Stratégies de configuration des applications pour Microsoft Intune
Les stratégies de configuration d’application peuvent vous aider à éliminer les problèmes de configuration d’application en vous permettant d’attribuer des paramètres de configuration à une stratégie affectée aux utilisateurs finaux avant qu’ils n’exécutent l’application. Les paramètres sont ensuite fournis automatiquement lorsque l’application est configurée sur l’appareil des utilisateurs finaux et que les utilisateurs finaux n’ont pas besoin d’agir. Les paramètres de configuration sont uniques pour chaque application.
Vous pouvez créer et utiliser des stratégies de configuration d’application pour fournir des paramètres de configuration pour les applications iOS/iPadOS ou Android. Ces paramètres de configuration permettent de personnaliser une application à l'aide de la configuration et de la gestion des applications. Les paramètres de stratégie de configuration sont utilisés lorsque l'application vérifie ces paramètres, généralement la première fois que l'application est exécutée.
Un paramètre de configuration d’application, par exemple, peut vous obliger à spécifier l’un des détails suivants :
- Un numéro de port personnalisé
- Paramètres de langue
- Paramètres de sécurité
- Paramètres de personnalisation tels qu’un logo d’entreprise
Si les utilisateurs finaux devaient entrer ces paramètres à la place, ils pourraient le faire de manière incorrecte. Les stratégies de configuration des applications peuvent contribuer à assurer la cohérence au sein d’une entreprise et à réduire les appels au support technique des utilisateurs finaux qui tentent de configurer eux-mêmes les paramètres. En utilisant des stratégies de configuration d’application, l’adoption de nouvelles applications peut être plus facile et plus rapide.
Les paramètres de configuration disponibles et l’implémentation des paramètres de configuration sont décidés par les développeurs de l’application. La documentation du fournisseur d’application doit être examinée pour voir quelles configurations sont disponibles et comment les configurations influencent le comportement de l’application. Pour certaines applications, Intune remplira les paramètres de configuration disponibles.
Remarque
Dans le Google Play Store géré, les applications qui prennent en charge la configuration sont marquées comme suit :
Vous verrez uniquement les applications du Google Play Store géré, et non du Google Play Store, lorsque vous utilisez appareils gérés comme type d’inscription pour les appareils Android.
Vous pouvez attribuer une stratégie de configuration d’application à un groupe d’utilisateurs finaux et d’appareils à l’aide d’une combinaison d’affectations d’inclusion et d’exclusion. Dans le cadre du processus d’ajout ou de mise à jour d’une stratégie de configuration d’application, vous pouvez définir les affectations pour la stratégie de configuration d’application. Lorsque vous définissez les affectations de la stratégie, vous pouvez choisir d’inclure et d’exclure les groupes d’utilisateurs finaux auxquels la stratégie s’applique. Lorsque vous choisissez d’inclure un ou plusieurs groupes, vous pouvez choisir de sélectionner des groupes spécifiques à inclure ou des groupes intégrés. Les groupes intégrés incluent Tous les utilisateurs, Tous les appareils et Tous les utilisateurs + Tous les appareils.
Vous pouvez également utiliser des filtres pour affiner l’étendue d’attribution lors du déploiement de stratégies de configuration d’application pour les appareils iOS et Android gérés. Vous devez d’abord créer un filtre à l’aide de l’une des propriétés disponibles pour iOS et Android. Ensuite, dans Microsoft Intune centre d’administration, vous pouvez affecter votre stratégie de configuration d’application managée en sélectionnant Applications> Stratégies deconfiguration> d’applicationAjouter des>appareils gérés et accéder à la page d’affectation. Après avoir sélectionné un groupe, vous pouvez affiner l’applicabilité de la stratégie en choisissant un filtre et en choisissant de l’utiliser en mode Inclure ou Exclure .
La charge de travail de stratégie de configuration d’application fournit une liste des stratégies de configuration d’application qui ont été créées pour votre locataire. Cette liste fournit des détails, tels que nom, plateforme, mise à jour, type d’inscription et balises d’étendue. Pour plus d’informations sur une stratégie de configuration d’application spécifique, sélectionnez la stratégie. Dans le volet Vue d’ensemble de la stratégie, vous pouvez voir des détails spécifiques, tels que les status de stratégie en fonction de l’appareil et de l’utilisateur, ainsi que si la stratégie a été affectée.
Applications qui prennent en charge la configuration des applications
La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur les appareils inscrits (canal App Configuration géré pour iOS ou Android dans le canal Entreprise pour Android) ou via le canal gestion des applications mobiles (GAM).
Intune représente ces différents canaux de stratégie de configuration d’application comme suit :
- Appareils gérés : l’appareil est géré par Intune en tant que fournisseur de gestion unifiée des points de terminaison. L’application doit être épinglée au profil de gestion sur iOS/iPadOS ou déployée via Google Play géré sur les appareils Android. En outre, l’application prend en charge la configuration d’application souhaitée.
- Applications gérées : une application qui a intégré le SDK d’application Intune ou qui a été encapsulée à l’aide de l’outil de création de package de restrictions Intune et qui prend en charge les stratégies de protection des applications (APP). Dans cette configuration, ni l’état d’inscription de l’appareil ni la façon dont l’application est remise à l’appareil n’ont d’importance. L’application prend en charge la configuration d’application souhaitée.
Les applications peuvent gérer les paramètres de stratégie de configuration des applications différemment en ce qui concerne les préférences de l’utilisateur. Par exemple, avec Outlook pour iOS et Android, le paramètre de configuration de l'application Boîte de réception Prioritaire respectera le paramètre utilisateur, permettant à l'utilisateur de remplacer l'intention de l'administrateur. D’autres paramètres peuvent vous permettre de contrôler si un utilisateur peut ou ne peut pas modifier le paramètre en fonction de l’intention de l’administrateur.
Remarque
Cette exigence ne s'applique pas aux Appareils Android Microsoft Teams, car ces appareils continuent d'être pris en charge.
Pour les stratégies de protection des applications Intune et la configuration d’applications fournies via les Stratégies de configuration des applications des applications gérées, Intune requiert Android 9.0 ou une version supérieure.
Appareils gérés
La sélection d’appareils gérés comme Type d’inscription d’appareil fait spécifiquement référence aux applications déployées par Intune sur l’appareil inscrit et sont donc gérées par Intune en tant que fournisseur d’inscription.
Pour prendre en charge la configuration des applications déployées via Intune sur des appareils inscrits, les applications doivent être écrites pour prendre en charge l’utilisation des configurations d’application telles que définies par le système d’exploitation. Consultez le fournisseur de votre application pour plus d’informations sur les clés de configuration d’application qu’il prend en charge pour la distribution via le canal du système d’exploitation MDM. Il existe généralement quatre scénarios pour la remise de configuration d’application à l’aide du canal de système d’exploitation MDM :
- Autoriser uniquement les comptes professionnels ou scolaires
- Paramètres de configuration de l’installation du compte
- Paramètres généraux de configuration d’application
- Paramètres de configuration S/MIME
Application gérées
La sélection d’Applications gérées comme type d’inscription d’appareil fait spécifiquement référence aux applications configurées avec une stratégie de protection des applications Intune sur les appareils, quel que soit l’état d’inscription.
Pour prendre en charge la configuration de l'application via le canal MAM, l'application doit être intégrée à Kit de développement logiciel (SDK) d'applications. Les applications métier peuvent intégrer le SDK d’application Intune ou utiliser le Intune App Wrapping Tool. Pour obtenir une comparaison entre le SDK d’application Intune et le Intune App Wrapping Tool, consultez Préparer des applications métier pour les stratégies de protection des applications.
La remise de la configuration de l’application via le canal GAM ne nécessite pas que l’appareil soit inscrit ou que l’application soit gérée ou fournie via la solution de gestion unifiée des points de terminaison. Il existe trois scénarios de remise de configuration d’application à l’aide du canal MAM :
- Paramètres généraux de configuration d’application
- Paramètres de configuration S/MIME
- Paramètres avancés de protection des données des applications qui étendent les fonctionnalités offertes par les stratégies de protection des applications
Remarque
Intune applications gérées s’case activée avec un intervalle de 30 minutes pour les status de stratégie Intune App Configuration, lorsqu’elles sont déployées conjointement avec une stratégie de protection des applications Intune. Si aucune stratégie de protection des applications Intune n’est affectée à l’utilisateur, l’intervalle d’archivage de la stratégie Intune App Configuration est défini sur 720 minutes.
Pour plus d’informations sur les applications qui prennent en charge la configuration des applications via le canal GAM, consultez Microsoft Intune applications protégées.
Stratégies de configuration des applications de l’infrastructure de configuration de la sécurité Android Entreprise
Pour les stratégies de configuration d’application Android Entreprise, vous pouvez sélectionner le type d’inscription de l’appareil avant de créer un profil de configuration d’application. Vous pouvez tenir compte des profils de certificat basés sur le type d’inscription.
Le type d’inscription peut être l’un des suivants :
- Tous les types de profils : si un nouveau profil est créé et que Tous les types de profils est sélectionné pour le type d’inscription d’appareil, vous ne pourrez pas associer un profil de certificat à la stratégie de configuration de l’application. Cette option prend en charge l’authentification par nom d’utilisateur et mot de passe. Si vous utilisez l’authentification basée sur les certificats, n’utilisez pas cette option.
- Profil professionnel entièrement managé, dédié et Corporate-Owned uniquement : si un nouveau profil est créé et que l’option Profil professionnel entièrement managé, dédié et Corporate-Owned profil professionnel uniquement est sélectionnée, les stratégies de certificat entièrement managée, dédiée et Corporate-Owned profil professionnel créées sous Appareils>Gérer la configuration des appareils> peuvent être utilisées. Cette option prend en charge l’authentification par certificat, ainsi que l’authentification par nom d’utilisateur et mot de passe. Entièrement géré concerne les appareils Android Enterprise complètement managés (COBO). Dedicated concerne les appareils android enterprise dédiés (COSU). Le profil professionnel appartenant à l’entreprise se rapporte au profil professionnel Android Enterprise appartenant à l’entreprise (COPE).
- Profil professionnel appartenant à l’utilisateur uniquement : si un nouveau profil est créé et que l’option Profil professionnel appartenant à l’utilisateur uniquement est sélectionnée, les stratégies de certificat profil professionnel créées sousGestion des appareils> Configuration desappareils> peuvent être utilisées. Cette option prend en charge l’authentification par certificat, ainsi que l’authentification par nom d’utilisateur et mot de passe.
Remarque
Si vous déployez un profil de configuration Gmail ou Nine sur un profil professionnel d’appareil android entreprise dédié qui n’implique pas d’utilisateur, l’opération échoue, car Intune ne peut pas résoudre l’utilisateur.
Importante
Les stratégies existantes créées avant la publication de cette fonctionnalité (version d’avril 2020 - 2004) qui n’ont aucun profil de certificat associé à la stratégie sont par défaut Tous les types de profils pour le type d’inscription d’appareil. En outre, les stratégies existantes créées avant la publication de cette fonctionnalité qui ont des profils de certificat associés sont par défaut profil professionnel uniquement.
Les stratégies existantes ne corrigent pas ou n’émettent pas de nouveaux certificats.
Valider la stratégie de configuration d’application appliquée
Vous pouvez valider la stratégie de configuration d’application à l’aide des trois méthodes suivantes :
Vérifiez la stratégie de configuration de l’application visiblement sur l’appareil. Vérifiez que l’application ciblée présente le comportement appliqué dans la stratégie de configuration de l’application.
Vérifiez via les journaux de diagnostic (consultez la section Journaux de diagnostic ci-dessous).
Vérifiez dans le centre d’administration Microsoft Intune. Dans le centre d’administration Microsoft Intune, sélectionnez Applications>Toutes les applications>, sélectionnez l’application associée*. Ensuite, dans la section Surveiller, sélectionnez Installation de l’appareil status : Le rapport d’état d’installation de l’appareil surveille les dernières case activée pour tous les appareils ciblés par la stratégie de configuration.
En outre, dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Tous les appareils>sélectionnent une configuration d’application d’appareil>. Le volet configuration de l’application** affiche toutes les stratégies affectées et leur état :
Journaux de diagnostic
Configuration iOS/iPadOS sur les appareils non gérés
Vous pouvez valider la configuration iOS/iPadOS avec le journal de diagnostic Intune pour les paramètres déployés via les stratégies de configuration d’application managée. En plus des étapes ci-dessous, vous pouvez accéder aux journaux des applications gérées à l’aide de Microsoft Edge. Pour plus d’informations, consultez Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux d’activité des applications gérées.
S’il n’est pas déjà installé sur l’appareil, téléchargez et installez Microsoft Edge à partir du App Store. Pour plus d’informations, consultez Microsoft Intune applications protégées.
Lancez Microsoft Edge et entrez about :intunehelp dans la zone d’adresse.
Cliquez sur Prise en main.
Cliquez sur Partager les journaux.
Utilisez l’application de messagerie de votre choix pour vous envoyer le journal afin qu’il puisse être affiché sur votre PC.
Passez en revueIntuneMAMDiagnostics.txt dans votre visionneuse de fichiers texte.
Recherchez
ApplicationConfiguration
. Les résultats se présentent comme suit :{ ( { Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs"; Value = "https://www.aol.com"; }, { Name = "com.microsoft.intune.mam.managedbrowser.bookmarks"; Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com"; } ); }, { ApplicationConfiguration = ( { Name = IntuneMAMUPN; Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a"; }, { Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled"; Value = true; } ); }
Les détails de configuration de votre application doivent correspondre aux stratégies de configuration d’application configurées pour votre locataire.
Configuration iOS/iPadOS sur les appareils gérés
Vous pouvez valider la configuration iOS/iPadOS avec le journal de diagnostic Intune sur les appareils gérés pour la configuration des applications gérées.
- S’il n’est pas déjà installé sur l’appareil, téléchargez et installez Microsoft Edge à partir du App Store. Pour plus d’informations, consultez Microsoft Intune applications protégées.
- Lancez Microsoft Edge et entrez about :intunehelp dans la zone d’adresse.
- Cliquez sur Prise en main.
- Cliquez sur Partager les journaux.
- Utilisez l’application de messagerie de votre choix pour vous envoyer le journal afin qu’il puisse être affiché sur votre PC.
- Passez en revueIntuneMAMDiagnostics.txt dans votre visionneuse de fichiers texte.
- Recherchez
AppConfig
. Vos résultats doivent correspondre aux stratégies de configuration d’application configurées pour votre locataire.
Configuration Android sur les appareils gérés
Vous pouvez valider la configuration Android avec le journal de diagnostic Intune sur les appareils gérés pour la configuration des applications managées.
Pour collecter des journaux à partir d’un appareil Android, vous ou l’utilisateur final devez télécharger les journaux à partir de l’appareil via une connexion USB (ou l’Explorateur de fichiers équivalent sur l’appareil). Voici les étapes à effectuer :
Connectez l’appareil Android à votre ordinateur avec le câble USB.
Sur l’ordinateur, recherchez un répertoire qui porte le nom de votre appareil. Dans ce répertoire, recherchez
Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal
.Dans le
com.microsoft.windowsintune.companyportal
dossier , ouvrez le dossier Fichiers et ouvrezOMADMLog_0
.Recherchez
AppConfigHelper
les messages liés à la configuration de l’application. Les résultats ressemblent au bloc de données suivant :2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642
API Graph prise en charge de la configuration des applications
Vous pouvez utiliser API Graph pour accomplir des tâches de configuration d’application. Pour plus d’informations, consultez API Graph Référence mam Targeted Config. Pour plus d’informations sur Intune et Graph, consultez Utilisation de Intune dans Microsoft Graph.
Résolution des problèmes
Utilisation des journaux pour afficher un paramètre de configuration
Lorsque les journaux affichent un paramètre de configuration dont l’application est confirmée mais qui ne semble pas fonctionner, il peut y avoir un problème avec l’implémentation de la configuration par le développeur de l’application. Contacter d’abord ce développeur d’application, ou vérifier ses base de connaissances, peut vous éviter un appel de support auprès de Microsoft. S’il s’agit d’un problème avec la façon dont la configuration est gérée dans une application, il doit être résolu dans une future version mise à jour de cette application.
Étapes suivantes
Appareils gérés
- Découvrez comment utiliser la configuration d’application avec vos appareils iOS/iPadOS. Consultez Ajouter des stratégies de configuration d’application pour les appareils iOS/iPadOS gérés.
- Découvrez comment utiliser la configuration d’application avec vos appareils Android. Consultez Ajouter des stratégies de configuration d’application pour les appareils Android gérés.
Application gérées
- Découvrez comment utiliser la configuration d’application avec des applications gérées. Consultez Ajouter des stratégies de configuration d’application pour les applications gérées sans inscription d’appareil.