Zasady dotyczące konfiguracji aplikacji dla usługi Microsoft Intune
Zasady konfiguracji aplikacji mogą pomóc w wyeliminowaniu problemów z konfiguracją aplikacji, umożliwiając przypisanie ustawień konfiguracji do zasad przypisanych do użytkowników końcowych przed uruchomieniem aplikacji. Ustawienia są następnie dostarczane automatycznie, gdy aplikacja jest skonfigurowana na urządzeniu użytkowników końcowych, a użytkownicy końcowi nie muszą podejmować działań. Ustawienia konfiguracji są unikatowe dla każdej aplikacji.
Zasady konfiguracji aplikacji można tworzyć i używać do zapewniania ustawień konfiguracji zarówno dla aplikacji systemu iOS/iPadOS, jak i Android. Te ustawienia konfiguracji umożliwiają dostosowywanie aplikacji przy użyciu konfiguracji aplikacji i zarządzania nią. Ustawienia zasad konfiguracji są używane podczas sprawdzania tych ustawień przez aplikację, zazwyczaj przy pierwszym uruchomieniu aplikacji.
Na przykład ustawienie konfiguracji aplikacji może wymagać określenia dowolnej z następujących szczegółów:
- Niestandardowy numer portu
- Ustawienia języka
- Ustawienia zabezpieczeń
- Ustawienia znakowania, takie jak logo firmy
Jeśli zamiast tego użytkownicy końcowi mają wprowadzić te ustawienia, mogą to zrobić niepoprawnie. Zasady konfiguracji aplikacji mogą pomóc zapewnić spójność w przedsiębiorstwie i zmniejszyć liczbę wywołań pomocy technicznej od użytkowników końcowych próbujących samodzielnie skonfigurować ustawienia. Dzięki zasadom konfiguracji aplikacji wdrażanie nowych aplikacji może być łatwiejsze i szybsze.
O dostępnych parametrach konfiguracji i implementacji parametrów konfiguracji decydują deweloperzy aplikacji. Dokumentacja dostawcy aplikacji powinna zostać przejrzana, aby zobaczyć, jakie konfiguracje są dostępne i jak konfiguracje wpływają na zachowanie aplikacji. W przypadku niektórych aplikacji usługa Intune wypełni dostępne ustawienia konfiguracji.
Uwaga
W zarządzanym sklepie Google Play aplikacje obsługujące konfigurację zostaną oznaczone jako takie:
Aplikacje z zarządzanego sklepu Google Play, a nie ze sklepu Google Play, będą widoczne tylko w przypadku korzystania z urządzeń zarządzanych jako typu rejestracji dla urządzeń z systemem Android.
Zasady konfiguracji aplikacji można przypisać do grupy użytkowników końcowych i urządzeń przy użyciu kombinacji przypisań dołączania i wykluczania. W ramach procesu dodawania lub aktualizowania zasad konfiguracji aplikacji można ustawić przypisania dla zasad konfiguracji aplikacji. Po ustawieniu przypisań dla zasad można uwzględnić i wykluczyć grupy użytkowników końcowych, dla których mają zastosowanie zasady. Jeśli zdecydujesz się dołączyć co najmniej jedną grupę, możesz wybrać określone grupy do uwzględnienia lub wybrać grupy wbudowane. Wbudowane grupy obejmują wszystkich użytkowników, wszystkie urządzenia i wszystkich użytkowników i wszystkie urządzenia.
Filtry umożliwiają również uściślanie zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemami iOS i Android. Najpierw należy utworzyć filtr przy użyciu dowolnej z dostępnych właściwości dla systemów iOS i Android. Następnie w centrum administracyjnym usługi Microsoft Intune możesz przypisać zasady konfiguracji aplikacji zarządzanej, wybierając pozycjęZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia i przejdź do strony przypisania. Po wybraniu grupy można uściślić zastosowanie zasad, wybierając filtr i decydując się na jego użycie w trybie Dołączanie lub Wykluczanie .
Obciążenie zasad konfiguracji aplikacji zawiera listę zasad konfiguracji aplikacji, które zostały utworzone dla dzierżawy. Ta lista zawiera szczegółowe informacje, takie jak Nazwa, Platforma, Zaktualizowano, Typ rejestracji i Tagi zakresu. Aby uzyskać dodatkowe informacje o określonych zasadach konfiguracji aplikacji, wybierz zasady. W okienku Przegląd zasad można zobaczyć konkretne szczegóły, takie jak stan zasad na podstawie urządzenia i użytkownika, a także to, czy zasady zostały przypisane.
Aplikacje obsługujące konfigurację aplikacji
Konfigurację aplikacji można dostarczać za pośrednictwem kanału zarządzania urządzeniami przenośnymi (MDM) na zarejestrowanych urządzeniach (kanał konfiguracji aplikacji zarządzanych dla systemu iOS lub Android w kanale Enterprise dla systemu Android) lub za pośrednictwem kanału zarządzania aplikacjami mobilnymi (MAM).
Usługa Intune reprezentuje następujące kanały zasad konfiguracji aplikacji jako:
- Urządzenia zarządzane — urządzenie jest zarządzane przez usługę Intune jako ujednolicony dostawca zarządzania punktami końcowymi. Aplikacja musi zostać przypięta do profilu zarządzania w systemie iOS/iPadOS lub wdrożona za pośrednictwem zarządzanego sklepu Google Play na urządzeniach z systemem Android. Ponadto aplikacja obsługuje żądaną konfigurację aplikacji.
- Aplikacje zarządzane — aplikacja, która zintegrowała zestaw SDK aplikacji usługi Intune lub została opakowana przy użyciu narzędzia opakowującego usługi Intune i obsługuje zasady ochrony aplikacji (APP). W tej konfiguracji nie ma znaczenia ani stan rejestracji urządzenia, ani sposób dostarczania aplikacji do urządzenia. Aplikacja obsługuje żądaną konfigurację aplikacji.
Aplikacje mogą obsługiwać ustawienia zasad konfiguracji aplikacji inaczej w odniesieniu do preferencji użytkownika. Na przykład w przypadku programu Outlook dla systemów iOS i Android ustawienie konfiguracji aplikacji Focused Inbox będzie uwzględniać ustawienie użytkownika, dzięki czemu użytkownik może zastąpić intencję administratora. Inne ustawienia mogą umożliwiać kontrolowanie, czy użytkownik może lub nie może zmienić ustawienia na podstawie intencji administratora.
Uwaga
Usługa Intune wymaga systemu Android 8.x lub nowszego w przypadku scenariuszy rejestracji urządzeń i konfiguracji aplikacji dostarczanych za pośrednictwem zasad konfiguracji aplikacji urządzeń zarządzanych. To wymaganie nie ma zastosowania do urządzeń z systemem Android w usłudze Microsoft Teams , ponieważ te urządzenia będą nadal obsługiwane.
W przypadku zasad ochrony aplikacji i konfiguracji aplikacji usługi Intune dostarczanych za pośrednictwem zasad konfiguracji aplikacji zarządzanych usługa Intune wymaga systemu Android 9.0 lub nowszego.
Urządzenia zarządzane
Wybranie pozycji Urządzenia zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji wdrożonych przez usługę Intune na zarejestrowanym urządzeniu i dlatego są zarządzane przez usługę Intune jako dostawca rejestracji.
Aby obsługiwać konfigurację aplikacji wdrożonych za pośrednictwem usługi Intune na zarejestrowanych urządzeniach, aplikacje muszą być zapisywane w celu obsługi konfiguracji aplikacji zdefiniowanych przez system operacyjny. Skontaktuj się z dostawcą aplikacji, aby uzyskać szczegółowe informacje na temat kluczy konfiguracji aplikacji, które obsługują do dostarczania za pośrednictwem kanału systemu operacyjnego MDM. Ogólnie istnieją cztery scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału systemu operacyjnego MDM:
- Zezwalaj tylko na konta służbowe
- Ustawienia konfiguracji konfiguracji konta
- Ogólne ustawienia konfiguracji aplikacji
- Ustawienia konfiguracji S/MIME
Aplikacje zarządzane
Wybranie pozycji Aplikacje zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji usługi Intune na urządzeniach niezależnie od stanu rejestracji.
Aby obsługiwać konfigurację aplikacji za pośrednictwem kanału MAM, aplikacja musi być zintegrowana z zestawem SDK aplikacji usługi Intune. Aplikacje biznesowe mogą integrować zestaw SDK aplikacji usługi Intune lub używać narzędzia opakowującego aplikacje usługi Intune. Aby zapoznać się z porównaniem zestawu SDK aplikacji usługi Intune i narzędzia opakowującego aplikacje usługi Intune, zobacz Przygotowywanie aplikacji biznesowych na potrzeby zasad ochrony aplikacji.
Dostarczanie konfiguracji aplikacji za pośrednictwem kanału MAM nie wymaga zarejestrowania urządzenia ani zarządzania aplikacją ani dostarczania jej za pośrednictwem ujednoliconego rozwiązania do zarządzania punktami końcowymi. Istnieją trzy scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału MAM:
- Ogólne ustawienia konfiguracji aplikacji
- Ustawienia konfiguracji S/MIME
- Zaawansowane ustawienia ochrony danych aplikacji, które rozszerzają możliwości oferowane przez zasady ochrony aplikacji
Uwaga
Aplikacje zarządzane przez usługę Intune będą zaewidencjonowywały stan zasad konfiguracji aplikacji usługi Intune z interwałem 30 minut po wdrożeniu w połączeniu z zasadami ochrony aplikacji usługi Intune. Jeśli zasady ochrony aplikacji usługi Intune nie są przypisane do użytkownika, interwał ewidencjonowania zasad konfiguracji aplikacji usługi Intune jest ustawiony na 720 minut.
Aby uzyskać informacje o tym, które aplikacje obsługują konfigurację aplikacji za pośrednictwem kanału MAM, zobacz Aplikacje chronione przez usługę Microsoft Intune.
Zasady konfiguracji aplikacji systemu Android Enterprise
W przypadku zasad konfiguracji aplikacji systemu Android Enterprise można wybrać typ rejestracji urządzenia przed utworzeniem profilu konfiguracji aplikacji. Możesz uwzględnić profile certyfikatów oparte na typie rejestracji.
Typ rejestracji może być jednym z następujących:
- Wszystkie typy profilów: jeśli zostanie utworzony nowy profil i wybrano opcję Wszystkie typy profilów dla typu rejestracji urządzenia, nie będzie można skojarzyć profilu certyfikatu z zasadami konfiguracji aplikacji. Ta opcja obsługuje uwierzytelnianie nazwy użytkownika i hasła. Jeśli używasz uwierzytelniania opartego na certyfikatach, nie używaj tej opcji.
- W pełni zarządzane, dedykowane i Corporate-Owned tylko profil służbowy: jeśli zostanie utworzony nowy profil i zostanie wybrany w pełni zarządzany, dedykowany i Corporate-Owned tylko profil służbowy, można korzystać z zasad certyfikatów w pełni zarządzanych, dedykowanych i Corporate-Owned profilów służbowychutworzonychw obszarze Urządzenia >Zarządzanie konfiguracją urządzeń>. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła. W pełni zarządzane odnosi się do w pełni zarządzanych urządzeń z systemem Android Enterprise (COBO). Dedykowane dotyczy dedykowanych urządzeń z systemem Android Enterprise (COSU). Profil służbowy należący do firmy odnosi się do firmowego profilu służbowego systemu Android Enterprise (COPE).
- Tylko profil służbowy należący do użytkownika: jeśli zostanie utworzony nowy profil i wybrano tylko profil służbowy należący do użytkownika, można użyć zasad certyfikatu profilu służbowego utworzonychw obszarze Urządzenia >Zarządzanie urządzeniami>Konfiguracja. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła.
Uwaga
Wdrożenie profilu konfiguracji Gmail lub Nine w dedykowanym profilu służbowym urządzenia z systemem Android Enterprise, który nie obejmuje użytkownika, zakończy się niepowodzeniem, ponieważ usługa Intune nie może rozpoznać użytkownika.
Ważna
Istniejące zasady utworzone przed wydaniem tej funkcji (wersja z kwietnia 2020 r. — 2004 r.), które nie mają żadnych profilów certyfikatów skojarzonych z zasadami, domyślnie mają wartość Wszystkie typy profilów dla typu rejestracji urządzenia. Ponadto istniejące zasady utworzone przed wydaniem tej funkcji, które mają skojarzone z nimi profile certyfikatów, domyślnie mają tylko profil służbowy.
Istniejące zasady nie korygują ani nie wystawiają nowych certyfikatów.
Weryfikowanie zastosowanych zasad konfiguracji aplikacji
Zasady konfiguracji aplikacji można zweryfikować przy użyciu następujących trzech metod:
Sprawdź zasady konfiguracji aplikacji w widoczny sposób na urządzeniu. Upewnij się, że aplikacja docelowa wykazuje zachowanie stosowane w zasadach konfiguracji aplikacji.
Sprawdź za pośrednictwem dzienników diagnostycznych (zobacz sekcję Dzienniki diagnostyczne poniżej).
Sprawdź w centrum administracyjnym usługi Microsoft Intune. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Aplikacje>Wszystkie aplikacje>wybierz powiązaną aplikację*. Następnie w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia: Raport o stanie instalacji urządzenia monitoruje najnowsze ewidencjonowania dla wszystkich urządzeń, do których zostały skierowane zasady konfiguracji.
Ponadto w centrum administracyjnym usługi Microsoft Intune wybierz pozycję Urządzenia>Wszystkie urządzenia>wybierz konfigurację aplikacji urządzenia>. W okienku konfiguracji aplikacji** zostaną wyświetlone wszystkie przypisane zasady i ich stan:
Dzienniki diagnostyczne
Konfiguracja systemu iOS/iPadOS na urządzeniach niezarządzanych
Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego usługi Intune dla ustawień wdrożonych za pośrednictwem zasad konfiguracji aplikacji zarządzanych. Oprócz poniższych kroków możesz uzyskać dostęp do dzienników zarządzanych aplikacji przy użyciu przeglądarki Microsoft Edge. Aby uzyskać więcej informacji, zobacz Używanie przeglądarki Microsoft Edge dla systemów iOS i Android do uzyskiwania dostępu do dzienników zarządzanych aplikacji.
Jeśli jeszcze nie zainstalowano na urządzeniu, pobierz i zainstaluj przeglądarkę Microsoft Edge ze sklepu App Store. Aby uzyskać więcej informacji, zobacz Aplikacje chronione przez usługę Microsoft Intune.
Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.
Kliknij pozycję Rozpocznij.
Kliknij pozycję Udostępnij dzienniki.
Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.
Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.
Wyszukaj ciąg
ApplicationConfiguration
. Wyniki będą wyglądać następująco:{ ( { Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs"; Value = "https://www.aol.com"; }, { Name = "com.microsoft.intune.mam.managedbrowser.bookmarks"; Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com"; } ); }, { ApplicationConfiguration = ( { Name = IntuneMAMUPN; Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a"; }, { Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled"; Value = true; } ); }
Szczegóły konfiguracji aplikacji powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.
Konfiguracja systemu iOS/iPadOS na urządzeniach zarządzanych
Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego usługi Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.
- Jeśli jeszcze nie zainstalowano na urządzeniu, pobierz i zainstaluj przeglądarkę Microsoft Edge ze sklepu App Store. Aby uzyskać więcej informacji, zobacz Aplikacje chronione przez usługę Microsoft Intune.
- Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.
- Kliknij pozycję Rozpocznij.
- Kliknij pozycję Udostępnij dzienniki.
- Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.
- Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.
- Wyszukaj ciąg
AppConfig
. Wyniki powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.
Konfiguracja systemu Android na urządzeniach zarządzanych
Konfigurację systemu Android można zweryfikować za pomocą dziennika diagnostycznego usługi Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.
Aby zbierać dzienniki z urządzenia z systemem Android, ty lub użytkownik końcowy musi pobrać dzienniki z urządzenia za pośrednictwem połączenia USB (lub odpowiednika Eksploratora plików na urządzeniu). W tym celu należy wykonać następujące czynności:
Podłącz urządzenie z systemem Android do komputera za pomocą USB.
Na komputerze poszukaj katalogu o nazwie urządzenia. W tym katalogu znajdź .
Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal
W folderze
com.microsoft.windowsintune.companyportal
otwórz folder Pliki i otwórz plikOMADMLog_0
.Wyszukaj komunikaty
AppConfigHelper
dotyczące konfiguracji aplikacji. Wyniki będą wyglądać podobnie do następującego bloku danych:2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642
Obsługa interfejsu API programu Graph dla konfiguracji aplikacji
Za pomocą interfejsu API programu Graph można wykonywać zadania konfiguracji aplikacji. Aby uzyskać szczegółowe informacje, zobacz Graph API Reference MAM Targeted Config (Dokumentacja interfejsu API programu Graph, konfiguracja docelowa zarządzania aplikacjami mobilnymi). Aby uzyskać więcej informacji na temat usługi Intune i programu Graph, zobacz Praca z usługą Intune w programie Microsoft Graph.
Rozwiązywanie problemów
Wyświetlanie parametru konfiguracji przy użyciu dzienników
Gdy dzienniki pokazują parametr konfiguracji, który jest potwierdzony do zastosowania, ale wydaje się, że nie działa, może wystąpić problem z implementacją konfiguracji przez dewelopera aplikacji. Skontaktowanie się z deweloperem aplikacji lub sprawdzenie bazy wiedzy może zapisać ci połączenie pomocy technicznej z firmą Microsoft. Jeśli problem dotyczy sposobu obsługi konfiguracji w aplikacji, należy rozwiązać ten problem w przyszłej zaktualizowanej wersji tej aplikacji.
Następne kroki
Urządzenia zarządzane
- Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem iOS/iPadOS. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.
- Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem Android. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android.
Aplikacje zarządzane
- Dowiedz się, jak używać konfiguracji aplikacji z aplikacjami zarządzanymi. Zobacz Dodawanie zasad konfiguracji aplikacji dla aplikacji zarządzanych bez rejestracji urządzeń.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla