App-Konfigurationsrichtlinien für Microsoft Intune

App-Konfigurationsrichtlinien können Ihnen helfen, App-Setupprobleme zu beseitigen, indem Sie Konfigurationseinstellungen einer Richtlinie zuweisen können, die Endbenutzern zugewiesen ist, bevor sie die App ausführen. Die Einstellungen werden dann automatisch bereitgestellt, wenn die App auf dem Endbenutzergerät konfiguriert ist und Endbenutzer keine Maßnahmen ergreifen müssen. Die Konfigurationseinstellungen sind für jede App eindeutig.

Sie können App-Konfigurationsrichtlinien erstellen und verwenden, um Konfigurationseinstellungen für iOS-/iPadOS- oder Android-Apps bereitzustellen. Diese Konfigurationseinstellungen ermöglichen die Anpassung einer App mithilfe der App-Konfiguration und -Verwaltung. Die Einstellungen für die Konfigurationsrichtlinie werden verwendet, wenn die App sie überprüft, in der Regel bei ihrer ersten Ausführung.

Für eine App-Konfigurationseinstellung müssen Sie z. B. möglicherweise eine der folgenden Details angeben:

• Eine benutzerdefinierte Portnummer
• Spracheinstellungen
• Sicherheitseinstellungen
• Brandingeinstellungen wie z. B. ein Firmenlogo

Wenn Endbenutzer stattdessen diese Einstellungen eingeben würden, könnten sie dies falsch tun. App-Konfigurationsrichtlinien können dazu beitragen, Konsistenz im gesamten Unternehmen zu gewährleisten und Helpdesk-Anrufe von Endbenutzern zu reduzieren, die versuchen, Einstellungen selbst zu konfigurieren. Durch die Verwendung von App-Konfigurationsrichtlinien kann die Einführung neuer Apps einfacher und schneller erfolgen.

Die verfügbaren Konfigurationsparameter und die Implementierung der Konfigurationsparameter werden von den Entwicklern der Anwendung festgelegt. Die Dokumentation des Anwendungsanbieters sollte überprüft werden, um zu sehen, welche Konfigurationen verfügbar sind und wie sich die Konfigurationen auf das Verhalten der Anwendung auswirken. Bei einigen Anwendungen füllen Intune die verfügbaren Konfigurationseinstellungen auf.

Hinweis

Im verwalteten Google Play Store werden Apps, die die Konfiguration unterstützen, als solche gekennzeichnet:

Sie sehen nur Apps aus dem verwalteten Google Play Store, nicht aus dem Google Play Store, wenn Sie verwaltete Geräte als Registrierungstyp für Android-Geräte verwenden.

Sie können einer Gruppe von Endbenutzern und Geräten eine App-Konfigurationsrichtlinie zuweisen, indem Sie eine Kombination aus Ein- und Ausschlusszuweisungen verwenden. Im Rahmen des Prozesses zum Hinzufügen oder Aktualisieren einer App-Konfigurationsrichtlinie können Sie die Zuweisungen für die App-Konfigurationsrichtlinie festlegen. Wenn Sie die Zuweisungen für die Richtlinie festlegen, können Sie die Gruppen von Endbenutzern, für die die Richtlinie gilt, einschließen und ausschließen. Wenn Sie eine oder mehrere Gruppen einschließen möchten, können Sie bestimmte Gruppen auswählen, die eingeschlossen werden sollen, oder sie können integrierte Gruppen auswählen. Zu den integrierten Gruppen gehören "Alle Benutzer", "Alle Geräte" und "Alle Benutzer" + "Alle Geräte".

Sie können auch Filter verwenden, um den Zuweisungsbereich beim Bereitstellen von App-Konfigurationsrichtlinien für verwaltete iOS- und Android-Geräte zu verfeinern. Sie müssen zunächst einen Filter mit einer der verfügbaren Eigenschaften für iOS und Android erstellen. Anschließend können Sie in Microsoft Intune Admin Center Ihre Konfigurationsrichtlinie für verwaltete Apps zuweisen, indem Sie Apps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen> auswählen und zur Zuweisungsseite wechseln. Nachdem Sie eine Gruppe ausgewählt haben, können Sie die Anwendbarkeit der Richtlinie verfeinern, indem Sie einen Filter auswählen und sich für die Verwendung im Einschluss - oder Ausschlussmodus entscheiden.

Die Workload der App-Konfigurationsrichtlinie enthält eine Liste der App-Konfigurationsrichtlinien, die für Ihren Mandanten erstellt wurden. Diese Liste enthält Details wie Name, Plattform, Aktualisiert, Registrierungstyp und Bereichstags. Wählen Sie die Richtlinie aus, um weitere Details zu einer bestimmten App-Konfigurationsrichtlinie zu erhalten. Im Bereich Übersicht der Richtlinie können Sie bestimmte Details anzeigen, z. B. die Richtlinie status basierend auf dem Gerät und basierend auf dem Benutzer sowie die Angabe, ob die Richtlinie zugewiesen wurde.

Apps, die die App-Konfiguration unterstützen

Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management, Verwaltung mobiler Geräte) auf registrierten Geräten (Managed App Configuration-Kanal für iOS oder Android im Enterprise-Kanal für Android) oder über den MAM-Kanal (Mobile Application Management) bereitgestellt werden.

Intune stellt die folgenden verschiedenen App-Konfigurationsrichtlinienkanäle dar:

• Verwaltete Geräte : Das Gerät wird von Intune als Anbieter der einheitlichen Endpunktverwaltung verwaltet. Die App muss an das Verwaltungsprofil unter iOS/iPadOS angeheftet oder über verwaltetes Google Play auf Android-Geräten bereitgestellt werden. Darüber hinaus unterstützt die App die gewünschte App-Konfiguration.
• Verwaltete Apps : Eine App, die entweder das Intune App SDK integriert hat oder mit dem Intune Wrapping Tool umschlossen wurde und App-Schutzrichtlinien (App Protection Policies, APP) unterstützt. In dieser Konfiguration spielt weder der Registrierungsstatus des Geräts noch die Übermittlung der App an das Gerät eine Rolle. Die App unterstützt die gewünschte App-Konfiguration.

Apps können App-Konfigurationsrichtlinieneinstellungen in Bezug auf die Benutzereinstellungen unterschiedlich behandeln. Bei Outlook für iOS und Android berücksichtigt beispielsweise die App-Konfigurationseinstellung für den Posteingang mit Relevanz die Benutzereinstellung, sodass der Benutzer die Administratorabsicht außer Kraft setzen kann. Mit anderen Einstellungen können Sie steuern, ob ein Benutzer die Einstellung basierend auf der Administratorabsicht ändern kann oder nicht.

Hinweis

Intune erfordert Android 8.x oder höher für Geräteregistrierungsszenarien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Geräte bereitgestellt werden. Diese Anforderung gilt nicht für Microsoft Teams-Android-Geräte, da diese Geräte weiterhin unterstützt werden.

Für Intune-App-Schutzrichtlinien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Apps bereitgestellt werden, erfordert Intune Android 9.0 oder höher.

Verwaltete Geräte

Die Auswahl verwalteter Geräte als Geräteregistrierungstyp bezieht sich speziell auf Apps, die von Intune auf dem registrierten Gerät bereitgestellt werden und daher von Intune als Registrierungsanbieter verwaltet werden.

Um die App-Konfiguration für Apps zu unterstützen, die über Intune auf registrierten Geräten bereitgestellt werden, müssen Apps geschrieben werden, um die Verwendung von App-Konfigurationen gemäß der Definition des Betriebssystems zu unterstützen. Wenden Sie sich an Ihren App-Anbieter, um zu erfahren, welche App-Konfigurationsschlüssel er für die Bereitstellung über den MDM-Betriebssystemkanal unterstützt. Im Allgemeinen gibt es vier Szenarien für die Bereitstellung der App-Konfiguration mithilfe des MDM-Betriebssystemkanals:

• Nur Geschäfts-, Schul- oder Unikonten zulassen
• Konfigurationseinstellungen für die Kontoeinrichtung
• Allgemeine App-Konfigurationseinstellungen
• S/MIME-Konfigurationseinstellungen

Verwaltete Apps

Die Auswahl verwalteter Apps als Geräteregistrierungstyp bezieht sich speziell auf Apps, die unabhängig vom Registrierungsstatus mit einer Intune App-Schutzrichtlinie auf Geräten konfiguriert wurden.

Um die App-Konfiguration über den MAM-Kanal zu unterstützen, muss die App in Intune App SDK integriert sein. Branchenspezifische Apps können entweder das Intune App SDK integrieren oder die Intune App Wrapping Tool verwenden. Einen Vergleich zwischen dem Intune App SDK und dem Intune App Wrapping Tool finden Sie unter Vorbereiten von Branchen-Apps für App-Schutzrichtlinien.

Die Bereitstellung der App-Konfiguration über den MAM-Kanal erfordert nicht, dass das Gerät registriert ist oder dass die App verwaltet oder über die Einheitliche Endpunktverwaltungslösung bereitgestellt wird. Es gibt drei Szenarien für die Bereitstellung der App-Konfiguration mithilfe des MAM-Kanals:

• Allgemeine App-Konfigurationseinstellungen
• S/MIME-Konfigurationseinstellungen
• Erweiterte APP-Datenschutzeinstellungen, die die Funktionen von App-Schutzrichtlinien erweitern

Hinweis

Verwaltete Intune-Apps checken in einem Intervall von 30 Minuten für Intune App Configuration Policy status ein, wenn sie in Verbindung mit einer Intune-App-Schutzrichtlinie bereitgestellt werden. Wenn dem Benutzer keine Intune App-Schutzrichtlinie zugewiesen ist, wird das Intune App Configuration Richtlinien-Eincheckintervall auf 720 Minuten festgelegt.

Informationen dazu, welche Apps die App-Konfiguration über den MAM-Kanal unterstützen, finden Sie unter Microsoft Intune geschützten Apps.

App-Konfigurationsrichtlinien im Framework für die Android Enterprise-Sicherheitskonfiguration

Für Android Enterprise-App-Konfigurationsrichtlinien können Sie den Geräteregistrierungstyp auswählen, bevor Sie ein App-Konfigurationsprofil erstellen. Sie können Zertifikatprofile berücksichtigen, die auf dem Registrierungstyp basieren.

Der Registrierungstyp kann einer der folgenden Sein:

• Alle Profiltypen: Wenn ein neues Profil erstellt und Alle Profiltypen als Geräteregistrierungstyp ausgewählt ist, können Sie der App-Konfigurationsrichtlinie kein Zertifikatprofil zuordnen. Diese Option unterstützt die Authentifizierung von Benutzername und Kennwort. Wenn Sie die zertifikatbasierte Authentifizierung verwenden, verwenden Sie diese Option nicht.
• Vollständig verwaltetes, dediziertes und Corporate-Owned Nur Arbeitsprofil: Wenn ein neues Profil erstellt wird und vollständig verwaltet, Dediziert und Corporate-Owned Nur Arbeitsprofil ausgewählt ist, können vollständig verwaltete, dedizierte und Corporate-Owned Unter Gerätekonfiguration> erstellte Zertifikatrichtlinien für Arbeitsprofil verwendet werden. Diese Option unterstützt die zertifikatbasierte Authentifizierung sowie die Benutzernamen- und Kennwortauthentifizierung. Vollständig verwaltet bezieht sich auf vollständig verwaltete Android Enterprise-Geräte (COBO). Dedicated bezieht sich auf dedizierte Android Enterprise-Geräte (COSU). Unternehmenseigenes Arbeitsprofil bezieht sich auf das unternehmenseigene Android Enterprise-Arbeitsprofil (COPE).
• Nur persönliches Arbeitsprofil: Wenn ein neues Profil erstellt und nur persönliches Arbeitsprofil ausgewählt ist, können unter Gerätekonfiguration> erstellte Zertifikatrichtlinien für Arbeitsprofile verwendet werden. Diese Option unterstützt die zertifikatbasierte Authentifizierung sowie die Benutzernamen- und Kennwortauthentifizierung.

Hinweis

Wenn Sie ein Gmail- oder Nine-Konfigurationsprofil in einem Arbeitsprofil für dedizierte Android Enterprise-Geräte bereitstellen, bei dem kein Benutzer beteiligt ist, tritt ein Fehler auf, da Intune den Benutzer nicht auflösen kann.

Wichtig

Vorhandene Richtlinien, die vor der Veröffentlichung dieses Features (Release april 2020 – 2004) erstellt wurden und denen keine Zertifikatprofile zugeordnet sind, werden standardmäßig auf Alle Profiltypen für den Geräteregistrierungstyp festgelegt. Außerdem werden vorhandene Richtlinien, die vor der Veröffentlichung dieses Features erstellt wurden und denen Zertifikatprofile zugeordnet sind, standardmäßig nur auf Arbeitsprofil festgelegt.

Vorhandene Richtlinien korrigieren oder stellen keine neuen Zertifikate aus.

Überprüfen der angewendeten App-Konfigurationsrichtlinie

Sie können die App-Konfigurationsrichtlinie mit den folgenden drei Methoden überprüfen:

1. Überprüfen Sie die App-Konfigurationsrichtlinie sichtbar auf dem Gerät. Vergewissern Sie sich, dass die zielorientierte App das verhalten zeigt, das in der App-Konfigurationsrichtlinie angewendet wird.

2. Überprüfen Sie dies über Diagnoseprotokolle (siehe Abschnitt Diagnoseprotokolle weiter unten).

3. Überprüfen Sie dies im Microsoft Intune Admin Center. Wählen Sie im Microsoft Intune Admin CenterApps>Alle Apps>wählen Sie die zugehörige App* aus. Wählen Sie dann im Abschnitt Überwachen die Option Geräteinstallation aus, status: Geräteinstallationsstatusbericht überwacht die neuesten Check-Ins für alle Geräte, auf die die Konfigurationsrichtlinie ausgerichtet wurde.

   Wählen Sie außerdem im Microsoft Intune Admin CenterGeräte>Alle Geräte>App-Konfiguration auswählenaus>. Im Bereich App-Konfiguration** werden alle zugewiesenen Richtlinien und deren Status angezeigt:

   

Diagnoseprotokolle

iOS-/iPadOS-Konfiguration auf nicht verwalteten Geräten

Sie können die iOS-/iPadOS-Konfiguration mit dem Intune-Diagnoseprotokoll für Einstellungen überprüfen, die über die Konfigurationsrichtlinien für verwaltete Apps bereitgestellt werden. Zusätzlich zu den folgenden Schritten können Sie mithilfe von Microsoft Edge auf Protokolle für verwaltete Apps zugreifen. Weitere Informationen finden Sie unter Verwenden von Microsoft Edge für iOS und Android für den Zugriff auf Protokolle von verwalteten Apps.

1. Falls noch nicht auf dem Gerät installiert, laden Sie Microsoft Edge aus dem App Store herunter, und installieren Sie es. Weitere Informationen finden Sie unter Microsoft Intune geschützten Apps.

2. Starten Sie Microsoft Edge, und geben Sie about:intunehelp in das Adressfeld ein.

3. Klicken Sie auf Erste Schritte.

4. Klicken Sie auf Protokolle freigeben.

5. Verwenden Sie die Mail-App Ihrer Wahl, um das Protokoll an sich selbst zu senden, damit sie auf Ihrem PC angezeigt werden können.

6. Überprüfen Sie IntuneMAMDiagnostics.txt in Ihrem Textdatei-Viewer.

7. Suchen nach ApplicationConfiguration. Die Ergebnisse sehen wie folgt aus:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

Ihre Anwendungskonfigurationsdetails sollten mit den für Ihren Mandanten konfigurierten Anwendungskonfigurationsrichtlinien übereinstimmen.

iOS-/iPadOS-Konfiguration auf verwalteten Geräten

Sie können die iOS-/iPadOS-Konfiguration mit dem Intune-Diagnoseprotokoll auf verwalteten Geräten für die Konfiguration verwalteter Apps überprüfen.

1. Falls noch nicht auf dem Gerät installiert, laden Sie Microsoft Edge aus dem App Store herunter, und installieren Sie es. Weitere Informationen finden Sie unter Microsoft Intune geschützten Apps.
2. Starten Sie Microsoft Edge, und geben Sie about:intunehelp in das Adressfeld ein.
3. Klicken Sie auf Erste Schritte.
4. Klicken Sie auf Protokolle freigeben.
5. Verwenden Sie die Mail-App Ihrer Wahl, um das Protokoll an sich selbst zu senden, damit sie auf Ihrem PC angezeigt werden können.
6. Überprüfen Sie IntuneMAMDiagnostics.txt in Ihrem Textdatei-Viewer.
7. Suchen nach AppConfig. Ihre Ergebnisse sollten mit den für Ihren Mandanten konfigurierten Anwendungskonfigurationsrichtlinien übereinstimmen.

Android-Konfiguration auf verwalteten Geräten

Sie können die Android-Konfiguration mit dem Intune-Diagnoseprotokoll auf verwalteten Geräten für die Konfiguration verwalteter Apps überprüfen.

Um Protokolle von einem Android-Gerät zu erfassen, müssen Sie oder der Endbenutzer die Protokolle vom Gerät über eine USB-Verbindung (oder die Explorer Äquivalent auf dem Gerät) herunterladen. Die Schritte sind hier aufgeführt:

1. Schließen Sie das Android-Gerät über das USB-Kabel an Ihren Computer an.

2. Suchen Sie auf dem Computer nach einem Verzeichnis mit dem Namen Ihres Geräts. Suchen Sie Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportalin diesem Verzeichnis nach .

3. Öffnen Sie im com.microsoft.windowsintune.companyportal Ordner den Ordner Dateien, und öffnen Sie OMADMLog_0.

4. AppConfigHelper Suchen Sie nach , um nachrichten im Zusammenhang mit der App-Konfiguration zu finden. Die Ergebnisse sehen in etwa wie der folgende Datenblock aus:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph-API Unterstützung für die App-Konfiguration

Sie können Graph-API verwenden, um App-Konfigurationsaufgaben auszuführen. Weitere Informationen finden Sie unter Graph-API Reference MAM Targeted Config. Weitere Informationen zu Intune und Graph finden Sie unter Arbeiten mit Intune in Microsoft Graph.

Problembehandlung

Verwenden von Protokollen zum Anzeigen eines Konfigurationsparameters

Wenn in den Protokollen ein Konfigurationsparameter angezeigt wird, der bestätigt wird, dass er angewendet wird, aber anscheinend nicht funktioniert, liegt möglicherweise ein Problem mit der Konfigurationsimplementierung durch den App-Entwickler vor. Wenn Sie sich zuerst an diesen App-Entwickler wenden oder dessen Wissensdatenbank überprüfen, sparen Sie möglicherweise einen Supportanruf bei Microsoft. Wenn es sich um ein Problem mit der Behandlung der Konfiguration innerhalb einer App handelt, muss dies in einer zukünftigen aktualisierten Version dieser App behoben werden.

Nächste Schritte

Verwaltete Geräte

• Erfahren Sie, wie Sie die App-Konfiguration mit Ihren iOS-/iPadOS-Geräten verwenden. Weitere Informationen finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte.
• Erfahren Sie, wie Sie die App-Konfiguration mit Ihren Android-Geräten verwenden. Weitere Informationen finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android-Geräte.

Verwaltete Apps

• Erfahren Sie, wie Sie die App-Konfiguration mit verwalteten Apps verwenden. Weitere Informationen finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Apps ohne Geräteregistrierung.