保护和配置带 Microsoft Intune 的 Qlik Analytics 移动应用程序
Qlik Analytics 移动应用程序为现场团队提供在其移动设备上安全访问 Qlik Cloud 分析的功能。您可以使用 Microsoft Intune 和 Microsoft Entra ID 来控制访问、保护公司数据,并提供用户连接到您的 Qlik Cloud 租户所需的设置。
本主题提供了有关如何使用 Intune 应用程序保护策略和应用程序配置策略来管理和保护 Android 和 iOS 设备上的 Qlik Analytics 移动应用程序的指导。
关于 Microsoft Intune 集成
-
Qlik 已集成 Microsoft 的标准 Intune 和 MSAL SDK,符合 Microsoft 的开发人员指南。
-
Microsoft Entra ID、Microsoft Intune 和相关 SDK 是 Microsoft 产品。
-
Qlik(包括 Qlik 支持)无法就配置您的 Entra 或 Intune 部署,或运行 Qlik Analytics 移动应用程序的设备的移动设备设置提供建议。
-
请参阅 Microsoft Intune 文档 或联系 Microsoft Intune 支持以获取有关移动设备管理 (MDM) 或移动应用程序管理 (MAM) 的指导。
配置Qlik Analytics应用程序与Intune和Entra的建议
以下 Microsoft 配置设置可能与您的解决方案相关:
-
Microsoft Entra ID: 条件访问 – 控制哪些用户或设备可以访问该应用程序
-
Intune: 应用程序保护策略 – 保护应用程序数据
-
Intune: 应用程序配置策略 – 预配置应用程序设置
为了测试或故障排除,请使用测试用户或测试设备,并查看 Microsoft Entra ID 中的 Entra 用户登录日志。
开始前须知
在 Intune 中配置 Qlik Analytics 移动应用程序之前,请确保您拥有以下内容:
-
使用 Microsoft Entra ID 的 Qlik Cloud 租户
您的 Qlik Cloud 租户必须配置为使用 Entra ID (Azure AD) 通过 OIDC 或 SAML 进行身份验证。有关更多信息,请参阅Qlik Cloud 中的身份提供者。
-
Microsoft Entra ID 与 Microsoft Intune 集成
您的组织必须将 Entra 连接到 Intune,以便您可以强制执行设备和应用程序策略。
-
在 Microsoft Entra ID 中注册的用户
所有将访问 Qlik Analytics 移动应用程序的用户必须在您的 Entra ID 租户中拥有帐户,并且必须包含在为 Qlik Cloud 租户访问配置的用户目录中。
安装 Qlik Analytics 移动应用程序
Qlik Analytics 移动应用程序可在 iOS App Store 和 Google Play Store 中获取。有关更多信息,请参阅开始使用 Qlik Analytics 移动应用程序。
在 Microsoft Entra ID 中为 Qlik Analytics 移动应用程序设置 Microsoft Intune
本部分概述了在 Entra ID 和 Intune 中注册和管理 Qlik Analytics 移动应用程序的主要步骤。根据您的组织要求配置 Entra ID 和 Intune。有关应用程序注册的详细说明,请参阅Microsoft Intune 文档。
在Microsoft Entra ID中注册Qlik Analytics应用程序
在Microsoft Entra ID中注册Qlik Analytics移动应用程序,以便将其与Microsoft Intune配合使用。
执行以下操作:
-
在Entra ID中,转到应用注册,然后选择新建注册。
-
选择企业应用程序的链接,因为您正在集成全局注册的应用程序。
-
搜索应用程序 ID:53dfc2c0-8711-4bb3-a48f-b384ff663ab9。这是 Qlik 全局应用程序注册。
-
如果需要,Intune 管理员可以通过登录并访问以下内容来发起注册:
https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9
-
添加 Qlik Analytics 移动应用程序并在企业应用程序下显示后,请完成以下操作:
-
如果您想限制谁可以访问该应用程序,请分配用户和组。
-
在权限下,授予您的域管理员同意。
-
条件访问策略指南
Qlik Analytics移动应用程序是您的Qlik Cloud租户的扩展。在使用Microsoft Entra ID和Intune管理应用程序时,请记住以下几点:
-
应用程序身份验证通过IdP注册的Entra应用程序处理。
-
Qlik Analytics 移动应用程序使用设备上的外部浏览器完成身份验证流程。
条件访问策略定义将根据您的部署方案而异。配置条件访问策略需要了解移动身份验证流程,并进行彻底测试以确认所需的控制。有关指导,请参阅 Microsoft 文档:了解条件访问和 Intune。
Microsoft Intune 策略逻辑
Intune 提供两种策略类型来管理 Qlik Analytics 移动应用程序:
-
应用程序保护策略:控制应用程序如何处理和保护组织数据。
-
应用程序配置策略:自动提供 Qlik Cloud 租户设置,因此用户无需手动输入。
为支持 MAM 流程,登录屏幕包含一个切换开关。用户应将其打开以强制执行策略访问。在 MDM 部署中,此开关由公司门户自动管理。
策略应用于移动设备上的应用程序级别,而非租户级别。这意味着,如果用户在 Qlik Analytics 移动应用程序中切换 Qlik Cloud 租户,则相同的 Intune 策略将继续适用。
应用程序中的策略信息
Qlik Analytics 移动应用程序设置中的关于屏幕显示是否已将策略应用于该应用程序。
-
当部署任何策略(应用程序保护或应用程序配置)时,屏幕会显示 策略已应用 — 是。
-
如果策略配置了策略名称,它也会在单独的行中显示为 策略名称。
设置应用程序保护策略
Qlik Analytics 移动应用程序支持以下 Intune 策略功能:
-
要求用户使用公司凭据登录 (Microsoft Entra ID)。
-
强制使用 PIN 码访问应用程序。
-
限制应用程序内的复制、粘贴和下载操作。
-
阻止或控制屏幕截图。
-
使用应用程序配置策略预加载 Qlik Cloud 租户设置。
重要考虑因素
应用程序保护策略控制哪些应用程序可以相互共享数据。
-
如果用户需要从 Qlik Analytics 移动应用程序发送诊断电子邮件,则策略必须允许应用程序之间的数据传输。
-
任何应用程序保护策略都必须考虑 Qlik Analytics 移动应用程序与设备网络浏览器之间的通信。
-
需要审查的关键 Intune 应用程序策略设置包括:
-
数据保护 > 将组织数据发送到其他应用程序
-
数据保护 > 选择要豁免的应用程序 (com.qlik.qsm)
-
功能 > 限制与其他应用程序的 Web 内容传输
-
Qlik Analytics 移动应用程序还需要设备 Web 浏览器才能完成登录,因此您的策略必须允许浏览器访问以进行身份验证。
设置应用程序配置策略
在 Intune 中使用应用程序配置策略,为 Qlik Analytics 移动应用程序提供连接到您的 Qlik Cloud 租户所需的设置。
以下示例展示了如何配置键值对,用于 Intune 中的移动应用程序。将占位符 (<policy name>、<tenant name>、<tenant URL>) 替换为您自己的值。
托管设备 (iOS)
应用配置 > 策略名称 > 属性 > 设置:
-
设备注册类型:托管设备
-
平台:iOS
键/值对:
1. 键:mdm
值:
{
"policyName": "<policy name>",
"Accounts": [
{
"name": "<tenant name>",
"url": "<tenant URL>"
},
{
"name": "<tenant name>",
"url": "<tenant URL>"
}
]
}Accounts 定义了一个或多个应用程序可以连接的Qlik Cloud租户。
-
name:向用户显示的您选择的租户名称。
-
url:Qlik Cloud 租户的 URL(例如,mobileintune.us.qlikcloud.com)。
2. 键:IntuneMAMOID
值:{{userid}}
将 Intune 用户 ID 传递给应用程序。
托管应用程序(多个平台)
应用程序配置 > 策略名称 > 属性 > 设置:
-
设备注册类型:托管应用程序
-
平台:iOS
键/值对:
密钥:mdm
值:
{
"policyName": "<policy name>",
"Accounts": [
{
"name": "<tenant name>",
"url": "<tenant URL>"
},
{
"name": "<tenant name>",
"url": "<tenant URL>"
}
]
}此 JSON 执行的功能与托管设备场景中的功能相同,用于定义可用的租户连接,以便对您的 Qlik Cloud 环境进行身份验证。
在此场景中,仅需要 mdm 键。无需用户 ID 映射。