Zásady konfigurace aplikací pro Microsoft Intune

Zásady konfigurace aplikací vám můžou pomoct odstranit problémy s nastavením aplikace tím, že vám umožní přiřadit nastavení konfigurace k zásadám, které se přiřadí koncovým uživatelům před spuštěním aplikace. Nastavení se pak zadají automaticky, když je aplikace nakonfigurovaná na zařízení koncových uživatelů a koncoví uživatelé nemusí nic dělat. Nastavení konfigurace jsou pro každou aplikaci jedinečná.

Zásady konfigurace aplikací můžete vytvářet a používat k poskytování nastavení konfigurace pro aplikace pro iOS/iPadOS i Android. Tato nastavení konfigurace umožňují přizpůsobit aplikaci pomocí konfigurace a správy aplikací. Nastavení zásad konfigurace se používá při kontrole těchto nastavení aplikací, obvykle při prvním spuštění aplikace.

Nastavení konfigurace aplikace může například vyžadovat zadání některé z následujících podrobností:

• Vlastní číslo portu
• Nastavení jazyka
• Nastavení zabezpečení
• Nastavení brandingu, jako je logo společnosti

Pokud by koncoví uživatelé místo toho tato nastavení zadali, mohli by to udělat nesprávně. Zásady konfigurace aplikací můžou pomoct zajistit konzistenci v rámci podniku a omezit volání helpdesku od koncových uživatelů, kteří se sami pokoušejí nakonfigurovat nastavení. Používáním zásad konfigurace aplikací může být přijetí nových aplikací jednodušší a rychlejší.

O dostupných parametrech konfigurace a implementaci parametrů konfigurace rozhodují vývojáři aplikace. Dokumentace od dodavatele aplikace by měla být zkontrolována, abyste zjistili, jaké konfigurace jsou k dispozici a jak konfigurace ovlivňují chování aplikace. U některých aplikací intune naplní dostupná nastavení konfigurace.

Poznámka

Ve spravovaném Obchodě Google Play budou aplikace, které podporují konfiguraci, označeny takto:

Pokud jako typ registrace pro zařízení s Androidem použijete Spravovaná zařízení, uvidíte jenom aplikace ze spravovaného obchodu Google Play, nikoli z obchodu Google Play.

Zásady konfigurace aplikací můžete přiřadit skupině koncových uživatelů a zařízení pomocí kombinace přiřazení zahrnutí a vyloučení. V rámci procesu přidání nebo aktualizace zásad konfigurace aplikace můžete nastavit přiřazení pro zásady konfigurace aplikace. Když nastavíte přiřazení pro zásadu, můžete zahrnout a vyloučit skupiny koncových uživatelů, pro které se zásada vztahuje. Pokud se rozhodnete zahrnout jednu nebo více skupin, můžete vybrat konkrétní skupiny, které chcete zahrnout, nebo vybrat předdefinované skupiny. Mezi předdefinované skupiny patří Všichni uživatelé, Všechna zařízení a Všichni uživatelé + Všechna zařízení.

Filtry můžete také použít k upřesnění oboru přiřazení při nasazování zásad konfigurace aplikací pro spravovaná zařízení s iOSem a Androidem. Nejdřív musíte vytvořit filtr s použitím kterékoli z dostupných vlastností pro iOS a Android. Potom v Centru pro správu Microsoft Intune můžete přiřadit zásady konfigurace spravovaných aplikací tak, že vybereteZásady> konfigurace aplikací>Přidat>spravovaná zařízení a přejdete na stránku přiřazení. Po výběru skupiny můžete upřesnit použitelnost zásad tak, že zvolíte filtr a rozhodnete se ho použít v režimu Zahrnout nebo Vyloučit .

Úloha zásad konfigurace aplikací poskytuje seznam zásad konfigurace aplikací, které byly vytvořeny pro vašeho tenanta. Tento seznam obsahuje podrobnosti, například Název, Platforma, Aktualizace, Typ registrace a Značky oboru. Pokud chcete získat další podrobnosti o konkrétních zásadách konfigurace aplikací, vyberte zásadu. V podokně přehledu zásad můžete zobrazit konkrétní podrobnosti, například stav zásad na základě zařízení a uživatele a také to, jestli byla zásada přiřazena.

Aplikace, které podporují konfiguraci aplikací

Konfiguraci aplikací je možné doručovat buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (spravovaný App Configuration kanál pro iOS nebo android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu MAM (Mobile Application Management).

Intune představuje tyto různé kanály zásad konfigurace aplikací:

• Spravovaná zařízení – Zařízení spravuje Intune jako sjednocený poskytovatel správy koncových bodů. Aplikace musí být připnutá k profilu správy v iOS/iPadOS nebo nasazená prostřednictvím spravovaného Google Play na zařízeních s Androidem. Aplikace navíc podporuje požadovanou konfiguraci aplikace.
• Spravované aplikace – aplikace, která buď integrovala sadu Intune App SDK, nebo byla zabalena pomocí nástroje Intune Wrapping Tool a podporuje zásady ochrany aplikací (APP). V této konfiguraci nezáleží na stavu registrace zařízení ani na způsobu doručení aplikace do zařízení. Aplikace podporuje požadovanou konfiguraci aplikace.

Aplikace můžou nastavení zásad konfigurace aplikací zpracovávat odlišně s ohledem na preference uživatelů. Například v Outlooku pro iOS a Android bude nastavení konfigurace aplikace Prioritní doručená pošta respektovat nastavení uživatele a umožní uživateli přepsat záměr správce. Jiná nastavení vám můžou umožnit určit, jestli uživatel může nebo nemůže změnit nastavení na základě záměru správce.

Poznámka

Intune vyžaduje Android 8.x nebo vyšší pro scénáře registrace zařízení a konfiguraci aplikací doručované prostřednictvím zásad konfigurace aplikací spravovaných zařízení. Tento požadavek se nevztahuje na zařízení s Androidem v Microsoft Teams , protože tato zařízení budou i nadále podporována.

Pro zásady ochrany aplikací Intune a konfiguraci aplikací poskytované prostřednictvím zásad konfigurace aplikací spravovaných aplikací vyžaduje Intune Android 9.0 nebo novější.

Spravovaná zařízení

Když jako typ registrace zařízení vyberete Spravovaná zařízení, konkrétně se odkazuje na aplikace nasazené službou Intune na zaregistrované zařízení, které tedy spravuje Intune jako poskytovatel registrace.

Aby bylo možné podporovat konfiguraci aplikací pro aplikace nasazené prostřednictvím Intune na zaregistrovaných zařízeních, musí být aplikace napsané tak, aby podporovaly použití konfigurací aplikací definovaných operačním systémem. Podrobnosti o tom, které konfigurační klíče aplikace podporují pro doručování prostřednictvím kanálu OS MDM, získáte od dodavatele aplikace. Obecně existují čtyři scénáře doručování konfigurace aplikací pomocí kanálu operačního systému MDM:

• Povolit jenom pracovní nebo školní účty
• Nastavení konfigurace nastavení účtu
• Obecná nastavení konfigurace aplikací
• Nastavení konfigurace S/MIME

Spravované aplikace

Výběr spravovaných aplikací jako typu registrace zařízení odkazuje konkrétně na aplikace nakonfigurované pomocí zásad Intune App Protection na zařízeních bez ohledu na stav registrace.

Aby bylo možné podporovat konfiguraci aplikací prostřednictvím kanálu MAM, musí být aplikace integrovaná se sadou Intune App SDK. Obchodní aplikace můžou buď integrovat sadu Intune App SDK, nebo používat App Wrapping Tool Intune. Porovnání sady Intune App SDK a intune App Wrapping Tool najdete v tématu Příprava obchodních aplikací na zásady ochrany aplikací.

Doručení konfigurace aplikace prostřednictvím kanálu MAM nevyžaduje registraci zařízení ani správu nebo doručování aplikace prostřednictvím sjednoceného řešení pro správu koncových bodů. Existují tři scénáře pro doručování konfigurace aplikací pomocí kanálu MAM:

• Obecná nastavení konfigurace aplikací
• Nastavení konfigurace S/MIME
• Pokročilá nastavení ochrany dat aplikace, která rozšiřují možnosti nabízené zásadami ochrany aplikací

Poznámka

Spravované aplikace Intune se po nasazení společně se zásadami Intune App Protection osvědčí s intervalem 30 minut pro stav zásad intune App Configuration. Pokud k uživateli nejsou přiřazené zásady Intune App Protection, nastaví se interval vracení zásad Intune App Configuration na 720 minut.

Informace o tom, které aplikace podporují konfiguraci aplikací prostřednictvím kanálu MAM, najdete v tématu Microsoft Intune chráněných aplikací.

Zásady konfigurace aplikací pro Android Enterprise

V případě zásad konfigurace aplikací pro Android Enterprise můžete před vytvořením konfiguračního profilu aplikace vybrat typ registrace zařízení. Můžete počítat s profily certifikátů, které jsou založené na typu registrace.

Typ registrace může být jeden z následujících:

• Všechny typy profilů: Pokud se vytvoří nový profil a jako typ registrace zařízení vyberete Všechny typy profilů , nebudete moct přidružit profil certifikátu k zásadám konfigurace aplikací. Tato možnost podporuje ověřování pomocí uživatelského jména a hesla. Pokud používáte ověřování na základě certifikátů, tuto možnost nepoužívejte.
• Pouze plně spravovaný, vyhrazený a Corporate-Owned pracovní profil: Pokud je vytvořen nový profil a je vybraná možnost Plně spravovaný, Vyhrazený a pouze pracovní profil Corporate-Owned, můžete využít zásady certifikátů plně spravovaného, vyhrazeného a Corporate-Owned pracovního profilu vytvořené v částiKonfiguracezařízení>. Tato možnost podporuje ověřování na základě certifikátů a ověřování uživatelských jmen a hesel. Plně spravovaná se vztahuje k plně spravovaným zařízením s Androidem Enterprise (COBO). Dedicated se vztahuje k vyhrazeným zařízením Android Enterprise (COSU). Pracovní profil vlastněný společností se vztahuje k pracovnímu profilu Android Enterprise vlastněného společností (COPE).
• Pouze pracovní profil v osobním vlastnictví: Pokud je vytvořen nový profil a je vybrána možnost Pouze pracovní profil v osobním vlastnictví, je možné použít zásady certifikátu pracovního profilu vytvořené v částiKonfiguracezařízení>. Tato možnost podporuje ověřování na základě certifikátů a ověřování uživatelských jmen a hesel.

Poznámka

Pokud nasadíte konfigurační profil Gmailu nebo Nine do vyhrazeného pracovního profilu zařízení s Androidem Enterprise, který nezahrnuje uživatele, selže, protože Intune nemůže uživatele přeložit.

Důležité

Stávající zásady vytvořené před vydáním této funkce (verze z dubna 2020 – 2004), které nemají přidružené žádné profily certifikátů k zásadám, budou ve výchozím nastavení všechny typy profilů pro typ registrace zařízení. Stávající zásady vytvořené před vydáním této funkce, ke kterým jsou přidružené profily certifikátů, budou ve výchozím nastavení jenom pracovní profil.

Stávající zásady nebudou opravovat ani nevystavovat nové certifikáty.

Ověření použitých zásad konfigurace aplikací

Zásady konfigurace aplikací můžete ověřit pomocí následujících tří metod:

1. Ověřte zásadu konfigurace aplikace viditelně na zařízení. Ověřte, že cílová aplikace vykazuje chování použité v zásadách konfigurace aplikace.

2. Ověření můžete ověřit prostřednictvím diagnostických protokolů (viz část Diagnostické protokoly níže).

3. Ověřte to v Centru pro správu Microsoft Intune. V Centru pro správu Microsoft Intune vyberte Aplikace>Všechny aplikace>a vyberte související aplikaci*. Pak v části Monitorování vyberte Stav instalace zařízení: Sestava stavu instalace zařízení monitoruje nejnovější ohlášení u všech zařízení, na která zásady konfigurace cílí.

   Dále v Centru pro správu Microsoft Intune vyberte Zařízení>Všechna zařízení>a vybertekonfiguraci aplikace zařízení>. V podokně konfigurace aplikace** se zobrazí všechny přiřazené zásady a jejich stav:

   

Diagnostické protokoly

Konfigurace iOS/iPadOS na nespravovaných zařízeních

Konfiguraci iOS/iPadOS můžete ověřit pomocí diagnostického protokolu Intune pro nastavení nasazená prostřednictvím zásad konfigurace spravovaných aplikací. Kromě následujících kroků můžete přistupovat k protokolům spravovaných aplikací pomocí Microsoft Edge. Další informace najdete v tématu Použití Microsoft Edge pro iOS a Android pro přístup k protokolům spravovaných aplikací.

1. Pokud ještě není na zařízení nainstalovaný, stáhněte a nainstalujte Microsoft Edge z App Store. Další informace najdete v tématu Microsoft Intune chráněných aplikací.

2. Spusťte Microsoft Edge a do pole adresa zadejte about:intunehelp .

3. Klikněte na Začínáme.

4. Klikněte na Sdílet protokoly.

5. Pomocí libovolné poštovní aplikace odešlete protokol sami sobě, abyste si ho mohli zobrazit na počítači.

6. Zkontrolujte IntuneMAMDiagnostics.txt v prohlížeči textových souborů.

7. Vyhledejte ApplicationConfiguration. Výsledky budou vypadat takto:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

Podrobnosti o konfiguraci aplikace by měly odpovídat zásadám konfigurace aplikací nakonfigurovaným pro vašeho tenanta.

Konfigurace iOS/iPadOS na spravovaných zařízeních

Konfiguraci iOS/iPadOS můžete ověřit pomocí diagnostického protokolu Intune na spravovaných zařízeních pro konfiguraci spravovaných aplikací.

1. Pokud ještě není na zařízení nainstalovaný, stáhněte a nainstalujte Microsoft Edge z App Store. Další informace najdete v tématu Microsoft Intune chráněných aplikací.
2. Spusťte Microsoft Edge a do pole adresa zadejte about:intunehelp .
3. Klikněte na Začínáme.
4. Klikněte na Sdílet protokoly.
5. Pomocí libovolné poštovní aplikace odešlete protokol sami sobě, abyste si ho mohli zobrazit na počítači.
6. Zkontrolujte IntuneMAMDiagnostics.txt v prohlížeči textových souborů.
7. Vyhledejte AppConfig. Výsledky by měly odpovídat zásadám konfigurace aplikací nakonfigurovaným pro vašeho tenanta.

Konfigurace Androidu na spravovaných zařízeních

Konfiguraci Androidu můžete ověřit pomocí diagnostického protokolu Intune na spravovaných zařízeních pro konfiguraci spravovaných aplikací.

Pokud chcete shromažďovat protokoly ze zařízení s Androidem, musíte vy nebo koncový uživatel stáhnout protokoly ze zařízení prostřednictvím připojení USB (nebo Průzkumník souborů ekvivalentu na zařízení). Tady je postup:

1. Připojte zařízení s Androidem k počítači pomocí kabelu USB.

2. V počítači vyhledejte adresář, který má název vašeho zařízení. V adresáři vyhledejte Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

3. com.microsoft.windowsintune.companyportal Ve složce otevřete složku Soubory a otevřete OMADMLog_0.

4. Vyhledejte AppConfigHelper zprávy související s konfigurací aplikace. Výsledky budou vypadat podobně jako následující blok dat:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API podpora konfigurace aplikací

K provádění úloh konfigurace aplikací můžete použít Graph API. Podrobnosti najdete v tématu Graph API referenční informace o cílové konfiguraci MAM. Další informace o Intune a Graphu najdete v tématu Práce s Intune v Microsoft Graphu.

Řešení problémů

Použití protokolů k zobrazení konfiguračního parametru

Když protokoly zobrazují parametr konfigurace, který se potvrdil, že se používá, ale zdá se, že nefunguje, může být problém s implementací konfigurace vývojářem aplikace. Když se nejdřív obraťte na vývojáře aplikace nebo zkontrolujete jeho znalostní báze, může vám to ušetřit volání podpory s Microsoftem. Pokud se jedná o problém s tím, jak se konfigurace zpracovává v rámci aplikace, bude nutné ho vyřešit v budoucí aktualizované verzi této aplikace.

Další kroky

Spravovaná zařízení

• Zjistěte, jak používat konfiguraci aplikací se zařízeními s iOS/iPadOS. Viz Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS.
• Zjistěte, jak používat konfiguraci aplikací se zařízeními s Androidem. Viz Přidání zásad konfigurace aplikací pro spravovaná zařízení s Androidem.

Spravované aplikace

• Naučte se používat konfiguraci aplikací se spravovanými aplikacemi. Viz Přidání zásad konfigurace aplikací pro spravované aplikace bez registrace zařízení.