Udostępnij za pośrednictwem

Dodaj zasady konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android

  • Artykuł

Zasady konfiguracji aplikacji w usłudze Microsoft Intune dostarczają ustawienia do aplikacji Managed Google Play na zarządzanych urządzeniach z systemem Android Enterprise. Deweloper aplikacji uwidacznia ustawienia konfiguracji aplikacji zarządzanych przez system Android. Usługa Intune używa tych uwidocznionych ustawień, aby umożliwić administratorowi konfigurowanie funkcji aplikacji. Zasady konfiguracji aplikacji są przypisywane do grup użytkowników. Ustawienia zasad są używane podczas sprawdzania ich przez aplikację, zazwyczaj przy pierwszym uruchomieniu aplikacji.

Nie każda aplikacja obsługuje konfigurację aplikacji. Skontaktuj się z deweloperem aplikacji, aby sprawdzić, czy jego aplikacja obsługuje zasady konfiguracji aplikacji.

Uwaga

To wymaganie nie ma zastosowania do urządzeń z systemem Android w usłudze Microsoft Teams, ponieważ te urządzenia będą nadal obsługiwane.

W przypadku zasad ochrony aplikacji w usłudze Intune i konfiguracji aplikacji dostarczanych za pośrednictwem zasad konfiguracji zarządzanych aplikacji usługa Intune wymaga systemu Android 9.0 lub jego nowszej wersji.

Aplikacje poczty e-mail

System Android Enterprise ma kilka metod rejestracji. Typ rejestracji zależy od sposobu skonfigurowania poczty e-mail na urządzeniu:

  • W przypadku w pełni zarządzanych, dedykowanych i należących do firmy profilów służbowych systemu Android Enterprise użyj zasad konfiguracji aplikacji i kroków opisanych w tym artykule. Zasady konfiguracji aplikacji obsługują aplikacje poczty e-mail Gmail i Nine Work.
  • Na urządzeniach prywatnych z systemem Android Enterprise, które posiadają profil służbowy, należy utworzyć profil konfiguracji urządzenia do obsługi poczty e-mail w rozwiązaniu Android Enterprise. Podczas tworzenia profilu można skonfigurować ustawienia dla klientów poczty e-mail obsługujących zasady konfiguracji aplikacji. W przypadku korzystania z projektanta konfiguracji usługa Intune zawiera ustawienia poczty e-mail specyficzne dla aplikacji Gmail i Nine Work.

Tworzenie zasad konfiguracji aplikacji

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz kolejno pozycje Aplikacje>Zasady konfiguracji aplikacji>Dodaj>Urządzenia zarządzane. Pamiętaj, że możesz wybierać między Urządzeniami zarządzanymi a Aplikacjami zarządzanymi. Aby uzyskać więcej informacji zobacz sekcję Aplikacje obsługujące konfigurację aplikacji.

  3. Na stronie Podstawy skonfiguruj następujące szczegóły:

    • Nazwa — Nazwa profilu wyświetlanego w portalu.
    • Opis — Opis profilu wyświetlanego w portalu.
    • Typ rejestracji urządzenia — To ustawienie jest ustawione na opcję Urządzenia zarządzane.

  4. Wybierz Android Enterprise jako platformę .

  5. Kliknij pozycję Wybierz aplikację obok pozycji Aplikacja docelowa. Zostanie wyświetlone okienko Aplikacja skojarzona.

  6. W okienku Skojarzona aplikacja wybierz aplikację zarządzaną do skojarzenia z zasadami konfiguracji, a następnie kliknij przycisk OK.

  7. Kliknij przycisk Dalej, aby wyświetlić stronę Ustawienia.

  8. Kliknij przycisk Dodaj, aby wyświetlić okienko Dodawanie uprawnień.

  9. Kliknij uprawnienia, które chcesz zastąpić. Przyznane uprawnienia zastąpią zasady „Domyślne uprawnienia aplikacji” dla wybranych aplikacji.

  10. Ustaw Stan uprawnień dla każdego uprawnienia. Możesz wybrać opcję Monituj, Automatyczne udzielanielub Automatyczne odmawianie.

    Uwaga

    Począwszy od systemu Android 12, konfigurowanie automatycznego przyznawania następujących uprawnień nie jest obsługiwane w przypadku profilu służbowego należącego do firmy lub dedykowanych urządzeń należących do firmy.

    • SMS (odczyt)
    • Dostęp do lokalizacji (przybliżona)
    • Dostęp do lokalizacji (dokładna)
    • Aparat
    • Nagrywanie dźwięku
    • Zezwalaj na dane z czujników ciała
    • Lokalizacja w tle

  11. Jeśli aplikacja zarządzana obsługuje ustawienia konfiguracji, pole listy rozwijanej formatu ustawień konfiguracji jest widoczne. Wybierz jedną z następujących metod dodawania informacji o konfiguracji:

    • Użyj projektanta konfiguracji
    • Wprowadź dane JSON

    Aby uzyskać szczegółowe informacje na temat korzystania z projektanta konfiguracji, zobacz sekcję Korzystanie z projektanta konfiguracji. Aby uzyskać szczegółowe informacje na temat wprowadzania danych XML, zobacz Wprowadzanie danych JSON.

  12. Jeśli chcesz umożliwić użytkownikom łączenie aplikacji docelowej zarówno w profilach służbowych, jak i osobistych, wybierz pozycję Włączone obok pozycji Połączone aplikacje.

    Zrzut ekranu przedstawiający zasady konfiguracji — Ustawienia

    Uwaga

    To ustawienie działa tylko w przypadku osobistych urządzeń z profilem służbowym i firmowych urządzeń z profilem służbowym.

    Zmiana ustawienia Połączone aplikacje na Nieskonfigurowane nie spowoduje usunięcia zasad konfiguracji z urządzenia. Aby usunąć funkcję Połączone aplikacje z urządzenia, należy cofnąć przypisanie powiązanych zasad konfiguracji.

  13. Kliknij przycisk Dalej, aby wyświetlić stronę Tagi zakresu.

  14. [Opcjonalnie] Możesz skonfigurować tagi zakresu dla zasad konfiguracji aplikacji. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.

  15. Kliknij przycisk Dalej, aby wyświetlić stronę Przypisania.

  16. W polu listy rozwijanej obok pozycji Przypisz dowybierz pozycję międzyDodaj grupy, Dodaj wszystkich użytkownikówlub Dodaj wszystkie urządzenia, aby przypisać zasady konfiguracji aplikacji. Po wybraniu grupy przypisań możesz wybrać filtr w celu uściślenia zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla urządzeń zarządzanych.

    Zrzut ekranu przedstawiający przypisywanie zasad — Przypisania

  17. Wybierz pozycję Wszyscy użytkownicy w polu listy rozwijanej.

    Zrzut ekranu przedstawiający przypisywanie zasad - opcja listy rozwijanej Wszyscy użytkownicy

  18. [Opcjonalnie] Kliknij pozycję Edytuj filtr, aby dodać filtr i uściślić zakres przypisania.

    Zrzut ekranu przedstawiający przypisywanie zasad — Edytowanie filtru

  19. Kliknij pozycję Wybierz grupy do wykluczenia, aby wyświetlić powiązane okienko.

  20. Wybierz grupy, które chcesz wykluczyć, a następnie kliknij przycisk Wybierz.

    Uwaga

    Podczas dodawania grupy, jeśli jakakolwiek inna grupa została już dołączona dla danego typu przypisania, jest ona wstępnie wybrana i nie można jej zmienić dla innych typów przypisania dołączania. W związku z tym ta grupa, która została użyta, nie może być użyta jako grupa wykluczona.

  21. Kliknij przycisk Dalej, aby wyświetlić stronę Recenzja i tworzenie.

  22. Kliknij przycisk Utwórz, aby dodać zasady konfiguracji aplikacji do usługi Intune.

Korzystanie z projektanta konfiguracji

Możesz użyć projektanta konfiguracji dla Zarządzanych aplikacji Google Play, jeśli aplikacja została zaprojektowana do obsługi ustawień konfiguracji. Konfiguracja dotyczy urządzeń zarejestrowanych w usłudze Intune. Projektant umożliwia skonfigurowanie określonych wartości konfiguracji dla ustawień uwidocznionych przez aplikację.

  1. Wybierz opcję Dodaj. Wybierz listę ustawień konfiguracji, które chcesz wprowadzić dla aplikacji.

    Jeśli używasz aplikacji poczty e-mail Gmail lub Nine Work, Ustawienia urządzeń z systemem Android Enterprise do konfigurowania poczty e-mail zawierają więcej informacji na temat tych konkretnych ustawień.

  2. Dla każdego klucza i wartości w konfiguracji ustaw:

    • Typ wartości: typ danych wartości konfiguracji. W przypadku typów wartości typu string można opcjonalnie wybrać zmienną lub profil certyfikatu jako typ wartości. Pamiętaj, że po utworzeniu zasad te typy wartości będą wyświetlane jako ciąg.
    • Wartość konfiguracji: wartość dla danej konfiguracji. Jeśli wybierzesz zmienną lub certyfikat dla Typu wartości, wybierz z listy zmiennych lub profilów certyfikatów. W przypadku wybrania certyfikatu, alias certyfikatu wdrożonego na urządzeniu jest wypełniany w czasie działania programu.

Obsługiwane zmienne dla wartości konfiguracji

W przypadku wybrania zmiennej jako typu wartości można wybrać następujące opcje:

Opcja Przykład
Identyfikator urządzenia Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Identyfikator konta fc0dc142-71d8-4b12-bbea-bae2a8514c81
Identyfikator urządzenia usługi Intune b9841cd9-9843-405f-be28-b2265c59ef97
Domain (Domena) contoso.com
Poczta john@contoso.com
Skrócona forma nazwy UPN użytkownika Jan
Identyfikator użytkownika 3ec2c00f-b125-4519-acf0-302ac3761822
Nazwa użytkownika Jan Nowak
Główna nazwa użytkownika john@contoso.com

Zezwalaj tylko na skonfigurowane konta organizacji w aplikacjach

Jako administrator usługi Microsoft Intune możesz kontrolować, które konta służbowe są dodawane do aplikacji firmy Microsoft na zarządzanych urządzeniach. Możesz ograniczyć dostęp tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste na zarejestrowanych urządzeniach. W przypadku urządzeń z systemem Android użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane:

Klucz com.microsoft.intune.mam.AllowedAccountUPNs
Wartości
  • Co najmniej jedna lub więcej; rozdzielonych nazw UPN.
  • Dozwolone są tylko zarządzane konta użytkowników zdefiniowane przez ten klucz.
  • W przypadku urządzeń zarejestrowanych w usłudze Intune, token {{userprincipalname}} może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Następujące aplikacje przetwarzają powyższą konfigurację aplikacji i zezwalają tylko na konta organizacji:

  • Funkcja Copilot dla systemu Android (28.1.420328045 i nowsze wersje)
  • Przeglądarka Edge dla systemu Android (wersja 42.0.4.4048 i nowsze wersje)
  • Programy Office, Word, Excel, PowerPoint dla systemu Android (16.0.9327.1000 i nowsze wersje)
  • Usługa OneDrive dla systemu Android ( 5.28 i nowsze wersje)
  • Usługa OneNote dla systemu Android (16.0.13231.20222 lub nowsze wersje)
  • Usługa Outlook dla systemu Android ( 2.2.222 i nowsze wersje)
  • Usługa Teams dla systemu Android (1416/1.0.0.2020073101 i nowsze wersje)

Wprowadź dane JSON

Niektórych ustawień konfiguracji w aplikacjach (takich jak aplikacje z typami pakietów) nie można skonfigurować za pomocą projektanta konfiguracji. Użyj edytora JSON dla tych wartości. Ustawienia są dostarczane do aplikacji automatycznie po zainstalowaniu aplikacji.

  1. Aby uzyskać Format ustawień konfiguracji, wybierz pozycję Wprowadź edytor JSON.
  2. W edytorze można zdefiniować wartości JSON dla ustawień konfiguracji. Możesz wybrać pozycję Pobierz szablon JSON, aby pobrać przykładowy plik, który można następnie skonfigurować.
  3. Wybierz przycisk OK, a następnie przycisk Dodaj.

Zasady zostaną utworzone i wyświetlone na liście.

Po uruchomieniu przypisanej aplikacji na urządzeniu jest ona uruchamiana przy użyciu ustawień skonfigurowanych w zasadach konfiguracji aplikacji.

Włącz połączone aplikacje

Dotyczy:
Android w wersji 11+

Użytkownicy profilu służbowego należącego do użytkownika muszą mieć aplikację Portal firmy w wersji 5.0.5291.0 lub nowszej. Użytkownicy firmowego profilu służbowego nie potrzebują określonej wersji aplikacji usługi Microsoft Intune w celu uzyskania pomocy technicznej.

Użytkownikom korzystającym z osobistych i firmowych profili służbowych w systemie Android można zezwolić na włączanie środowiska połączonych aplikacji dla obsługiwanych aplikacji. To ustawienie konfiguracji aplikacji umożliwia aplikacjom łączenie i integrowanie danych aplikacji w wystąpieniach aplikacji służbowych i osobistych.

Aby aplikacja mogła zapewnić to środowisko, aplikacja musi zostać zintegrowana z zestawem SDK połączonych aplikacji firmy Google,więc obsługuje to tylko ograniczona liczba aplikacji. Ustawienie połączonych aplikacji można włączyć proaktywnie, a gdy aplikacje dodają obsługę, użytkownicy będą mogli włączyć środowisko połączonych aplikacji.

Zmiana ustawienia Połączone aplikacje na Nieskonfigurowane nie spowoduje usunięcia zasad konfiguracji z urządzenia. Aby usunąć funkcję Połączone aplikacje z urządzenia, należy cofnąć przypisanie powiązanych zasad konfiguracji.

Ostrzeżenie

Jeśli włączysz funkcję połączonych aplikacji dla aplikacji, dane służbowe w aplikacjach osobistych nie będą chronione przez zasady ochrony aplikacji.

Ponadto, niezależnie od konfiguracji połączonych aplikacji, niektórzy producenci OEM mogą automatycznie łączyć niektóre aplikacje lub mogą wymagać zgody użytkownika na połączenie aplikacji, które nie zostały skonfigurowane. Przykładem aplikacji w tym przypadku może być aplikacja klawiatury producenta OEM.

Istnieją dwa sposoby łączenia aplikacji służbowych i osobistych po włączeniu ustawienia połączonych aplikacji:

  1. Obsługiwana aplikacja może monitować użytkownika o zatwierdzenie połączenia między profilami.
  2. Użytkownicy mogą otworzyć aplikację Ustawienia i przejść do sekcji Połączona praca i aplikacje osobiste, gdzie będą widzieć wszystkie obsługiwane aplikacje na liście.

Ważna

Jeśli wiele zasad konfiguracji aplikacji jest przypisanych do tej samej aplikacji skierowanej na to samo urządzenie, a jedna z zasad ustawia Połączone aplikacje do Enabled, podczas gdy druga nie, konfiguracja aplikacji zgłosi konflikt, a wynikowym zachowaniem zastosowanym na urządzeniu będzie uniemożliwienie połączonych aplikacji.

Wstępnie skonfiguruj stan udzielania uprawnień dla aplikacji

Możesz również wstępnie skonfigurować uprawnienia aplikacji, aby uzyskać dostęp do funkcji urządzenia z systemem Android. Domyślnie aplikacje systemu Android, które wymagają uprawnień urządzenia, takie jak dostęp do lokalizacji lub aparatu urządzenia, monitują użytkowników o zaakceptowanie lub odrzucenie uprawnień.

Na przykład aplikacja używa mikrofonu urządzenia. Użytkownik jest monitowany o udzielenie aplikacji uprawnienia do korzystania z mikrofonu.

  1. W centrum administracyjnym usługi Microsoft Intunewybierz Aplikacje>Zasady konfiguracji aplikacji>Dodaj>Zarządzane urządzenia.
  2. Dodaj następujące właściwości:
    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą zasad jest Zasady aplikacji monitu o uprawnienia dla systemu Android Enterprise dla całej firmy.
    • opis. Wprowadź opi dla profilu. To ustawienie jest opcjonalne, ale zalecane.
    • Typ rejestracji urządzenia: to ustawienie jest ustawione na Zarządzane urządzenia.
    • Platforma: wybierz pozycję Android Enterprise.
  3. Wybierz Typ profilu:
  4. Wybierz pozycjęAplikacja docelowa. Wybierz aplikację, z którą chcesz skojarzyć zasady konfiguracji. Wybierz z listy w pełni zarządzanych aplikacji profilu służbowego systemu Android Enterprise, które zostały zatwierdzone i zsynchronizowane z usługą Intune.
  5. Wybierz pozycję Uprawnienia>dodaj. Z listy wybierz dostępne uprawnienia aplikacji>OK.
  6. Wybierz opcję dla każdego uprawnienia do udzielenia za pomocą tych zasad:
    • Monit. Monituj użytkownika o zaakceptowanie lub odmówienie.
    • Automatycznie udziel. Automatycznie zatwierdzaj bez powiadamiania użytkownika.
    • Automatyczne odmów. Automatycznie odmów bez powiadamiania użytkownika.
  7. Aby przypisać zasady konfiguracji aplikacji, wybierz zasady konfiguracji aplikacji >Przypisanie>Wybierz grupy. Wybierz grupy użytkowników do przypisania >Wybierz.
  8. Wybierz pozycję Zapisz, aby przypisać zasady.

Informacje dodatkowe

Następne kroki

Kontynuuj przypisywanie i monitorowanie aplikacji.