используется Microsoft Edge.

На этом втором этапе Entra оценивает браузер, а не мобильное приложение Qlik Analytics, как клиентское приложение при применении политик условного доступа для регистрации приложения. Любой элемент управления предоставлением доступа, применяемый к регистрации приложения, должен поддерживаться браузером, используемым на этом этапе.

Рекомендации по области действия условного доступа

Поскольку регистрация приложения Qlik Analytics отображается как облачное приложение в вашем клиенте, политики условного доступа, применяемые ко Всем облачным приложениям, также применяются к этапу входа через браузер.

Если политика использует Требовать политику защиты приложений в качестве элемента управления предоставлением доступа, браузер, используемый на этапе входа в Qlik, должен самостоятельно удовлетворять этому требованию. Для этого требуется, чтобы для Microsoft Edge была развернута политика защиты приложений Intune для ваших пользователей. Если Edge не охвачен политикой защиты приложений, этап входа через браузер может быть заблокирован.

Перед развертыванием

Перед развертыванием мобильного приложения Qlik Analytics с принудительным применением Intune MAM уточните у администратора Microsoft Entra или Intune, как ваши существующие политики условного доступа применяются к браузеру, используемому на этапе входа в Qlik.

Qlik не предоставляет руководство по настройке политик условного доступа Entra или более широких конфигураций развертывания Intune. Для получения руководства см. Узнайте об условном доступе и Intune в документации Microsoft.

Как работает принудительное применение MAM для мобильного приложения Qlik Analytics

Когда пользователю назначается доступ Разрешено с Intune, мобильное приложение Qlik Analytics инициирует регистрацию в Microsoft Intune в рамках процесса входа. Приложение проверяет статус регистрации перед предоставлением доступа к содержимому клиента. Если устройство не зарегистрировано должным образом или не соответствует требованиям Intune, доступ запрещается на уровне приложения.

Это принудительное применение выполняется в мобильном приложении и является частью поэтапной поставки. В будущем выпуске будет добавлено соответствующее принудительное применение на стороне сервера на уровне аутентификации Qlik Cloud для дополнительной глубокой защиты.

Настройка мобильного доступа с помощью MAM в Qlik Cloud

Принудительное применение Intune (MAM) контролируется разрешением на мобильный доступ, назначенным пользователям и группам в центре активности администрирования Qlik Cloud. Это основной шаг настройки на стороне Qlik, который должен быть выполнен наряду с настройкой Intune и Entra.

Разрешения на мобильный доступ

Вы настраиваете разрешения на мобильный доступ в центре активности Администрирование > Управление пользователями > Разрешения.

Откройте настройки разрешений для значения по умолчанию для пользователя или пользовательской роли, разверните Функции и действия и найдите Мобильные устройства > Собственное мобильное приложение.

Для получения дополнительной информации о настройках разрешений см. Настройка доступа к мобильному приложению Qlik Analytics.

Руководство по назначению разрешений для клиентов, управляемых Intune

Для клиентов, использующих защиту приложений Intune, назначьте Разрешено с Intune всем пользователям и группам, которым требуется мобильный доступ, независимо от состояния управления устройством.

Почему значения «Разрешено» недостаточно для пользователей, управляемых Intune

Разрешение на мобильный доступ применяется к пользователю, а не к устройству. Если пользователю назначено Разрешено на его корпоративном устройстве, зарегистрированном в MDM, он имеет то же разрешение на доступ при входе на личном, неуправляемом устройстве.

Это личное устройство не имеет регистрации MDM и брокера Intune. Если разрешение на доступ пользователя установлено на Разрешено, мобильное приложение Qlik Analytics не требует регистрации в Intune, и доступ предоставляется без применения политик защиты приложений. Пользователь может получить доступ к клиенту с неуправляемого устройства без защиты Intune, обходя политики Intune вашей организации.

Рекомендуемый шаблон назначения для клиентов, управляемых Intune

Шаблон назначения
Назначение Разрешение

Причина
Настройка по умолчанию для пользователя Не разрешено

Мобильный доступ по умолчанию отсутствует
Пользователи, зарегистрированные в MDM Разрешено с Intune

На зарегистрированных устройствах регистрация завершается незаметно или почти незаметно. Никаких существенных препятствий не добавляется. Тот же пользователь на личном устройстве должен завершить регистрацию до предоставления доступа.
Пользователи BYOD Разрешено с Intune

Требование полной регистрации на неуправляемых устройствах.

Используйте Разрешено только для клиентов или групп, где защита приложений Intune не требуется, например, для внутренних клиентов без Intune или определенных сервисных учетных записей.

Совместимость поставщика удостоверений

Для принудительного применения Intune MAM требуется Microsoft Entra ID в качестве поставщика удостоверений (IdP) для вашего клиента Qlik Cloud. В следующей таблице обобщена поддержка мобильных приложений в различных конфигурациях поставщиков удостоверений.

Совместимость IdP
Поставщик удостоверений Стандартный мобильный доступ (Разрешено) Принудительное применение Intune (Разрешено с Intune)
Microsoft Entra ID Поддерживается Поддерживается
Okta (без федерации Entra) Поддерживается Не поддерживается — не назначайте Разрешено с Intune
Auth0 (без федерации Entra) Поддерживается Не поддерживается — не назначайте Разрешено с Intune
SAML / ADFS (без федерации Entra) Поддерживается Не поддерживается — не назначайте Разрешено с Intune
Qlik Account Поддерживается Не поддерживается — не назначайте Разрешено с Intune
Универсальный OIDC Поддерживается Не поддерживается — не назначайте Разрешено с Intune
Сценарии федеративного IdP (любой IdP, отличный от Entra, объединенный в Entra ID) Поддерживается

Не поддерживается в этом выпуске
Примечание к информацииСценарии федеративного IdP: Клиенты, которые объединяют Okta, Auth0, SAML или ADFS в Microsoft Entra ID, не поддерживаются для принудительного применения Intune MAM в этом выпуске. Назначение Разрешено с Intune пользователям в клиенте федеративного IdP приведет к сбоям аутентификации. Поддержка сценариев федеративного IdP запланирована в будущем выпуске.

Настройка политик защиты приложений

Мобильное приложение Qlik Analytics поддерживает следующие функции политик Intune:

  • Требование от пользователей входа с использованием корпоративных учетных данных (Microsoft Entra ID).

  • Принудительное использование PIN-кода для доступа к приложению.

  • Ограничение действий копирования, вставки и загрузки в приложении.

  • Блокировка или контроль снимков экрана.

  • Предварительная загрузка настроек клиента Qlik Cloud с использованием политик конфигурации приложений.

Важные соображения

Политики защиты приложений контролируют, какие приложения могут обмениваться данными друг с другом.

  • Если пользователям необходимо отправлять диагностические электронные письма из мобильного приложения Qlik Analytics, политика должна разрешать передачу данных между приложениями.

  • Мобильному приложению Qlik Analytics требуется доступ к браузеру устройства для завершения входа. Ваша политика защиты приложений должна разрешать это.

  • Ключевые настройки политики приложений Intune для проверки:

    • Защита данных > Отправка данных организации в другие приложения

    • Защита данных > Выбор приложений для исключения (com.qlik.qsm)

    • Функциональность > Ограничение передачи веб-содержимого в другие приложения — при настройке на открытие URL-адресов в Microsoft Edge страница входа в Qlik Cloud открывается в Edge. Затем Edge выполняет собственную аутентификацию Microsoft перед отображением страницы. Если ваши политики условного доступа применяют элемент управления предоставлением доступа ко Всем облачным приложениям или к регистрации приложения IdP, этот элемент управления предоставлением доступа оценивается для Edge на этом этапе. См. Руководство по политике условного доступа для получения информации о последствиях различных элементов управления предоставлением доступа на этом этапе оценки.

Настройка политик конфигурации приложений

Используйте политики конфигурации приложений в Intune, чтобы предоставить мобильному приложению Qlik Analytics настройки, необходимые для подключения к вашему клиенту Qlik Cloud.

В следующих примерах показано, как настроить пары ключ-значение для мобильного приложения в Intune. Замените заполнители (<policy name>, <tenant name>, <tenant URL>) своими собственными значениями.

Управляемые устройства (iOS)

Конфигурации приложений > Имя политики > Свойства > Настройки:

  • Тип регистрации устройства: Управляемые устройства

  • Платформа: iOS

Пары ключ-значение:

Ключ: mdm

Значение:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts определяет одного или нескольких клиентов Qlik Cloud, к которым может подключаться приложение.

  • name: Выбранное вами имя клиента, отображаемое пользователям.

  • url: URL-адрес клиента Qlik Cloud (например, mobileintune.us.qlikcloud.com).

Ключ: IntuneMAMOID

Значение: {{userid}}

Передает идентификатор пользователя Intune в приложение.

ИЛИ

  • Тип регистрации устройства: Управляемые устройства

  • Платформа: Android

Пары ключ-значение:

Ключ: mdm

Значение:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts определяет одного или нескольких клиентов Qlik Cloud, к которым может подключаться приложение.

  • name: Выбранное вами имя клиента, отображаемое пользователям.

  • url: URL-адрес клиента Qlik Cloud (например, mobileintune.us.qlikcloud.com).

Управляемые приложения (несколько платформ)

Конфигурации приложений > Имя политики > Свойства > Настройки:

  • Тип регистрации устройства: Управляемые приложения

  • Платформа: iOS

Пара ключ-значение:

Ключ: mdm

Значение:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Этот JSON выполняет ту же функцию, что и в сценарии с управляемым устройством, определяя доступные подключения клиентов для аутентификации в вашей среде Qlik Cloud. В этом сценарии требуется только ключ mdm. Сопоставление идентификаторов пользователей не требуется.

Информация о политике в приложении

Экран О программе в настройках мобильного приложения Qlik Analytics показывает, применена ли политика к приложению.

  • Когда развернута любая политика (защита приложения или конфигурация приложения), на экране отображается Политика применена — Да.

  • Если для политики настроено имя политики, оно также отображается в отдельной строке как Имя политики.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице или с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом!

Оставьте свой отзыв здесь