Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS

  • Článek

Pomocí zásad konfigurace aplikací v Microsoft Intune můžete poskytnout vlastní nastavení konfigurace pro aplikaci pro iOS/iPadOS. Tato nastavení konfigurace umožňují přizpůsobit aplikaci na základě pokynů dodavatelů aplikací. Tato nastavení konfigurace (klíče a hodnoty) musíte získat od dodavatele aplikace. Při konfiguraci aplikace zadáte nastavení jako klíče a hodnoty nebo jako XML obsahující klíče a hodnoty.

Jako správce Microsoft Intune můžete řídit, které uživatelské účty se přidají do aplikací Microsoft 365 (Office) na spravovaných zařízeních. Přístup můžete omezit jenom na povolené uživatelské účty organizace a blokovat osobní účty na zaregistrovaných zařízeních. Podpůrné aplikace zpracovávají konfiguraci aplikace a odebírají a blokují neschválené účty. Nastavení zásad konfigurace se používá, když je aplikace vyhledá, obvykle při prvním spuštění.

Po přidání zásad konfigurace aplikace můžete nastavit přiřazení pro zásady konfigurace aplikace. Když nastavíte přiřazení pro zásadu, můžete použít filtr a zahrnout a vyloučit skupiny uživatelů, pro které se zásada vztahuje. Pokud se rozhodnete zahrnout jednu nebo více skupin, můžete vybrat konkrétní skupiny, které chcete zahrnout, nebo vybrat předdefinované skupiny. Mezi předdefinované skupiny patří Všichni uživatelé, Všechna zařízení a Všichni uživatelé + Všechna zařízení.

Poznámka

Intune poskytuje předem vytvořené skupiny Všichni uživatelé a Všechna zařízení v konzole s integrovanými optimalizacemi pro vaše pohodlí. Důrazně doporučujeme použít tyto skupiny k cílení na všechny uživatele a všechna zařízení místo skupin Všichni uživatelé nebo Všechna zařízení, které jste vytvořili sami.

Jakmile vyberete zahrnuté skupiny pro zásady konfigurace aplikace, můžete také zvolit konkrétní skupiny, které chcete vyloučit. Další informace najdete v tématu Zahrnutí a vyloučení přiřazení aplikací v Microsoft Intune.

Tip

Tento typ zásady je aktuálně dostupný jenom pro zařízení s iOS/iPadOS 8.0 a novějším. Podporuje následující typy instalace aplikací:

  • Spravovaná aplikace pro iOS/iPadOS z App Storu
  • Balíček aplikace pro iOS

Další informace o typech instalace aplikací najdete v tématu Přidání aplikace do Microsoft Intune. Další informace o začlenění konfigurace aplikace do balíčku aplikace .ipa pro spravovaná zařízení najdete v tématu Spravovaná App Configuration v dokumentaci pro vývojáře pro iOS.

Vytvoření zásad konfigurace aplikace

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. ZvolteZásady> konfigurace aplikací>Přidat>spravovaná zařízení. Mějte na paměti, že si můžete vybrat mezi spravovanými zařízeními a spravovanými aplikacemi. Další informace najdete v tématu Aplikace, které podporují konfiguraci aplikací.

  3. Na stránce Základy nastavte následující podrobnosti:

    • Name – název profilu, který se zobrazí v Centru pro správu Microsoft Intune.
    • Popis – popis profilu, který se zobrazí v Centru pro správu Microsoft Intune.
    • Typ registrace zařízení – Toto nastavení je nastavené na Spravovaná zařízení.

  4. Jako Platform (Platforma) vyberte iOS/iPadOS.

  5. Klikněte na Vybrat aplikaci vedle položky Cílová aplikace. Zobrazí se podokno Přidružená aplikace .

  6. V podokně Cílová aplikace zvolte spravovanou aplikaci, kterou chcete přidružit k zásadám konfigurace, a klikněte na OK.

  7. Kliknutím na Další zobrazte stránkuNastavení.

  8. V rozevíracím seznamu vyberte formát Nastavení konfigurace. Pokud chcete přidat informace o konfiguraci, vyberte jednu z následujících metod:

  9. Kliknutím na Další zobrazíte stránku Značky oboru.

  10. [Volitelné] Můžete nakonfigurovat značky oboru pro zásady konfigurace aplikace. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

  11. Kliknutím na Další zobrazte stránku Přiřazení .

  12. Na stránce Přiřazení vyberte Přidat skupiny, Přidat všechny uživatele nebo Přidat všechna zařízení a přiřaďte zásady konfigurace aplikace. Jakmile vyberete skupinu přiřazení, můžete vybrat filtr , který při nasazování zásad konfigurace aplikací pro spravovaná zařízení zpřesní obor přiřazení.

    Snímek obrazovky se stránkou přiřazení zásad konfigurace

  13. V rozevíracím seznamu vyberte Všichni uživatelé .

    Snímek obrazovky s přiřazeními zásad – možnost rozevíracího seznamu Všichni uživatelé

  14. [Volitelné] Kliknutím na Upravit filtr přidáte filtr a zpřesníte rozsah přiřazení.

    Snímek obrazovky s přiřazeními zásad – Upravit filtr

  15. Kliknutím na Vybrat skupiny, které chcete vyloučit , zobrazte související podokno.

  16. Zvolte skupiny, které chcete vyloučit, a klikněte na Vybrat.

    Poznámka

    Pokud už byla při přidávání skupiny zahrnuta jakákoli jiná skupina pro daný typ přiřazení, je předem vybraná a neměnná pro jiné typy přiřazení zahrnutí. Proto nelze použít skupinu, která byla použita, jako vyloučenou skupinu.

  17. Kliknutím na Další zobrazte stránku Zkontrolovat a vytvořit.

  18. Kliknutím na Vytvořit přidejte zásadu konfigurace aplikace do Intune.

Použití návrháře konfigurace

Microsoft Intune poskytuje nastavení konfigurace, která jsou pro aplikaci jedinečná. Návrháře konfigurace můžete použít pro aplikace na zařízeních, která jsou zaregistrovaná nebo nejsou zaregistrovaná v Microsoft Intune. Návrhář umožňuje nakonfigurovat konkrétní konfigurační klíče a hodnoty, které vám pomůžou vytvořit podkladový kód XML. Musíte také zadat datový typ pro každou hodnotu. Tato nastavení se aplikacím předávají automaticky při jejich instalaci.

Přidání nastavení

  1. Pro každý klíč a hodnotu v konfiguraci nastavte:
    • Konfigurační klíč – klíč rozlišující malá a velká písmena, který jednoznačně identifikuje konfiguraci konkrétního nastavení.
    • Typ hodnoty – datový typ konfigurační hodnoty. Mezi typy patří celé číslo, reálné, řetězcové nebo logické.
    • Hodnota konfigurace – hodnota konfigurace.
  2. Zvolte OK a nastavte nastavení konfigurace.

Odstranění nastavení

  1. Zvolte tři tečky (...) vedle nastavení.
  2. Vyberte Odstranit.

Znaky {{ a }} se používají pouze pro typy tokenů a nesmí být použity pro jiné účely.

Povolit v aplikacích jenom nakonfigurované účty organizace

Jako správce Microsoft Intune můžete řídit, které pracovní nebo školní účty se přidají do aplikací Microsoftu na spravovaných zařízeních. Přístup můžete omezit jenom na povolené uživatelské účty organizace a zablokovat osobní účty v rámci aplikací (pokud jsou podporované) na zaregistrovaných zařízeních. Pro zařízení s iOS/iPadOS použijte v zásadách konfigurace aplikace Spravovaná zařízení následující páry klíč/hodnota:

Klíč Hodnoty
IntuneMAMAllowedAccountsOnly
  • Povoleno: Jediný povolený účet je spravovaný uživatelský účet definovaný klíčem IntuneMAMUPN .
  • Zakázáno (nebo jakákoli hodnota, která nerozlišuje velká a velká písmena, odpovídá hodnotě Povoleno): Je povolen jakýkoli účet.
IntuneMAMUPN
  • Hlavní název uživatele (UPN) účtu s povoleným přihlášením k aplikaci
  • U Intune zaregistrovaných zařízení {{userprincipalname}} se token může použít k reprezentaci zaregistrovaného uživatelského účtu.

Poznámka

Následující aplikace zpracovávají výše uvedenou konfiguraci aplikací a povolují jenom účty organizace:

  • Copilot pro iOS (28.1.420324001 a novější)
  • Edge pro iOS (44.8.7 a novější)
  • Office, Word, Excel, PowerPoint pro iOS (2.41 a novější)
  • OneDrive pro iOS (10.34 a novější)
  • OneNote pro iOS (2.41 a novější)
  • Outlook pro iOS (2.99.0 a novější)
  • Teams pro iOS (2.0.15 a novější)

Vyžadování nakonfigurovaných účtů organizace v aplikacích

Na zaregistrovaných zařízeních můžou organizace vyžadovat, aby byl pracovní nebo školní účet přihlášený ke spravovaným aplikacím Microsoftu, aby mohly přijímat data organizace z jiných spravovaných aplikací. Představte si například scénář, kdy má uživatel přílohy v e-mailových zprávách obsažených ve spravovaném e-mailovém profilu umístěném v nativním poštovním klientovi iOS. Pokud se uživatel pokusí přenést přílohy do aplikace Microsoftu, jako je Office, která je spravovaná na zařízení a používá tyto klíče, pak tato konfigurace bude s přenesenou přílohou zacházet jako s daty organizace, což vyžaduje, aby byl pracovní nebo školní účet přihlášený a vynucuje nastavení zásad ochrany aplikací.

Pro zařízení s iOS/iPadOS použijte následující páry klíč/hodnota v zásadách konfigurace aplikace Spravovaná zařízení pro každou aplikaci Microsoftu:

Klíč Hodnoty
IntuneMAMRequireAccounts
  • Povoleno: Aplikace vyžaduje, aby se uživatel kvůli příjmu dat organizace přihlásil ke spravovanému uživatelskému účtu definovanému klíčem IntuneMAMUPN .
  • Zakázáno (nebo jakákoli hodnota, která nerozlišuje velká a velká písmena s povolenou): Nevyžaduje se přihlášení k účtu.
IntuneMAMUPN
  • Hlavní název uživatele (UPN) účtu s povoleným přihlášením k aplikaci
  • U Intune zaregistrovaných zařízení {{userprincipalname}} se token může použít k reprezentaci zaregistrovaného uživatelského účtu.

Poznámka

Aplikace musí mít Intune APP SDK pro iOS verze 12.3.3 nebo novější a při vyžadování přihlášení k pracovnímu nebo školnímu účtu musí být cílem zásady ochrany aplikací Intune. V rámci zásad ochrany aplikací musí být možnost Přijímat data z jiných aplikací nastavená na Hodnotu Všechny aplikace s příchozími daty organizace.

V tuto chvíli se přihlášení aplikace vyžaduje jenom v případě, že jsou příchozí data organizace do cílové aplikace.

Zadání dat XML

Můžete zadat nebo vložit seznam vlastností XML, který obsahuje nastavení konfigurace aplikace pro zařízení zaregistrovaná v Intune. Formát seznamu vlastností XML se liší v závislosti na aplikaci, kterou konfigurujete. Podrobnosti o přesném formátu, který se má použít, získáte od dodavatele aplikace.

Intune ověří formát XML. Intune ale nekontroluje, jestli seznam vlastností XML (PList) funguje s cílovou aplikací.

Další informace o seznamech vlastností XML:

Ukázkový formát konfiguračního souboru XML aplikace

Při vytváření konfiguračního souboru aplikace můžete zadat jednu nebo více následujících hodnot pomocí tohoto formátu:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Podporované datové typy XML PList

Intune podporuje následující datové typy v seznamu vlastností:

  • <Celé číslo>
  • <Skutečné>
  • <Řetězec>
  • <Pole>
  • <Dict>
  • <true /> nebo <false />

Tokeny použité v seznamu vlastností

Kromě toho Intune podporuje následující typy tokenů v seznamu vlastností:

  • {{userprincipalname}} – například John@contoso.com
  • {{mail}}– například John@contoso.com
  • {{partialupn}}– například Jan
  • {{accountid}}– například fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}– například b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}– například 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}– například John Doe
  • {{serialnumber}}– například F4KN99ZUG5V2 (pro zařízení s iOS/iPadOS)
  • {{serialnumberlast4digits}} – například G5V2 (pro zařízení s iOS/iPadOS)
  • {{aaddeviceid}}– například ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} – například True (pro zařízení s iOS/iPadOS)

Konfigurace aplikace Portál společnosti pro podporu zařízení s iOSem a iPadOS zaregistrovaných pomocí automatizované registrace zařízení

Automatizované registrace zařízení společnosti Apple nejsou ve výchozím nastavení kompatibilní s verzí aplikace Portál společnosti z Obchodu s aplikacemi. Aplikaci Portál společnosti ale můžete nakonfigurovat tak, aby podporovala zařízení ADE se systémem iOS/iPadOS, i když si uživatelé stáhli Portál společnosti z App Store pomocí následujícího postupu.

  1. V Centru pro správu Microsoft Intune přidejte aplikaci Portál společnosti Intune, pokud ještě nebyla přidána, a to tak, že přejdete na Aplikace>Všechny aplikace>Přidat>aplikaci pro iOS Store.

  2. Přejděte dočásti Zásady konfigurace aplikací> a vytvořte zásady konfigurace aplikace pro Portál společnosti aplikaci.

  3. Vytvořte zásadu konfigurace aplikace pomocí kódu XML níže. Další informace o tom, jak vytvořit zásady konfigurace aplikace a zadat data XML, najdete v tématu Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS.

    • Použijte Portál společnosti na zařízení s automatickou registrací zařízení (ADE) zaregistrované s přidružením uživatele:

      Poznámka

      Pokud je u registračního profilu nastavená možnost Instalovat Portál společnosti na hodnotu Ano, Intune v rámci počátečního procesu registrace automaticky odešle níže uvedené zásady konfigurace aplikace. Tato konfigurace by se neměla nasazovat ručně pro uživatele ani zařízení, protože to způsobí konflikt s datovou částí, která se už odeslala během registrace, což vede k tomu, že se koncovým uživatelům po přihlášení k Portál společnosti zobrazí výzva ke stažení nového profilu správy (když by neměli, protože na těchto zařízeních už je nainstalovaný profil pro správu).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Použijte Portál společnosti na zařízení ADE zaregistrované bez přidružení uživatele (označované také jako příprava zařízení):

      Poznámka

      Uživatel, který se přihlašuje k Portál společnosti, je nastavený jako primární uživatel zařízení.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Nasaďte Portál společnosti do zařízení se zásadami konfigurace aplikací určenými pro požadované skupiny. Nezapomeňte zásady nasadit jenom do skupin zařízení, která jsou už zaregistrovaná ADE.

  5. Řekněte koncovým uživatelům, aby se při automatické instalaci aplikace Portál společnosti přihlásili.

Poznámka

Když přidáte konfiguraci aplikace, která povolí aplikaci Portál společnosti na zařízeních ADE bez přidružení uživatele, může docházet k STATE Policy Error. Na rozdíl od jiných konfigurací aplikací tato situace neplatí při každém přihlášení zařízení. Tato konfigurace aplikace má být jednorázovou operací, která umožňuje stávajícím zařízením zaregistrovaným bez přidružení uživatele dosáhnout přidružení uživatele, když se uživatel přihlásí k Portál společnosti. Jakmile se tato konfigurace aplikace úspěšně použije, odebere se ze zásady na pozadí. Přiřazení zásad bude existovat, ale po odebrání konfigurace aplikace na pozadí nebude vykazovat "úspěch". Jakmile se zásady konfigurace aplikací na zařízení použijí, můžete zrušit přiřazení zásad.

Monitorování stavu konfigurace aplikace pro iOS/iPadOS na zařízení

Po přiřazení zásad konfigurace můžete monitorovat stav konfigurace aplikace pro iOS/iPadOS pro každé spravované zařízení. V Microsoft Intune v Centru pro správu Microsoft Intune vyberte Zařízení>Všechna zařízení. V seznamu spravovaných zařízení vyberte konkrétní zařízení, aby se zobrazilo podokno zařízení. V podokně zařízení vyberte Konfigurace aplikace.

Další informace

Další kroky

Pokračujte v přiřazování a monitorování aplikace.