使用 Microsoft Intune 保护和配置 Qlik Analytics 移动应用程序 | Qlik Cloud帮助
跳到主要内容 跳到补充内容
Qlik 资源
正在加载 SearchUnify 的搜索 如果您需要有关产品的帮助,请联系 Qlik Support。
Qlik 客户门户网站
正在加载 SearchUnify 的搜索 如果您需要有关产品的帮助,请联系 Qlik Support。
Qlik 客户门户网站

使用 Microsoft Intune 保护和配置 Qlik Analytics 移动应用程序

Qlik Analytics 移动应用程序使现场团队能够在移动设备上安全地访问 Qlik Cloud 分析。您可以使用 Microsoft IntuneMicrosoft Entra ID 来控制访问、保护公司数据,并提供用户连接到您的 Qlik Cloud 租户所需的设置。

本主题介绍如何配置 Intune 应用程序保护策略、应用程序配置策略和 Qlik Cloud 访问控制,以管理和保护 Android 和 iOS 设备上的 Qlik Analytics 移动应用程序。

关于 Microsoft Intune 集成

  • Qlik 已根据 Microsoft 的开发人员指南集成了 Microsoft 的标准 Intune 和 Microsoft 身份验证库 (MSAL) SDK。

  • Microsoft Entra IDMicrosoft Intune 及相关 SDK 均为 Microsoft 产品。

  • Qlik(包括 Qlik Support)无法提供有关配置您的 EntraIntune 部署的指南,也无法提供有关运行 Qlik Analytics 移动应用程序的设备的移动设备设置的指南。

  • 请参阅 Microsoft Intune 文档或联系 Microsoft Intune 支持人员,以获取有关移动设备管理 (MDM) 或移动应用程序管理 (MAM) 的指南。

信息注释Microsoft Tunnel for Mobile Application Management SDK 未集成在 Qlik Analytics 移动应用程序中。

开始之前的准备工作

Intune 中配置 Qlik Analytics 移动应用程序之前,请确保您具备以下条件:

  • 使用 Microsoft Entra ID 作为主要身份提供程序的 Qlik Cloud 租户

    强制执行 Intune MAM 要求您的 Qlik Cloud 租户配置为通过 OIDC 直接使用 Entra ID 作为身份提供程序。有关详细信息,请参阅 Qlik Cloud 中的身份提供者

    信息注释使用非 Entra 身份提供程序(例如 Okta、Auth0、SAML 或 Qlik Account)的租户不支持强制执行 Intune MAM。此版本不支持将非 Entra 身份提供程序联合到 Microsoft Entra ID 的租户。请参阅 身份提供程序兼容性

  • Microsoft Intune 集成的 Microsoft Entra ID

    您的组织必须将 EntraIntune 连接,以便您可以强制执行设备和应用程序策略。

  • Microsoft Entra ID 中注册的用户

    所有将访问 Qlik Analytics 移动应用程序的用户都必须在您的 Entra ID 租户中拥有帐户,并包含在用于 Qlik Cloud 租户访问的用户目录中。

  • Qlik Cloud 租户管理员权限

    您需要在 Qlik Cloud 中具有租户管理员访问权限,才能将移动访问控制分配给用户和组。请参阅 在 Qlik Cloud 中使用 MAM 配置移动访问

安装 Qlik Analytics 移动应用程序

Qlik Analytics 移动应用程序可在 iOS App Store 和 Google Play Store 中获取。有关详细信息,请参阅 开始使用 Qlik Analytics 移动应用程序

信息注释根据平台和部署的不同,设备上可能需要 Microsoft 公司门户和/或 Microsoft Authenticator。在 Android 上,对于没有设备注册的 MAM (MAM-WE) 方案,需要公司门户。

Microsoft Entra ID 中为 Qlik Analytics 移动应用程序设置 Microsoft Intune

本部分概述了在 Entra IDIntune 中注册和管理 Qlik Analytics 移动应用程序的主要步骤。请根据您组织的要求配置 Entra IDIntune。有关应用程序注册的详细说明,请参阅 Microsoft Intune 文档

Microsoft Entra ID 中注册 Qlik Analytics 应用程序

Microsoft Entra ID 中注册 Qlik Analytics 移动应用程序,以便将其与 Microsoft Intune 结合使用。

执行以下操作:

  1. Entra ID 中,转到 应用注册,然后选择 新注册

  2. 选择指向 企业应用程序 的链接,因为您正在集成全局注册的应用程序。

  3. 搜索应用程序 ID:53dfc2c0-8711-4bb3-a48f-b384ff663ab9。这是 Qlik 全局应用程序注册。

  4. 如果需要,Intune 管理员可以通过登录并访问以下网址来启动注册:

    https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9

  5. 添加 Qlik Analytics 移动应用程序并将其显示在 企业应用程序 下后,请完成以下操作:

    • 如果要限制可以访问该应用程序的人员,请分配用户和组。

    • 权限 下,授予对您域的管理员同意。

条件访问策略指南

Qlik Analytics 移动应用程序在 Microsoft Entra ID 中全局注册,应用程序 ID 为 53dfc2c0-8711-4bb3-a48f-b384ff663ab9。此注册在您的租户中显示为云应用程序。任何范围限定为 所有云应用 的条件访问策略都适用于此应用程序注册。

条件访问和身份验证流

允许使用 Intune 身份验证流包括两个登录步骤:

  1. 应用程序身份验证(MSAL 登录)

    Qlik Analytics 移动应用程序使用 MSAL 通过 Entra 对用户进行身份验证。在此步骤中评估 Intune MAM 策略。

  2. 基于浏览器的 Qlik Cloud 登录

    该应用程序在设备上打开外部浏览器以完成 Qlik Cloud 身份验证。对于 Intune 流,强制使用 Microsoft Edge。

在第二步中,当为应用程序注册应用条件访问策略时,Entra 会将浏览器(而不是 Qlik Analytics 移动应用程序)评估为客户端应用程序。应用于应用程序注册的任何授权控制都必须受此步骤中使用的浏览器支持。

条件访问范围注意事项

由于 Qlik Analytics 应用程序注册在您的租户中作为云应用程序可见,因此范围限定为 所有云应用 的条件访问策略也适用于浏览器登录步骤。

如果策略使用 需要应用保护策略 作为授权控制,则 Qlik 登录步骤中使用的浏览器必须独立满足此要求。这要求 Microsoft Edge 为您的用户部署了 Intune 应用程序保护策略。如果 Edge 未包含在应用程序保护策略中,则浏览器登录步骤可能会被阻止。

部署之前

在部署强制执行 Intune MAM 的 Qlik Analytics 移动应用程序之前,请与您的 Microsoft Entra 或 Intune 管理员验证您现有的条件访问策略如何应用于 Qlik 登录步骤中使用的浏览器。

Qlik 不提供有关配置 Entra 条件访问策略或更广泛的 Intune 部署配置的指南。有关指南,请参阅 Microsoft 文档中的 了解条件访问和 Intune

MAM 强制执行如何用于 Qlik Analytics 移动应用程序

当为用户分配 允许使用 Intune 访问权限时,Qlik Analytics 移动应用程序会启动 Microsoft Intune 注册作为登录流的一部分。该应用程序在授予对租户内容的访问权限之前会验证注册状态。如果设备未正确注册或不满足 Intune 要求,则在应用程序级别拒绝访问。

此强制执行在移动应用程序中执行,并且是分阶段交付的一部分。未来的版本将在 Qlik Cloud 身份验证层添加相应的服务器端强制执行,以实现额外的纵深防御。

在 Qlik Cloud 中使用 MAM 配置移动访问

Intune (MAM) 强制执行由在 Qlik Cloud 管理活动中心分配给用户和组的移动访问权限控制。这是 Qlik 端的主要配置步骤,必须与您的 Intune 和 Entra 配置一起完成。

移动访问权限

您可以在 Administration 活动中心 > 管理用户 > 权限 中配置移动访问权限。

打开用户默认值或自定义角色的权限设置,展开 功能和操作,然后找到 移动 > 原生移动应用程序

有关权限设置的详细信息,请参阅 设置对 Qlik Analytics 移动应用程序的访问权限

受 Intune 管辖的租户的权限分配指南

对于使用 Intune 应用程序保护的租户,请将 允许使用 Intune 分配给所有需要移动访问权限的用户和组,无论设备管理状态如何。

为什么“允许”对于受 Intune 管辖的用户来说不够

移动访问权限适用于用户,而不是设备。如果用户在其已注册 MDM 的公司设备上被分配了 允许,则当他们在未管理的个人设备上登录时,他们将具有相同的访问权限。

该个人设备没有 MDM 注册,也没有 Intune 代理。由于用户的访问权限设置为 允许Qlik Analytics 移动应用程序不需要 Intune 注册,并且在不应用应用程序保护策略的情况下授予访问权限。用户可以从没有 Intune 保护的未管理设备访问租户,从而绕过您组织的 Intune 策略。

受 Intune 管辖的租户的推荐分配模式

分配模式
分配 权限

原因
用户默认设置 不允许

默认情况下无移动访问权限
已注册 MDM 的用户 允许使用 Intune

在已注册的设备上,注册会静默或近乎静默地完成。没有增加明显的阻力。个人设备上的同一用户必须完成注册才能获得访问权限。
BYOD 用户 允许使用 Intune

未管理设备上的完全注册要求。

仅对不需要 Intune 应用程序保护的租户或组(例如内部非 Intune 租户或特定服务帐户)使用 允许

身份提供程序兼容性

强制执行 Intune MAM 要求将 Microsoft Entra ID 作为 Qlik Cloud 租户的身份提供程序 (IdP)。下表总结了跨身份提供程序配置的移动应用程序支持。

IdP 兼容性
身份提供程序 标准移动访问(允许) Intune 强制执行(允许使用 Intune)
Microsoft Entra ID 支持 支持
Okta(无 Entra 联合) 支持 不支持 — 请勿分配 允许使用 Intune
Auth0(无 Entra 联合) 支持 不支持 — 请勿分配 允许使用 Intune
SAML / ADFS(无 Entra 联合) 支持 不支持 — 请勿分配 允许使用 Intune
Qlik Account 支持 不支持 — 请勿分配 允许使用 Intune
通用 OIDC 支持 不支持 — 请勿分配 允许使用 Intune
联合 IdP 方案(联合到 Entra ID 的任何非 Entra IdP) 支持

此版本不支持
信息注释联合 IdP 方案:此版本不支持将 Okta、Auth0、SAML 或 ADFS 联合到 Microsoft Entra ID 的客户强制执行 Intune MAM。将 允许使用 Intune 分配给联合 IdP 租户上的用户将导致身份验证失败。计划在未来的版本中支持联合 IdP 方案。

设置应用程序保护策略

Qlik Analytics 移动应用程序支持以下 Intune 策略功能:

  • 要求用户使用公司凭据 (Microsoft Entra ID) 登录。

  • 强制使用 PIN 访问应用程序。

  • 限制应用程序内的复制、粘贴和下载操作。

  • 阻止或控制屏幕截图。

  • 使用应用程序配置策略预加载 Qlik Cloud 租户设置。

重要注意事项

应用程序保护策略控制哪些应用程序可以相互共享数据。

  • 如果用户需要从 Qlik Analytics 移动应用程序发送诊断电子邮件,则策略必须允许在应用程序之间传输数据。

  • Qlik Analytics 移动应用程序需要访问设备浏览器才能完成登录。您的应用程序保护策略必须允许此操作。

  • 要查看的关键 Intune 应用程序策略设置:

    • 数据保护 > 将组织数据发送到其他应用

    • 数据保护 > 选择要豁免的应用 (com.qlik.qsm)

    • 功能 > 限制与其他应用进行 Web 内容传输—当配置为在 Microsoft Edge 中打开 URL 时,Qlik Cloud 登录页面将在 Edge 中打开。然后,Edge 在呈现页面之前执行其自己的 Microsoft 身份验证。如果您的条件访问策略将授权控制应用于 所有云应用 或您的 IdP 应用程序注册,则此时将针对 Edge 评估该授权控制。有关在该评估点不同授权控制的影响,请参阅 条件访问策略指南

设置应用程序配置策略

Intune 中使用应用程序配置策略,为 Qlik Analytics 移动应用程序提供连接到您的 Qlik Cloud 租户所需的设置。

以下示例显示了如何在 Intune 中为移动应用程序配置键值对。将占位符(<policy name><tenant name><tenant URL>)替换为您自己的值。

托管设备 (iOS)

应用配置 > 策略名称 > 属性 > 设置:

  • 设备注册类型:托管设备

  • 平台:iOS

键值对:

mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts 定义了应用程序可以连接到的一个或多个 Qlik Cloud 租户。

  • name:您选择的向用户显示的租户名称。

  • urlQlik Cloud 租户的 URL(例如,mobileintune.us.qlikcloud.com)。

IntuneMAMOID

{{userid}}

Intune 用户 ID 传递给应用程序。

  • 设备注册类型:托管设备

  • 平台:Android

键值对:

mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts 定义了应用程序可以连接到的一个或多个 Qlik Cloud 租户。

  • name:您选择的向用户显示的租户名称。

  • urlQlik Cloud 租户的 URL(例如,mobileintune.us.qlikcloud.com)。

托管应用(多平台)

应用配置 > 策略名称 > 属性 > 设置:

  • 设备注册类型:托管应用

  • 平台:iOS

键值对:

mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

此 JSON 执行与托管设备方案相同的功能,定义用于向您的 Qlik Cloud 环境进行身份验证的可用租户连接。在此方案中,仅需要 mdm 键。不需要用户 ID 映射。

应用程序中的策略信息

Qlik Analytics 移动应用程序设置中的 关于 屏幕显示是否对该应用程序应用了策略。

  • 部署任何策略(应用程序保护或应用程序配置)时,屏幕将显示 已应用策略 — 是

  • 如果策略配置了策略名称,它也会作为 策略名称 显示在单独的行中。

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们!

在此处留下您的反馈