Zasady dotyczące konfiguracji aplikacji dla usługi Microsoft Intune
Zasady konfiguracji aplikacji mogą pomóc w wyeliminowaniu problemów z konfiguracją aplikacji, umożliwiając przypisanie ustawień konfiguracji do zasad przypisanych do użytkowników końcowych przed uruchomieniem aplikacji. Ustawienia są następnie dostarczane automatycznie, gdy aplikacja jest skonfigurowana na urządzeniu użytkowników końcowych, a użytkownicy końcowi nie muszą podejmować działań. Ustawienia konfiguracji są unikatowe dla każdej aplikacji.
Zasady konfiguracji aplikacji można tworzyć i używać do zapewniania ustawień konfiguracji zarówno dla aplikacji systemu iOS/iPadOS, jak i Android. Te ustawienia konfiguracji umożliwiają dostosowywanie aplikacji przy użyciu konfiguracji aplikacji i zarządzania nią. Ustawienia zasad konfiguracji są używane podczas sprawdzania tych ustawień przez aplikację, zazwyczaj przy pierwszym uruchomieniu aplikacji.
Na przykład ustawienie konfiguracji aplikacji może wymagać określenia dowolnej z następujących szczegółów:
- Niestandardowy numer portu
- Ustawienia języka
- Ustawienia zabezpieczeń
- Ustawienia znakowania, takie jak logo firmy
Jeśli zamiast tego użytkownicy końcowi mają wprowadzić te ustawienia, mogą to zrobić niepoprawnie. Zasady konfiguracji aplikacji mogą pomóc zapewnić spójność w przedsiębiorstwie i zmniejszyć liczbę wywołań pomocy technicznej od użytkowników końcowych próbujących samodzielnie skonfigurować ustawienia. Dzięki zasadom konfiguracji aplikacji wdrażanie nowych aplikacji może być łatwiejsze i szybsze.
O dostępnych parametrach konfiguracji i implementacji parametrów konfiguracji decydują deweloperzy aplikacji. Dokumentacja dostawcy aplikacji powinna zostać przejrzana, aby zobaczyć, jakie konfiguracje są dostępne i jak konfiguracje wpływają na zachowanie aplikacji. W przypadku niektórych aplikacji Intune wypełni dostępne ustawienia konfiguracji.
Uwaga
W zarządzanym sklepie Google Play aplikacje obsługujące konfigurację zostaną oznaczone jako takie:
Aplikacje z zarządzanego sklepu Google Play, a nie ze sklepu Google Play, będą widoczne tylko w przypadku korzystania z urządzeń zarządzanych jako typu rejestracji dla urządzeń z systemem Android.
Zasady konfiguracji aplikacji można przypisać do grupy użytkowników końcowych i urządzeń przy użyciu kombinacji przypisań dołączania i wykluczania. W ramach procesu dodawania lub aktualizowania zasad konfiguracji aplikacji można ustawić przypisania dla zasad konfiguracji aplikacji. Po ustawieniu przypisań dla zasad można uwzględnić i wykluczyć grupy użytkowników końcowych, dla których mają zastosowanie zasady. Jeśli zdecydujesz się dołączyć co najmniej jedną grupę, możesz wybrać określone grupy do dołączenia lub wybrać grupy wbudowane. Wbudowane grupy obejmują Wszyscy użytkownicy, Wszystkie urządzenia i Wszyscy użytkownicy + Wszystkie urządzenia.
Filtry umożliwiają również uściślanie zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemami iOS i Android. Najpierw należy utworzyć filtr przy użyciu dowolnej z dostępnych właściwości dla systemów iOS i Android. Następnie w centrum administracyjnym Microsoft Intune można przypisać zasady konfiguracji aplikacji zarządzanej, wybierając pozycjęZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia i przejdź do strony przypisania. Po wybraniu grupy można uściślić zastosowanie zasad, wybierając filtr i decydując się na jego użycie w trybie Dołączanie lub Wykluczanie .
Obciążenie zasad konfiguracji aplikacji zawiera listę zasad konfiguracji aplikacji, które zostały utworzone dla dzierżawy. Ta lista zawiera szczegółowe informacje, takie jak Nazwa, Platforma, Zaktualizowano, Typ rejestracji i Tagi zakresu. Aby uzyskać dodatkowe informacje o określonych zasadach konfiguracji aplikacji, wybierz zasady. W okienku Przegląd zasad można zobaczyć konkretne szczegóły, takie jak stan zasad na podstawie urządzenia i użytkownika, a także to, czy zasady zostały przypisane.
Aplikacje obsługujące konfigurację aplikacji
Konfigurację aplikacji można dostarczać za pośrednictwem kanału zarządzania urządzeniami przenośnymi (MDM) na zarejestrowanych urządzeniach (zarządzany kanał App Configuration dla systemu iOS lub Android w kanale Enterprise dla systemu Android) lub za pośrednictwem kanału zarządzania aplikacjami mobilnymi (MAM).
Intune reprezentuje te różne kanały zasad konfiguracji aplikacji jako:
- Urządzenia zarządzane — urządzenie jest zarządzane przez Intune jako ujednolicony dostawca zarządzania punktami końcowymi. Aplikacja musi zostać przypięta do profilu zarządzania w systemie iOS/iPadOS lub wdrożona za pośrednictwem zarządzanego sklepu Google Play na urządzeniach z systemem Android. Ponadto aplikacja obsługuje żądaną konfigurację aplikacji.
- Aplikacje zarządzane — aplikacja, która zintegrowała zestaw Intune App SDK lub została opakowana przy użyciu narzędzia opakowującego Intune i obsługuje zasady ochrony aplikacji (APP). W tej konfiguracji nie ma znaczenia ani stan rejestracji urządzenia, ani sposób dostarczania aplikacji do urządzenia. Aplikacja obsługuje żądaną konfigurację aplikacji.
Aplikacje mogą obsługiwać ustawienia zasad konfiguracji aplikacji inaczej w odniesieniu do preferencji użytkownika. Na przykład w przypadku programu Outlook dla systemów iOS i Android ustawienie konfiguracji aplikacji Focused Inbox będzie uwzględniać ustawienie użytkownika, dzięki czemu użytkownik może zastąpić intencję administratora. Inne ustawienia mogą umożliwiać kontrolowanie, czy użytkownik może lub nie może zmienić ustawienia na podstawie intencji administratora.
Uwaga
To wymaganie nie ma zastosowania do urządzeń z systemem Android w usłudze Microsoft Teams, ponieważ te urządzenia będą nadal obsługiwane.
W przypadku zasad ochrony aplikacji w usłudze Intune i konfiguracji aplikacji dostarczanych za pośrednictwem zasad konfiguracji zarządzanych aplikacji usługa Intune wymaga systemu Android 9.0 lub jego nowszej wersji.
Urządzenia zarządzane
Wybranie pozycji Urządzenia zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji wdrożonych przez Intune na zarejestrowanym urządzeniu i w związku z tym są zarządzane przez Intune jako dostawca rejestracji.
Aby obsługiwać konfigurację aplikacji wdrożonych za pośrednictwem Intune na zarejestrowanych urządzeniach, aplikacje muszą być zapisywane w celu obsługi konfiguracji aplikacji zdefiniowanych przez system operacyjny. Skontaktuj się z dostawcą aplikacji, aby uzyskać szczegółowe informacje na temat kluczy konfiguracji aplikacji, które obsługują do dostarczania za pośrednictwem kanału systemu operacyjnego MDM. Ogólnie istnieją cztery scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału systemu operacyjnego MDM:
- Zezwalaj tylko na konta służbowe
- Ustawienia konfiguracji konfiguracji konta
- Ogólne ustawienia konfiguracji aplikacji
- Ustawienia konfiguracji S/MIME
Aplikacje zarządzane
Wybranie pozycji Aplikacje zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji Intune na urządzeniach, niezależnie od stanu rejestracji.
Aby obsługiwać konfigurację aplikacji za pośrednictwem kanału MAM, aplikacja musi być zintegrowana z zestawem Intune App SDK. Aplikacje biznesowe mogą integrować zestaw Intune App SDK lub korzystać z Intune App Wrapping Tool. Aby zapoznać się z porównaniem zestawu Intune App SDK i Intune App Wrapping Tool, zobacz Przygotowywanie aplikacji biznesowych na potrzeby zasad ochrony aplikacji.
Dostarczanie konfiguracji aplikacji za pośrednictwem kanału MAM nie wymaga zarejestrowania urządzenia ani zarządzania aplikacją ani dostarczania jej za pośrednictwem ujednoliconego rozwiązania do zarządzania punktami końcowymi. Istnieją trzy scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału MAM:
- Ogólne ustawienia konfiguracji aplikacji
- Ustawienia konfiguracji S/MIME
- Zaawansowane ustawienia ochrony danych aplikacji, które rozszerzają możliwości oferowane przez zasady ochrony aplikacji
Uwaga
Intune aplikacje zarządzane będą zaewidencjonowywanie z interwałem 30 minut dla stanu zasad Intune App Configuration, gdy zostaną wdrożone w połączeniu z zasadami ochrony aplikacji Intune. Jeśli do użytkownika nie przypisano zasad ochrony aplikacji Intune, interwał ewidencjonowania zasad Intune App Configuration jest ustawiony na 720 minut.
Aby uzyskać informacje o tym, które aplikacje obsługują konfigurację aplikacji za pośrednictwem kanału MAM, zobacz Microsoft Intune chronione aplikacje.
Zasady konfiguracji aplikacji systemu Android Enterprise
W przypadku zasad konfiguracji aplikacji systemu Android Enterprise można wybrać typ rejestracji urządzenia przed utworzeniem profilu konfiguracji aplikacji. Możesz uwzględnić profile certyfikatów oparte na typie rejestracji.
Typ rejestracji może być jednym z następujących:
- Wszystkie typy profilów: jeśli zostanie utworzony nowy profil i wybrano opcję Wszystkie typy profilów dla typu rejestracji urządzenia, nie będzie można skojarzyć profilu certyfikatu z zasadami konfiguracji aplikacji. Ta opcja obsługuje uwierzytelnianie nazwy użytkownika i hasła. Jeśli używasz uwierzytelniania opartego na certyfikatach, nie używaj tej opcji.
- W pełni zarządzane, dedykowane i Corporate-Owned tylko profil służbowy: jeśli zostanie utworzony nowy profil i zostanie wybrany w pełni zarządzany, dedykowany i Corporate-Owned tylko profil służbowy, można korzystać z zasad certyfikatów w pełni zarządzanych, dedykowanych i Corporate-Owned profilów służbowychutworzonychw obszarze Urządzenia >Zarządzanie konfiguracją urządzeń>. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła. W pełni zarządzane odnosi się do w pełni zarządzanych urządzeń z systemem Android Enterprise (COBO). Dedykowane dotyczy dedykowanych urządzeń z systemem Android Enterprise (COSU). Profil służbowy należący do firmy odnosi się do firmowego profilu służbowego systemu Android Enterprise (COPE).
- Tylko profil służbowy należący do użytkownika: jeśli zostanie utworzony nowy profil i wybrano tylko profil służbowy należący do użytkownika, można użyć zasad certyfikatu profilu służbowego utworzonychw obszarze Urządzenia >Zarządzanie urządzeniami>Konfiguracja. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła.
Uwaga
Wdrożenie profilu konfiguracji Gmail lub Nine w dedykowanym profilu służbowym urządzenia z systemem Android Enterprise, który nie obejmuje użytkownika, zakończy się niepowodzeniem, ponieważ Intune nie może rozpoznać użytkownika.
Ważna
Istniejące zasady utworzone przed wydaniem tej funkcji (wersja z kwietnia 2020 r. — 2004 r.), które nie mają żadnych profilów certyfikatów skojarzonych z zasadami, domyślnie mają wartość Wszystkie typy profilów dla typu rejestracji urządzenia. Ponadto istniejące zasady utworzone przed wydaniem tej funkcji, które mają skojarzone z nimi profile certyfikatów, domyślnie mają tylko profil służbowy.
Istniejące zasady nie korygują ani nie wystawiają nowych certyfikatów.
Weryfikowanie zastosowanych zasad konfiguracji aplikacji
Zasady konfiguracji aplikacji można zweryfikować przy użyciu następujących trzech metod:
Sprawdź zasady konfiguracji aplikacji w widoczny sposób na urządzeniu. Upewnij się, że aplikacja docelowa wykazuje zachowanie stosowane w zasadach konfiguracji aplikacji.
Sprawdź za pośrednictwem dzienników diagnostycznych (zobacz sekcję Dzienniki diagnostyczne poniżej).
Sprawdź w centrum administracyjnym Microsoft Intune. W centrum administracyjnym Microsoft Intune wybierz pozycję Aplikacje>Wszystkie aplikacje>wybierz powiązaną aplikację*. Następnie w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia: Raport o stanie instalacji urządzenia monitoruje najnowsze ewidencjonowania dla wszystkich urządzeń, do których zostały skierowane zasady konfiguracji.
Ponadto w centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Wszystkie urządzenia>wybierz konfigurację aplikacji urządzenia>. W okienku konfiguracji aplikacji** zostaną wyświetlone wszystkie przypisane zasady i ich stan:
Dzienniki diagnostyczne
Konfiguracja systemu iOS/iPadOS na urządzeniach niezarządzanych
Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego Intune dla ustawień wdrożonych za pośrednictwem zasad konfiguracji aplikacji zarządzanych. Oprócz poniższych kroków możesz uzyskać dostęp do dzienników zarządzanych aplikacji przy użyciu przeglądarki Microsoft Edge. Aby uzyskać więcej informacji, zobacz Używanie przeglądarki Microsoft Edge dla systemów iOS i Android do uzyskiwania dostępu do dzienników zarządzanych aplikacji.
Jeśli urządzenie nie zostało jeszcze zainstalowane, pobierz i zainstaluj przeglądarkę Microsoft Edge z App Store. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje.
Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.
Kliknij pozycję Rozpocznij.
Kliknij pozycję Udostępnij dzienniki.
Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.
Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.
Wyszukaj ciąg
ApplicationConfiguration
. Wyniki będą wyglądać następująco:{ ( { Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs"; Value = "https://www.aol.com"; }, { Name = "com.microsoft.intune.mam.managedbrowser.bookmarks"; Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com"; } ); }, { ApplicationConfiguration = ( { Name = IntuneMAMUPN; Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a"; }, { Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled"; Value = true; } ); }
Szczegóły konfiguracji aplikacji powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.
Konfiguracja systemu iOS/iPadOS na urządzeniach zarządzanych
Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.
- Jeśli urządzenie nie zostało jeszcze zainstalowane, pobierz i zainstaluj przeglądarkę Microsoft Edge z App Store. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje.
- Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.
- Kliknij pozycję Rozpocznij.
- Kliknij pozycję Udostępnij dzienniki.
- Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.
- Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.
- Wyszukaj ciąg
AppConfig
. Wyniki powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.
Konfiguracja systemu Android na urządzeniach zarządzanych
Konfigurację systemu Android można zweryfikować za pomocą dziennika diagnostycznego Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.
Aby zbierać dzienniki z urządzenia z systemem Android, Użytkownik lub użytkownik końcowy musi pobrać dzienniki z urządzenia za pośrednictwem połączenia USB (lub Eksplorator plików równoważnego na urządzeniu). W tym celu należy wykonać następujące czynności:
Podłącz urządzenie z systemem Android do komputera za pomocą USB.
Na komputerze poszukaj katalogu o nazwie urządzenia. W tym katalogu znajdź .
Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal
W folderze
com.microsoft.windowsintune.companyportal
otwórz folder Pliki i otwórz plikOMADMLog_0
.Wyszukaj komunikaty
AppConfigHelper
dotyczące konfiguracji aplikacji. Wyniki będą wyglądać podobnie do następującego bloku danych:2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642
interfejs Graph API obsługę konfiguracji aplikacji
Za pomocą interfejs Graph API można wykonywać zadania konfiguracji aplikacji. Aby uzyskać szczegółowe informacje, zobacz interfejs Graph API Reference MAM Targeted Config (Dokumentacja konfiguracji docelowej zarządzania aplikacjami mobilnymi). Aby uzyskać więcej informacji na temat Intune i programu Graph, zobacz Working with Intune in Microsoft Graph (Praca z Intune w programie Microsoft Graph).
Rozwiązywanie problemów
Wyświetlanie parametru konfiguracji przy użyciu dzienników
Gdy dzienniki pokazują parametr konfiguracji, który jest potwierdzony do zastosowania, ale wydaje się, że nie działa, może wystąpić problem z implementacją konfiguracji przez dewelopera aplikacji. Skontaktowanie się z deweloperem aplikacji lub sprawdzenie ich baza wiedzy może zapisać połączenie pomocy technicznej z firmą Microsoft. Jeśli problem dotyczy sposobu obsługi konfiguracji w aplikacji, należy rozwiązać ten problem w przyszłej zaktualizowanej wersji tej aplikacji.
Następne kroki
Urządzenia zarządzane
- Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem iOS/iPadOS. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.
- Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem Android. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android.
Aplikacje zarządzane
- Dowiedz się, jak używać konfiguracji aplikacji z aplikacjami zarządzanymi. Zobacz Dodawanie zasad konfiguracji aplikacji dla aplikacji zarządzanych bez rejestracji urządzeń.