Freigeben über

Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android Enterprise-Geräte.

  • Artikel

Die App-Konfigurationsrichtlinien in Microsoft Intune stellen Einstellungen für verwaltete Google Play-Apps auf verwalteten Android Enterprise-Geräten bereit. Die App-Entwickler*innen machen Konfigurationseinstellungen für von Android verwaltete Apps verfügbar. Intune verwendet diese verfügbar gemachte Einstellung, damit der oder die Administrator*in Funktionen für die App konfigurieren kann. Die App-Konfigurationsrichtlinie wird Ihren Benutzergruppen zugewiesen. Die Richtlinieneinstellungen werden verwendet, wenn die App sie überprüft, in der Regel bei der ersten Ausführung der App.

Nicht jede App unterstützt die App-Konfiguration. Erkundigen Sie sich beim App-Entwickler, ob seine App die App-Konfigurationsrichtlinien unterstützt.

Hinweis

Intune erfordert Android 8.x oder höher für Geräteregistrierungsszenarien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Geräte bereitgestellt werden. Diese Anforderung gilt nicht für Microsoft Teams-Android-Geräte, da diese Geräte weiterhin unterstützt werden.

Für Intune-App-Schutzrichtlinien und App-Konfigurationen, die über App-Konfigurationsrichtlinien für verwaltete Apps bereitgestellt werden, erfordert Intune Android 9.0 oder höher.

E-Mail-Apps

Android Enterprise bietet mehrere Registrierungsmethoden. Der Registrierungstyp hängt davon ab, wie der E-Mail-Dienst auf dem Gerät konfiguriert ist:

  • Verwenden Sie für vollständig verwaltete, dedizierte und unternehmenseigene Android Enterprise-Arbeitsprofile eine App-Konfigurationsrichtlinie und befolgen Sie die Schritte in diesem Artikel. Die App-Konfigurationsrichtlinien unterstützen Gmail- und Nine Work-E-Mail-Apps.
  • Erstellen Sie auf persönlichen Android Enterprise-Geräten mit einem Arbeitsprofil ein Android Enterprise-E-Mail-Gerätekonfigurationsprofil. Während Sie das Profil erstellen, können Sie Einstellungen für E-Mail-Clients konfigurieren, die App-Konfigurationsrichtlinien unterstützen. Wenn Sie den Konfigurations-Designer verwenden, enthält Intune E-Mail-Einstellungen, die speziell für Gmail- und Nine Work-Apps gelten.

Erstellen einer Konfigurationsrichtlinie für Apps

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wahlen Sie die Appsaus >App-Konfigurationsrichtlinien>Fügen Sie>verwaltete Geräte hinzu. Beachten Sie, dass Sie zwischen verwalteten Geräten und verwalteten Apps wählen können. Weitere Informationen finden Sie unter Apps, die die App-Konfiguration unterstützen.

  3. Konfigurieren Sie auf der Seite Grundlagen die folgenden Einstellungen:

    • Name : Der Name des Profils, das im Portal angezeigt wird.
    • Beschreibung : Die Beschreibung des Profils, das im Portal angezeigt wird.
    • Geräteregistrierungstyp – Diese Einstellung ist auf Verwaltete Geräte gesetzt.

  4. Wählen Sie Android Enterprise als Plattform aus.

  5. Klicken Sie neben Ziel-App auf App auswählen. Der Bereich Zugeordnete App wird angezeigt.

  6. Wählen Sie im Bereich Zugeordnete App die verwaltete App aus, die der Konfigurationsrichtlinie zugeordnet werden soll, und klicken Sie auf OK.

  7. Klicken Sie auf Weiter, um die Seite Einstellungen anzuzeigen.

  8. Klicken Sie auf Hinzufügen, um den Bereich Berechtigungen hinzufügen anzuzeigen.

  9. Klicken Sie auf die Berechtigungen, die Sie außer Kraft setzen möchten. Gewährte Berechtigungen überschreiben die Richtlinie „Standard-App-Berechtigungen“ für die ausgewählten Apps.

  10. Legen Sie den Berechtigungsstatus für jede Berechtigung fest. Sie können zwischen Eingabeaufforderung, automatisch gewähren und automatisch verweigern wählen.

  11. Wenn die verwaltete App Konfigurationseinstellungen unterstützt, wird das Dropdownfeld Format der Konfigurationseinstellungen angezeigt. Wählen Sie eine der folgenden Methoden aus, um Konfigurationsinformationen hinzuzufügen:

    • Konfigurations-Designer benutzen
    • JSON-Daten eingeben

    Details zur Verwendung des Konfigurations-Designers finden Sie unter Konfigurations-Designer benutzen. Details zum Eingeben von XML-Daten finden Sie unter JSON-Daten eingeben.

  12. Wenn Sie es Benutzer*innen ermöglichen müssen, die Ziel-App sowohl über das Arbeitsprofil als auch über persönliche Profile hinweg zu verbinden, wählen Sie Aktiviert neben Verbundene Apps aus.

    Screenshot der Konfigurationsrichtlinie – Einstellungen

    Hinweis

    Diese Einstellung funktioniert nur für Geräte mit persönlichem Arbeitsprofil und für Geräte mit unternehmenseigenem Arbeitsprofil.

    Wenn Sie die Einstellung Verbundene Apps in Nicht konfiguriert ändern, wird die Konfigurationsrichtlinie nicht vom Gerät entfernt. Um die Funktion Verbundene Apps von einem Gerät zu entfernen, müssen Sie die Zuweisung der zugehörigen Konfigurationsrichtlinie aufheben.

  13. Klicken Sie auf Weiter, um die Seite Bereichsmarkierungen anzuzeigen.

  14. [Optional] Sie können Bereichstags für Ihre App-Konfigurationsrichtlinie konfigurieren. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

  15. Klicken Sie auf Weiter, um die Seite Aufgaben anzuzeigen.

  16. Wählen Sie im Dropdownfeld neben Zuweisen entweder Gruppen hinzufügen, Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus, um die App-Konfigurationsrichtlinie zuzuweisen. Nachdem Sie eine Zuweisungsgruppe ausgewählt haben, können Sie einen Filter auswählen, um den Zuweisungsbereich beim Bereitstellen von App-Konfigurationsrichtlinien für verwaltete Geräte einzuschränken.

    Screenshot: Richtlinienzuweisungen – Aufgaben

  17. Wählen Sie im Dropdownfeld Alle Benutzer aus.

    Screenshot: Richtlinienzuweisungen – Dropdownoption „Alle Benutzer“

  18. [Optional] Klicken Sie auf Filter bearbeiten, um einen Filter hinzuzufügen und den Zuweisungsbereich einzuschränken.

    Screenshot: Richtlinienzuweisungen – Filter bearbeiten

  19. Klicken Sie auf Auszuschließende Gruppen auswählen, um den zugehörigen Bereich anzuzeigen.

  20. Wählen Sie die Gruppen aus, die Sie ausschließen möchten, und klicken Sie dann auf Auswählen.

    Hinweis

    Wenn beim Hinzufügen einer Gruppe bereits eine andere Gruppe für einen bestimmten Zuweisungstyp eingeschlossen wurde, ist sie vorab ausgewählt und kann für andere einzuschließende Zuweisungstypen nicht geändert werden. Daher kann die Gruppe, die bereits verwendet wurde, nicht als ausgeschlossene Gruppe definiert werden.

  21. Klicken Sie auf Weiter, um die Seite Überprüfen + erstellen anzuzeigen.

  22. Klicken Sie auf Erstellen, um die App-Konfigurationsrichtlinie zu Intune hinzuzufügen.

Den Konfigurations-Designer benutzen

Sie können den Konfigurations-Designer für verwaltete Google Play-Apps verwenden, wenn die App für die Unterstützung von Konfigurationseinstellungen konzipiert ist. Die Konfiguration gilt für Geräte, die bei Intune registriert sind. Mit dem Designer können Sie bestimmte Konfigurationswerte für die von der App verfügbar gemachten Einstellungen konfigurieren.

  1. Klicken Sie auf Hinzufügen. Wählen Sie die Liste der Konfigurationseinstellungen aus, die Sie für die App eingeben möchten.

    Wenn Sie Gmail- oder Nine Work-E-Mail-Apps verwenden, enthält die Android Enterprise-Geräteeinstellungen zum Konfigurieren von E-Mail weitere Informationen zu diesen spezifischen Einstellungen.

  2. Legen Sie für jeden Schlüssel und Wert in der Konfiguration Folgendes fest:

    • Werttyp: Der Datentyp des Konfigurationswerts. Für Zeichenfolgenwerttypen können Sie optional eine Variable oder ein Zertifikatprofil als Werttyp auswählen.
    • Konfigurationswert: Der Wert für die Konfiguration. Wenn Sie eine Variable oder ein Zertifikat für den Werttyp auswählen, wählen Sie aus einer Liste von Variablen oder Zertifikatprofilen aus. Wenn Sie ein Zertifikat auswählen, wird zur Laufzeit der Zertifikat-Alias des für das Gerät bereitgestellten Zertifikats ausgefüllt.

Unterstützte Variablen für Konfigurationswerte

Sie können die folgenden Optionen auswählen, wenn Sie „variabel“ als Werttyp auswählen:

Option Beispiel
ID des Microsoft Entra-Geräts dc0dc142-11d8-4b12-bfea-cae2a8514c82
Konto-ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune-Geräte-ID b9841cd9-9843-405f-be28-b2265c59ef97
Domäne contoso.com
E-Mail john@contoso.com
Partieller UPN John
Benutzer-ID 3ec2c00f-b125-4519-acf0-302ac3761822
Benutzername John Doe
Benutzerprinzipalname john@contoso.com

Nur konfigurierte Organisationskonten in Apps zulassen

Als Microsoft Intune-Administrator*in können Sie steuern, können Sie steuern, welche Geschäfts-, Schul- oder Unikonten zu Microsoft-Apps auf verwalteten Geräten hinzugefügt werden. Sie können den Zugriff auf zulässige Organisationsbenutzerkonten beschränken und persönliche Konten auf registrierten Geräten blockieren. Verwenden Sie für Android-Geräte die folgenden Schlüssel-Wert-Paare in einer App-Konfigurationsrichtlinie für verwaltete Geräte:

Schlüssel com.microsoft.intune.mam.AllowedAccountUPNs
Werte
  • Ein oder mehrere durch ; getrennte UPNs.
  • Die einzigen zulässigen Konten sind die durch diesen Schlüssel definierten verwalteten Benutzerkonten.
  • Bei in Intune registrierten Geräten kann das {{userprincipalname}}-Token zur Darstellung des registrierten Benutzerkontos verwendet werden.

Hinweis

Die folgenden Apps verarbeiten die oben genannte App-Konfiguration und lassen nur Organisationskonten zu:

  • Copilot für Android (28.1.420328045 und höher)
  • Edge für Android (42.0.4.4048 und höher)
  • Office, Word, Excel, PowerPoint für Android (16.0.9327.1000 und höher)
  • OneDrive für Android (5.28 und höher)
  • OneNote für Android (16.0.13231.20222 oder höher)
  • Outlook für Android (2.2.222 und höher)
  • Teams für Android (1416/1.0.0.2020073101 und höher)

JSON-Daten eingeben

Einige Konfigurationseinstellungen für Apps (z. B. Apps mit Bundle-Typen) können nicht mit dem Konfigurations-Designer konfiguriert werden. Verwenden Sie für diese Werte den JSON-Editor. Die Einstellungen werden bei der Installation der App automatisch bereitgestellt.

  1. Wählen Sie für Format der Konfigurationseinstellungendie Option JSON-Editor eingeben aus.
  2. Im Editor können Sie JSON-Werte für die Konfigurationseinstellungen definieren. Über JSON-Vorlage herunterladen können Sie eine Beispieldatei herunterladen, die Sie dann konfigurieren können.
  3. Wählen Sie OK und dann Hinzufügen aus.

Die Richtlinie wird erstellt und in der Liste angezeigt.

Wenn die zugewiesene App auf einem Gerät ausgeführt wird, wird sie mit den Einstellungen ausgeführt, die Sie in der App-Konfigurationsrichtlinie konfiguriert haben.

Verbundene Apps aktivieren

Gilt für:
Android 11+

Benutzer*innen mit persönlichem Arbeitsprofil müssen über die Unternehmensportalversion 5.0.5291.0 oder höher verfügen. Benutzer*innen des unternehmenseigenen Arbeitsprofils benötigen keine spezielle Version der Microsoft Intune-App für den Support.

Sie können Benutzer*innen, die persönliche und unternehmenseigene Android-Arbeitsprofile verwenden, erlauben, die Erfahrung mit verbundenen Apps für unterstützte Apps zu aktivieren. Mit dieser App-Konfigurationseinstellung können Apps eine Verbindung herstellen und App-Daten über die Arbeits- und persönlichen App-Instanzen hinweg integrieren.

Damit eine App diese Erfahrung bereitstellen kann, muss die App in das SDK für verbundene Apps von Google integriert werden, sodass sie nur von eingeschränkten Apps unterstützt wird. Sie können die Einstellung für verbundene Apps proaktiv aktivieren, und wenn Apps die Unterstützung hinzufügen, können Benutzer*innen die Benutzeroberfläche für verbundene Apps aktivieren.

Wenn Sie die Einstellung Verbundene Apps in Nicht konfiguriert ändern, wird die Konfigurationsrichtlinie nicht vom Gerät entfernt. Um die Funktion Verbundene Apps von einem Gerät zu entfernen, müssen Sie die Zuweisung der zugehörigen Konfigurationsrichtlinie aufheben.

Warnung

Wenn Sie die Funktionalität verbundener Apps für eine App aktivieren, werden die Arbeitsdaten in persönlichen Apps nicht durch eine Appschutz-Richtlinie geschützt.

Darüber hinaus können einige OEMs unabhängig von der Konfiguration Ihrer verbundenen Apps möglicherweise automatisch bestimmte Apps verbinden oder eine Benutzergenehmigung anfordern, um Apps zu verbinden, die Sie nicht konfiguriert haben. Ein Beispiel für eine App in diesem Fall könnte die Tastatur-App des OEM sein.

Es gibt zwei Möglichkeiten, wie Benutzer*innen geschäftliche und persönliche Apps verbinden können, nachdem Sie die Einstellung für verbundene Apps aktiviert haben:

  1. Eine unterstützte App kann die Benutzer*innen dazu auffordern, eine profilübergreifende Verbindung zu genehmigen.
  2. Die Benutzer*innen können die App „Einstellungen“ öffnen und zum Abschnitt für verbundene geschäftliche und persönliche Apps gehen, wo alle unterstützten Apps aufgeführt sind.

Wichtig

Wenn mehrere App-Konfigurationsrichtlinien für dieselbe App für dasselbe Gerät zugewiesen sind und eine Richtlinie Verbundene Apps auf Enabled festlegt, während die andere Richtlinie dies nicht tut, meldet die App-Konfiguration einen Konflikt. Das Ergebnis ist, dass die verbundenen Apps auf dem Gerät nicht zugelassen werden.

Vorkonfigurieren des Status der Berechtigungserteilung für Apps

Sie können App-Berechtigungen zum Zugriff auf Android-Gerätefunktionen auch vorkonfigurieren. Standardmäßig fordern Android-Apps, die Geräteberechtigungen erfordern, wie z. B. den Zugriff auf den Standort oder die Gerätekamera, die Benutzer*innen auf, die Berechtigungen zu akzeptieren oder zu verweigern.

Beispiel: Eine App verwendet das Mikrofon des Geräts. Der oder die Benutzer*in wird aufgefordert, der App die Berechtigung für die Verwendung des Mikrofons zu erteilen.

  1. Wählen Sie im Microsoft Intune Admin CenterApps>App-Konfigurationsrichtlinien>Verwaltete Gerätehinzufügen> aus.
  2. Fügen Sie folgende Eigenschaften hinzu:
    • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise die App-Richtlinie für Android Enterprise-Eingabeaufforderungsberechtigungen für das gesamte Unternehmen.
    • Beschreibung. Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
    • Geräteregistrierungstyp: Diese Einstellung ist auf Verwaltete Geräte gesetzt.
    • Plattform: Wählen Sie Android Enterprise aus.
  3. Wählen Sie den Profiltyp aus:
  4. Wählen Sie die Ziel-App aus. Wählen Sie die App aus, der Sie eine Konfigurationsrichtlinie zuordnen möchten. Wählen Sie aus der Liste der vollständig verwalteten Android Enterprise-Arbeitsprofil-Apps aus, die Sie genehmigt und mit Intune synchronisiert haben.
  5. Wählen Sie Berechtigungen>Hinzufügen aus. Wählen Sie in der Liste die verfügbaren App-Berechtigungen >OK aus.
  6. Wählen Sie eine Option für jede Berechtigung aus, die mit dieser Richtlinie gewährt werden soll:
    • Eingabeaufforderung. Fordern Sie den oder die Benutzer*in auf, zu akzeptieren oder zu verweigern.
    • Automatisch gewähren. Automatisch gewähren, ohne den oder die Benutzer*in zu benachrichtigen.
    • Automatisch verweigern. Automatisch verweigern, ohne den oder die Benutzer*in zu benachrichtigen.
  7. Um die App-Konfigurationsrichtlinie zuzuweisen, wählen Sie die App-Konfigurationsrichtlinie >Aufgabe>Gruppen auswählen aus. Wählen Sie die Benutzergruppen, die Sie zuweisen möchten >Zuweisen.
  8. Wählen Sie Speichern aus, um die Richtlinie zuzuweisen.

Weitere Informationen

Nächste Schritte

Fahren Sie mit dem Zuweisen und Überwachen der App fort.