Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android Enterprise-Geräte

  • Artikel

App-Konfigurationsrichtlinien in Microsoft Intune Einstellungen für verwaltete Google Play-Apps auf verwalteten Android Enterprise-Geräten bereitstellen. Der App-Entwickler macht Konfigurationseinstellungen für von Android verwaltete Apps verfügbar. Intune verwendet diese verfügbar gemachte Einstellung, damit der Administrator Features für die App konfigurieren kann. Die App-Konfigurationsrichtlinie wird Ihren Benutzergruppen zugewiesen. Die Richtlinieneinstellungen werden verwendet, wenn die App nach ihnen sucht, in der Regel bei der ersten Ausführung der App.

Nicht jede App unterstützt die App-Konfiguration. Erkundigen Sie sich beim App-Entwickler, ob seine App App-Konfigurationsrichtlinien unterstützt.

Hinweis

Intune erfordert Android 8.x oder höher für Geräteregistrierungsszenarien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Geräte bereitgestellt werden. Diese Anforderung gilt nicht für Microsoft Teams-Android-Geräte, da diese Geräte weiterhin unterstützt werden.

Für Intune-App-Schutzrichtlinien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Apps bereitgestellt werden, erfordert Intune Android 9.0 oder höher.

E-Mail-Apps

Android Enterprise verfügt über mehrere Registrierungsmethoden. Der Registrierungstyp hängt davon ab, wie E-Mail auf dem Gerät konfiguriert ist:

  • Verwenden Sie für vollständig verwaltete, dedizierte und unternehmenseigene Android Enterprise-Arbeitsprofile eine App-Konfigurationsrichtlinie und die Schritte in diesem Artikel. App-Konfigurationsrichtlinien unterstützen Gmail- und Nine Work-E-Mail-Apps.
  • Erstellen Sie auf persönlichen Android Enterprise-Geräten mit einem Arbeitsprofil ein Android Enterprise-E-Mail-Gerätekonfigurationsprofil. Wenn Sie das Profil erstellen, können Sie Einstellungen für E-Mail-Clients konfigurieren, die App-Konfigurationsrichtlinien unterstützen. Wenn Sie den Konfigurations-Designer verwenden, enthält Intune E-Mail-Einstellungen, die für Gmail- und Nine Work-Apps spezifisch sind.

Erstellen einer Konfigurationsrichtlinie für Apps

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie dieApp-Konfigurationsrichtlinien>>Verwaltete Gerätehinzufügen> aus. Beachten Sie, dass Sie zwischen verwalteten Geräten und verwalteten Apps wählen können. Weitere Informationen finden Sie unter Apps, die die App-Konfiguration unterstützen.

  3. Legen Sie auf der Seite Grundlagen die folgenden Details fest:

    • Name : Der Name des Profils, das im Portal angezeigt wird.
    • Beschreibung : Die Beschreibung des Profils, das im Portal angezeigt wird.
    • Geräteregistrierungstyp : Diese Einstellung ist auf Verwaltete Geräte festgelegt.

  4. Wählen Sie Android Enterprise als Plattform aus.

  5. Klicken Sie neben Ziel-App auf App auswählen. Der Bereich Zugeordnete App wird angezeigt.

  6. Wählen Sie im Bereich Zugeordnete App die verwaltete App aus, die der Konfigurationsrichtlinie zugeordnet werden soll, und klicken Sie auf OK.

  7. Klicken Sie auf Weiter, um die Seite Einstellungen anzuzeigen.

  8. Klicken Sie auf Hinzufügen , um den Bereich Berechtigungen hinzufügen anzuzeigen.

  9. Klicken Sie auf die Berechtigungen, die Sie außer Kraft setzen möchten. Gewährte Berechtigungen überschreiben die Richtlinie "Standard-App-Berechtigungen" für die ausgewählten Apps.

  10. Legen Sie den Berechtigungsstatus für jede Berechtigung fest. Sie können zwischen Eingabeaufforderung, Automatischer Genehmigung oder Automatisch verweigern wählen.

  11. Wenn die verwaltete App Konfigurationseinstellungen unterstützt, wird das Dropdownfeld Format der Konfigurationseinstellungen angezeigt. Wählen Sie eine der folgenden Methoden aus, um Konfigurationsinformationen hinzuzufügen:

    • Verwenden des Konfigurations-Designers
    • Eingeben von JSON-Daten

    Ausführliche Informationen zur Verwendung des Konfigurations-Designers finden Sie unter Verwenden des Konfigurations-Designers. Ausführliche Informationen zum Eingeben von XML-Daten finden Sie unter Eingeben von JSON-Daten.

  12. Wenn Sie es Benutzern ermöglichen müssen, die Ziel-App sowohl über das Arbeitsprofil als auch über persönliche Profile hinweg zu verbinden, wählen Sie Aktiviert neben Verbundene Apps aus.

    Screenshot der Konfigurationsrichtlinie – Einstellungen

    Hinweis

    Diese Einstellung funktioniert nur für persönliche Arbeitsprofile und unternehmenseigene Arbeitsprofilgeräte.

    Wenn Sie die Einstellung Verbundene Apps in Nicht konfiguriert ändern, wird die Konfigurationsrichtlinie nicht vom Gerät entfernt. Um die Funktion "Verbundene Apps " von einem Gerät zu entfernen, müssen Sie die Zuweisung der zugehörigen Konfigurationsrichtlinie aufheben.

  13. Klicken Sie auf Weiter, um die Seite Bereichsmarkierungen anzuzeigen.

  14. [Optional] Sie können Bereichstags für Ihre App-Konfigurationsrichtlinie konfigurieren. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

  15. Klicken Sie auf Weiter , um die Seite Zuweisungen anzuzeigen.

  16. Wählen Sie im Dropdownfeld neben Zuweisen zu entweder Gruppen hinzufügen, Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus, um die App-Konfigurationsrichtlinie zuzuweisen. Nachdem Sie eine Zuweisungsgruppe ausgewählt haben, können Sie einen Filter auswählen, um den Zuweisungsbereich beim Bereitstellen von App-Konfigurationsrichtlinien für verwaltete Geräte zu verfeinern.

    Screenshot: Richtlinienzuweisungen – Zuweisungen

  17. Wählen Sie im Dropdownfeld Alle Benutzer aus.

    Screenshot der Dropdownoption

  18. [Optional] Klicken Sie auf Filter bearbeiten , um einen Filter hinzuzufügen und den Zuweisungsbereich zu verfeinern.

    Screenshot: Richtlinienzuweisungen – Filter bearbeiten

  19. Klicken Sie auf Auszuschließende Gruppen auswählen , um den zugehörigen Bereich anzuzeigen.

  20. Wählen Sie die Gruppen aus, die Sie ausschließen möchten, und klicken Sie dann auf Auswählen.

    Hinweis

    Wenn beim Hinzufügen einer Gruppe bereits eine andere Gruppe für einen bestimmten Zuweisungstyp eingeschlossen wurde, ist sie vorab ausgewählt und kann für andere Includezuweisungstypen nicht geändert werden. Daher kann die verwendete Gruppe nicht als ausgeschlossene Gruppe verwendet werden.

  21. Klicken Sie auf Weiter, um die Seite Überprüfen + erstellen anzuzeigen.

  22. Klicken Sie auf Erstellen , um die App-Konfigurationsrichtlinie zu Intune hinzuzufügen.

Verwenden des Konfigurations-Designers

Sie können den Konfigurations-Designer für verwaltete Google Play-Apps verwenden, wenn die App für die Unterstützung von Konfigurationseinstellungen konzipiert ist. Die Konfiguration gilt für Geräte, die bei Intune registriert sind. Mit dem Designer können Sie bestimmte Konfigurationswerte für die von der App verfügbar gemachten Einstellungen konfigurieren.

  1. Wählen Sie Hinzufügen. Wählen Sie die Liste der Konfigurationseinstellungen aus, die Sie für die App eingeben möchten.

    Wenn Sie Gmail- oder Nine Work-E-Mail-Apps verwenden, enthält die Android Enterprise-Geräteeinstellungen zum Konfigurieren von E-Mail weitere Informationen zu diesen spezifischen Einstellungen.

  2. Legen Sie für jeden Schlüssel und Wert in der Konfiguration Folgendes fest:

    • Werttyp: Der Datentyp des Konfigurationswerts. Für Zeichenfolgenwerttypen können Sie optional eine Variable oder ein Zertifikatprofil als Werttyp auswählen.
    • Konfigurationswert: Der Wert für die Konfiguration. Wenn Sie eine Variable oder ein Zertifikat für den Werttyp auswählen, wählen Sie aus einer Liste von Variablen oder Zertifikatprofilen aus. Wenn Sie ein Zertifikat auswählen, wird der Zertifikatalias des auf dem Gerät bereitgestellten Zertifikats zur Laufzeit aufgefüllt.

Unterstützte Variablen für Konfigurationswerte

Sie können die folgenden Optionen auswählen, wenn Sie variable als Werttyp auswählen:

Option Beispiel
Microsoft Entra Geräte-ID dc0dc142-11d8-4b12-bfea-cae2a8514c82
Konto-ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune-Geräte-ID b9841cd9-9843-405f-be28-b2265c59ef97
Domäne contoso.com
E-Mail john@contoso.com
Partieller UPN John
Benutzer-ID 3ec2c00f-b125-4519-acf0-302ac3761822
Benutzername John Doe
Benutzerprinzipalname john@contoso.com

Nur konfigurierte organization-Konten in Apps zulassen

Als Microsoft Intune Administrator können Sie steuern, welche Geschäfts-, Schul- oder Unikonten microsoft-Apps auf verwalteten Geräten hinzugefügt werden. Sie können den Zugriff auf nur zulässige organization Benutzerkonten beschränken und persönliche Konten auf registrierten Geräten blockieren. Verwenden Sie für Android-Geräte die folgenden Schlüssel-Wert-Paare in einer App-Konfigurationsrichtlinie für verwaltete Geräte:

Schlüssel com.microsoft.intune.mam.AllowedAccountUPNs
Werte
  • Ein oder mehrere ; durch Trennzeichen getrennte UPNs.
  • Die einzigen zulässigen Konten sind die durch diesen Schlüssel definierten verwalteten Benutzerkonten.
  • Bei in Intune registrierten Geräten kann das {{userprincipalname}} Token verwendet werden, um das registrierte Benutzerkonto darzustellen.

Hinweis

Die folgenden Apps verarbeiten die oben genannte App-Konfiguration und lassen nur organization Konten zu:

  • Edge für Android (42.0.4.4048 und höher)
  • Office, Word, Excel, PowerPoint für Android (16.0.9327.1000 und höher)
  • OneDrive für Android (5.28 und höher)
  • OneNote für Android (16.0.13231.20222 oder höher)
  • Outlook für Android (2.2.222 und höher)
  • Teams für Android (1416/1.0.0.2020073101 und höher)

Eingeben von JSON-Daten

Einige Konfigurationseinstellungen für Apps (z. B. Apps mit Bundle-Typen) können nicht mit dem Konfigurations-Designer konfiguriert werden. Verwenden Sie den JSON-Editor für diese Werte. Einstellungen werden apps automatisch bereitgestellt, wenn die App installiert wird.

  1. Wählen Sie für Format der Konfigurationseinstellungendie Option JSON-Editor eingeben aus.
  2. Im Editor können Sie JSON-Werte für Konfigurationseinstellungen definieren. Sie können JSON-Vorlage herunterladen auswählen, um eine Beispieldatei herunterzuladen, die Sie dann konfigurieren können.
  3. Wählen Sie OK und dann Hinzufügen aus.

Die Richtlinie wird erstellt und in der Liste angezeigt.

Wenn die zugewiesene App auf einem Gerät ausgeführt wird, wird sie mit den Einstellungen ausgeführt, die Sie in der App-Konfigurationsrichtlinie konfiguriert haben.

Aktivieren von verbundenen Apps

Gilt für:
Android 11+

Benutzer mit persönlichem Arbeitsprofil müssen über Unternehmensportal Version 5.0.5291.0 oder höher verfügen. Unternehmenseigene Benutzer von Arbeitsprofilen benötigen keine bestimmte Version der Microsoft Intune-App für den Support.

Sie können benutzern, die persönliche und unternehmenseigene Android-Arbeitsprofile verwenden, ermöglichen, verbundene Apps für unterstützte Apps zu aktivieren. Diese App-Konfigurationseinstellung ermöglicht Apps das Verbinden und Integrieren von App-Daten in den geschäftlichen und persönlichen App-Instanzen.

Damit eine App diese Erfahrung bereitstellen kann, muss die App in das SDK für verbundene Apps von Google integriert werden, sodass sie nur von eingeschränkten Apps unterstützt wird. Sie können die Einstellung für verbundene Apps proaktiv aktivieren, und wenn Apps Unterstützung hinzufügen, können Benutzer die Benutzeroberfläche für verbundene Apps aktivieren.

Wenn Sie die Einstellung Verbundene Apps in Nicht konfiguriert ändern, wird die Konfigurationsrichtlinie nicht vom Gerät entfernt. Um die Funktion "Verbundene Apps " von einem Gerät zu entfernen, müssen Sie die Zuweisung der zugehörigen Konfigurationsrichtlinie aufheben.

Warnung

Wenn Sie die Funktionalität verbundener Apps für eine App aktivieren, werden Arbeitsdaten in persönlichen Apps nicht durch eine App-Schutzrichtlinie geschützt.

Darüber hinaus können einige OEMs unabhängig von der Konfiguration Ihrer verbundenen Apps möglicherweise automatisch bestimmte Apps verbinden oder eine Benutzergenehmigung anfordern, um Apps zu verbinden, die Sie nicht konfiguriert haben. Ein Beispiel für eine App in diesem Fall könnte die Tastatur-App des OEM sein.

Es gibt zwei Möglichkeiten, wie Benutzer geschäftliche und persönliche Apps verbinden können, nachdem Sie die Einstellung für verbundene Apps aktiviert haben:

  1. Eine unterstützte App kann einen Benutzer dazu auffordern, eine profilübergreifende Verbindung zu genehmigen.
  2. Benutzer können die App "Einstellungen" öffnen und zum Abschnitt Connected Work & persönliche Apps wechseln, in dem alle unterstützten Apps aufgelistet werden.

Wichtig

Wenn mehrere App-Konfigurationsrichtlinien für dieselbe App für dasselbe Gerät zugewiesen sind und eine Richtlinie Verbundene Apps auf Enabled festlegt, während die andere Richtlinie dies nicht tut, meldet die App-Konfiguration einen Konflikt, und das resultierende Verhalten, das auf das Gerät angewendet wird, besteht darin, die verbundenen Apps nicht zuzulassen.

Vorkonfigurieren des Berechtigungsgewährungsstatus für Apps

Sie können auch App-Berechtigungen vorkonfigurieren, um auf Android-Gerätefeatures zuzugreifen. Standardmäßig fordern Android-Apps, die Geräteberechtigungen erfordern, z. B. zugriff auf den Standort oder die Gerätekamera, Benutzer auf, Berechtigungen zu akzeptieren oder zu verweigern.

Beispielsweise verwendet eine App das Mikrofon des Geräts. Der Benutzer wird aufgefordert, der App die Berechtigung für die Verwendung des Mikrofons zu erteilen.

  1. Wählen Sie im Microsoft Intune Admin CenterApps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen> aus.
  2. Fügen Sie die folgenden Eigenschaften hinzu:
    • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise die App-Richtlinie für Android Enterprise-Eingabeaufforderungsberechtigungen für das gesamte Unternehmen.
    • Beschreibung. Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
    • Geräteregistrierungstyp: Diese Einstellung ist auf Verwaltete Geräte festgelegt.
    • Plattform: Wählen Sie Android Enterprise aus.
  3. Wählen Sie Profiltyp aus:
  4. Wählen Sie Ziel-App aus. Wählen Sie die App aus, der Sie eine Konfigurationsrichtlinie zuordnen möchten. Wählen Sie aus der Liste der vollständig verwalteten Android Enterprise-Arbeitsprofil-Apps aus, die Sie genehmigt und mit Intune synchronisiert haben.
  5. Wählen Sie Berechtigungen>Hinzufügen aus. Wählen Sie in der Liste die verfügbaren App-Berechtigungen >OK aus.
  6. Wählen Sie eine Option für jede Berechtigung aus, die mit dieser Richtlinie gewährt werden soll:
    • Eingabeaufforderung. Fordern Sie den Benutzer auf, zu akzeptieren oder zu verweigern.
    • Automatische Genehmigung. Automatisch genehmigen, ohne den Benutzer zu benachrichtigen.
    • Automatische Ablehnung. Automatische Ablehnung, ohne den Benutzer zu benachrichtigen.
  7. Um die App-Konfigurationsrichtlinie zuzuweisen, wählen Sie die App-Konfigurationsrichtlinie >Zuweisung>Gruppen auswählen aus. Wählen Sie die Benutzergruppen aus, die Ausgewählt zugewiesen > werden sollen.
  8. Wählen Sie Speichern aus, um die Richtlinie zuzuweisen.

Weitere Informationen

Nächste Schritte

Fahren Sie mit dem Zuweisen und Überwachen der App fort.