使用 Microsoft Intune 保護和設定 Qlik 分析 行動應用程式 | Qlik Cloud 說明
跳到主要內容 跳至補充內容
Qlik 資源
正在載入 SearchUnify 的搜尋 如果您的產品需要協助,請聯絡 Qlik 支援。
Qlik Customer Portal
正在載入 SearchUnify 的搜尋 如果您的產品需要協助,請聯絡 Qlik 支援。
Qlik Customer Portal

使用 Microsoft Intune 保護和設定 Qlik 分析 行動應用程式

Qlik 分析 行動應用程式讓現場團隊能夠在其行動裝置上安全地存取 Qlik Cloud 分析。您可以使用 Microsoft IntuneMicrosoft Entra ID 來控制存取、保護公司資料,並提供使用者連線至您的 Qlik Cloud 租用戶所需的設定。

本主題涵蓋如何設定 Intune 應用程式保護原則、應用程式設定原則以及 Qlik Cloud 存取控制,以管理和保護 Android 和 iOS 裝置上的 Qlik 分析 行動應用程式。

關於 Microsoft Intune 整合

  • Qlik 已根據 Microsoft 的開發人員指引,整合了 Microsoft 的標準 Intune 和 Microsoft 驗證程式庫 (MSAL) SDK。

  • Microsoft Entra IDMicrosoft Intune 及相關 SDK 皆為 Microsoft 產品。

  • Qlik (包含 Qlik 支援) 無法提供有關設定您的 EntraIntune 部署,或執行 Qlik 分析 行動應用程式之裝置的行動裝置設定的指引。

  • 請參閱 Microsoft Intune 文件或聯絡 Microsoft Intune 支援,以取得有關行動裝置管理 (MDM) 或行動應用程式管理 (MAM) 的指引。

資訊備註Microsoft Tunnel for Mobile Application Management SDK 未整合至 Qlik 分析 行動應用程式中。

開始之前您需要的項目

Intune 中設定 Qlik 分析 行動應用程式之前,請確定您具備下列項目:

  • 使用 Microsoft Entra ID 作為主要身分識別提供者的 Qlik Cloud 租用戶

    強制執行 Intune MAM 需要將您的 Qlik Cloud 租用戶設定為透過 OIDC 直接使用 Entra ID 作為身分識別提供者。如需詳細資訊,請參閱 Qlik Cloud 中的識別提供者

    資訊備註使用非 Entra 身分識別提供者 (例如 Okta、Auth0、SAML 或 Qlik Account) 的租用戶不支援強制執行 Intune MAM。此版本不支援將非 Entra 身分識別提供者同盟至 Microsoft Entra ID 的租用戶。請參閱 身分識別提供者相容性

  • Microsoft Intune 整合的 Microsoft Entra ID

    您的組織必須將 EntraIntune 連線,以便您可以強制執行裝置和應用程式原則。

  • Microsoft Entra ID 中註冊的使用者

    所有將存取 Qlik 分析 行動應用程式的使用者都必須在您的 Entra ID 租用戶中擁有帳戶,並包含在用於 Qlik Cloud 租用戶存取的使用者目錄中。

  • Qlik Cloud 租用戶管理員權限

    您需要 Qlik Cloud 中的租用戶管理員存取權,才能將行動存取控制指派給使用者和群組。請參閱 在 Qlik Cloud 中使用 MAM 設定行動存取

安裝 Qlik 分析 行動應用程式

Qlik 分析 行動應用程式可在 iOS App Store 和 Google Play 商店中取得。如需詳細資訊,請參閱 開始使用 Qlik 分析 行動應用程式

資訊備註視平台和部署而定,裝置上可能需要 Microsoft 公司入口網站和/或 Microsoft Authenticator。在 Android 上,沒有裝置註冊的 MAM (MAM-WE) 案例需要公司入口網站。

Microsoft Entra ID 中為 Qlik 分析 行動應用程式設定 Microsoft Intune

本節概述在 Entra IDIntune 中註冊和管理 Qlik 分析 行動應用程式的主要步驟。請根據您組織的需求設定 Entra IDIntune。如需應用程式註冊的詳細指示,請參閱 Microsoft Intune 文件

Microsoft Entra ID 中註冊 Qlik 分析 應用程式

Microsoft Entra ID 中註冊 Qlik 分析 行動應用程式,以將其與 Microsoft Intune 搭配使用。

請執行下列動作:

  1. Entra ID 中,移至 應用程式註冊並選取 新增註冊

  2. 選取 企業應用程式的連結,因為您正在整合全域註冊的應用程式。

  3. 搜尋應用程式 ID:53dfc2c0-8711-4bb3-a48f-b384ff663ab9。這是 Qlik 全域應用程式註冊。

  4. 如有需要,Intune 管理員可以透過登入並造訪以下網址來起始註冊:

    https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9

  5. 新增 Qlik 分析 行動應用程式並顯示在 企業應用程式下後,請完成下列事項:

    • 如果您想要限制可存取應用程式的人員,請指派使用者和群組。

    • 權限下,授與您網域的管理員同意。

條件式存取原則指引

Qlik 分析 行動應用程式已在 Microsoft Entra ID 中全域註冊,應用程式 ID 為 53dfc2c0-8711-4bb3-a48f-b384ff663ab9。此註冊會在您的租用戶中顯示為雲端應用程式。任何範圍設定為 所有雲端應用程式的條件式存取原則都會套用至此應用程式註冊。

條件式存取和驗證流程

允許使用 Intune 驗證流程包含兩個登入步驟:

  1. 應用程式驗證 (MSAL 登入)

    Qlik Analytics 行動應用程式使用 MSAL 透過 Entra 驗證使用者。在此步驟中會評估 Intune MAM 原則。

  2. 以瀏覽器為基礎的 Qlik Cloud 登入

    應用程式會在裝置上開啟外部瀏覽器以完成 Qlik Cloud 驗證。對於 Intune 流程,會強制執行 Microsoft Edge。

在第二個步驟中,當為應用程式註冊套用條件式存取原則時,Entra 會將瀏覽器 (而非 Qlik 分析 行動應用程式) 評估為用戶端應用程式。套用至應用程式註冊的任何授與控制都必須受到此步驟中使用的瀏覽器支援。

條件式存取範圍考量

由於 Qlik 分析 應用程式註冊在您的租用戶中顯示為雲端應用程式,因此範圍設定為 所有雲端應用程式的條件式存取原則也會套用至瀏覽器登入步驟。

如果原則使用 需要應用程式保護原則作為授與控制,則在 Qlik 登入步驟中使用的瀏覽器必須獨立滿足此需求。這需要為您的使用者部署 Microsoft Edge 的 Intune 應用程式保護原則。如果 Edge 未涵蓋在應用程式保護原則中,則瀏覽器登入步驟可能會遭到封鎖。

部署之前

在部署具有 Intune MAM 強制執行的 Qlik Analytics 行動應用程式之前,請向您的 Microsoft Entra 或 Intune 管理員確認您現有的條件式存取原則如何套用至 Qlik 登入步驟中使用的瀏覽器。

Qlik 不提供有關設定 Entra 條件式存取原則或更廣泛的 Intune 部署設定的指引。如需指引,請參閱 Microsoft 文件中的 了解條件式存取和 Intune

MAM 強制執行如何適用於 Qlik Analytics 行動應用程式

當使用者被指派 允許使用 Intune 存取權時,Qlik 分析 行動應用程式會起始 Microsoft Intune 註冊作為登入流程的一部分。應用程式會在授與租用戶內容存取權之前驗證註冊狀態。如果裝置未正確註冊或不符合 Intune 需求,則會在應用程式層級拒絕存取。

此強制執行會在行動應用程式中執行,並且是分階段交付的一部分。未來的版本將在 Qlik Cloud 驗證層新增對應的伺服器端強制執行,以提供額外的深度防禦。

在 Qlik Cloud 中使用 MAM 設定行動存取

Intune (MAM) 強制執行是由在 Qlik Cloud 管理活動中心指派給使用者和群組的行動存取權限所控制。這是 Qlik 端的主要設定步驟,必須與您的 Intune 和 Entra 設定一起完成。

行動存取權限

您可以在 管理 活動中心 > 管理使用者 > 權限中設定行動存取權限。

開啟使用者預設或自訂角色的權限設定,展開 功能和動作,然後找到 行動 > 原生行動應用程式

如需有關權限設定的詳細資訊,請參閱 設定對 Qlik 分析 行動應用程式的存取權限

受 Intune 控管之租用戶的權限指派指引

對於使用 Intune 應用程式保護的租用戶,請將 允許使用 Intune 指派給所有需要行動存取的使用者和群組,無論裝置管理狀態為何。

為何「允許」對受 Intune 控管的使用者而言不足夠

行動存取權限適用於使用者,而非裝置。如果使用者在其公司、已註冊 MDM 的裝置上被指派 允許,當他們在個人、未受管理的裝置上登入時,他們會帶有相同的存取權限。

該個人裝置沒有 MDM 註冊,也沒有 Intune 代理程式。在將使用者的存取權限設定為 允許的情況下,Qlik 分析 行動應用程式不需要 Intune 註冊,並且會在未套用應用程式保護原則的情況下授與存取權。使用者可以從沒有 Intune 保護的未受管理裝置存取租用戶,從而繞過您組織的 Intune 原則。

受 Intune 控管之租用戶的建議指派模式

指派模式
指派 權限

原因
使用者預設設定 不允許

預設無行動存取
已註冊 MDM 的使用者 允許使用 Intune

在已註冊的裝置上,註冊會以靜默或近乎靜默的方式完成。不會增加任何有意義的阻力。個人裝置上的同一使用者必須在授與存取權之前完成註冊。
BYOD 使用者 允許使用 Intune

未受管理裝置上的完整註冊需求。

僅對不需要 Intune 應用程式保護的租用戶或群組 (例如內部非 Intune 租用戶或特定服務帳戶) 使用 允許

身分識別提供者相容性

強制執行 Intune MAM 需要 Microsoft Entra ID 作為您 Qlik Cloud 租用戶的身分識別提供者 (IdP)。下表總結了跨身分識別提供者設定的行動應用程式支援。

IdP 相容性
身分識別提供者 標準行動存取 (允許) Intune 強制執行 (允許使用 Intune)
Microsoft Entra ID 支援 支援
Okta (無 Entra 同盟) 支援 不支援 — 請勿指派 允許使用 Intune
Auth0 (無 Entra 同盟) 支援 不支援 — 請勿指派 允許使用 Intune
SAML / ADFS (無 Entra 同盟) 支援 不支援 — 請勿指派 允許使用 Intune
Qlik Account 支援 不支援 — 請勿指派 允許使用 Intune
一般 OIDC 支援 不支援 — 請勿指派 允許使用 Intune
同盟 IdP 案例 (任何同盟至 Entra ID 的非 Entra IdP) 支援

此版本不支援
資訊備註同盟 IdP 案例:此版本不支援將 Okta、Auth0、SAML 或 ADFS 同盟至 Microsoft Entra ID 的客戶進行 Intune MAM 強制執行。將 允許使用 Intune 指派給同盟 IdP 租用戶上的使用者將導致驗證失敗。計畫在未來的版本中支援同盟 IdP 案例。

設定應用程式保護原則

Qlik 分析 行動應用程式支援下列 Intune 原則功能:

  • 要求使用者使用公司認證 (Microsoft Entra ID) 登入。

  • 強制執行 PIN 碼以存取應用程式。

  • 限制應用程式內的複製、貼上和下載動作。

  • 封鎖或控制螢幕擷取畫面。

  • 使用應用程式設定原則預先載入 Qlik Cloud 租用戶設定。

重要考量

應用程式保護原則控制哪些應用程式可以彼此共用資料。

  • 如果使用者需要從 Qlik 分析 行動應用程式傳送診斷電子郵件,則原則必須允許應用程式之間的資料傳輸。

  • Qlik Analytics 行動應用程式需要存取裝置瀏覽器才能完成登入。您的應用程式保護原則必須允許此操作。

  • 要檢閱的重要 Intune 應用程式原則設定:

    • 資料保護 > 將組織資料傳送至其他應用程式

    • 資料保護 > 選取要豁免的應用程式 (com.qlik.qsm)

    • 功能 > 限制與其他應用程式的網頁內容傳輸—當設定為在 Microsoft Edge 中開啟 URL 時,Qlik Cloud 登入頁面會在 Edge 中開啟。然後,Edge 會在轉譯頁面之前執行其自己的 Microsoft 驗證。如果您的條件式存取原則將授與控制套用至 所有雲端應用程式或您的 IdP 應用程式註冊,則此時會針對 Edge 評估該授與控制。請參閱 條件式存取原則指引,以了解在該評估點不同授與控制的影響。

設定應用程式設定原則

Intune 中使用應用程式設定原則,為 Qlik 分析 行動應用程式提供連線至您的 Qlik Cloud 租用戶所需的設定。

下列範例顯示如何在 Intune 中為行動應用程式設定機碼值組。請將預留位置 (<policy name><tenant name><tenant URL>) 取代為您自己的值。

受管理的裝置 (iOS)

應用程式設定 > 原則名稱 > 屬性 > 設定:

  • 裝置註冊類型:受管理的裝置

  • 平台:iOS

機碼值組:

機碼mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts 定義應用程式可以連線的一個或多個 Qlik Cloud 租用戶。

  • name:您選擇向使用者顯示的租用戶名稱。

  • urlQlik Cloud 租用戶的 URL (例如,mobileintune.us.qlikcloud.com)。

機碼IntuneMAMOID

{{userid}}

Intune 使用者 ID 傳遞至應用程式。

  • 裝置註冊類型:受管理的裝置

  • 平台:Android

機碼值組:

機碼mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts 定義應用程式可以連線的一個或多個 Qlik Cloud 租用戶。

  • name:您選擇向使用者顯示的租用戶名稱。

  • urlQlik Cloud 租用戶的 URL (例如,mobileintune.us.qlikcloud.com)。

受管理的應用程式 (多個平台)

應用程式設定 > 原則名稱 > 屬性 > 設定:

  • 裝置註冊類型:受管理的應用程式

  • 平台:iOS

機碼值組:

機碼mdm

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

此 JSON 執行與受管理裝置案例中相同的功能,定義可用於驗證至您的 Qlik Cloud 環境的租用戶連線。在此案例中,只需要 mdm 機碼。不需要使用者 ID 對應。

應用程式中的原則資訊

Qlik Analytics 行動應用程式設定中的 關於畫面會顯示是否已將原則套用至應用程式。

  • 部署任何原則 (應用程式保護或應用程式設定) 時,畫面會顯示 已套用原則 — 是

  • 如果原則已設定原則名稱,它也會顯示在單獨的列中作為 原則名稱

此頁面是否對您有幫助?

若您發現此頁面或其內容有任何問題——錯字、遺漏步驟或技術錯誤——請告知我們!

在此留下意見回饋