Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise

  • Artykuł

Zasady konfiguracji aplikacji w Microsoft Intune dostarczania ustawień do zarządzanych aplikacji Google Play na zarządzanych urządzeniach z systemem Android Enterprise. Deweloper aplikacji uwidacznia ustawienia konfiguracji aplikacji zarządzanej przez system Android. Usługa Intune używa tego ustawienia uwidocznionego, aby umożliwić administratorowi konfigurowanie funkcji dla aplikacji. Zasady konfiguracji aplikacji są przypisywane do grup użytkowników. Ustawienia zasad są używane, gdy aplikacja je sprawdza, zazwyczaj przy pierwszym uruchomieniu aplikacji.

Nie każda aplikacja obsługuje konfigurację aplikacji. Skontaktuj się z deweloperem aplikacji, aby sprawdzić, czy ich aplikacja obsługuje zasady konfiguracji aplikacji.

Uwaga

Usługa Intune wymaga systemu Android 8.x lub nowszego w przypadku scenariuszy rejestracji urządzeń i konfiguracji aplikacji dostarczanych za pośrednictwem zasad konfiguracji aplikacji urządzeń zarządzanych. To wymaganie nie ma zastosowania do urządzeń z systemem Android w usłudze Microsoft Teams , ponieważ te urządzenia będą nadal obsługiwane.

W przypadku zasad ochrony aplikacji i konfiguracji aplikacji usługi Intune dostarczanych za pośrednictwem zasad konfiguracji aplikacji zarządzanych usługa Intune wymaga systemu Android 9.0 lub nowszego.

aplikacje Email

System Android Enterprise ma kilka metod rejestracji. Typ rejestracji zależy od sposobu konfigurowania poczty e-mail na urządzeniu:

  • W przypadku w pełni zarządzanych, dedykowanych i firmowych profilów służbowych systemu Android Enterprise użyj zasad konfiguracji aplikacji i kroków opisanych w tym artykule. Zasady konfiguracji aplikacji obsługują aplikacje poczty e-mail Gmail i Nine Work.
  • Na urządzeniach osobistych z systemem Android Enterprise z profilem służbowym utwórz profil konfiguracji urządzenia poczty e-mail z systemem Android Enterprise. Podczas tworzenia profilu można skonfigurować ustawienia klientów poczty e-mail obsługujące zasady konfiguracji aplikacji. W przypadku korzystania z projektanta konfiguracji usługa Intune zawiera ustawienia poczty e-mail specyficzne dla aplikacji Gmail i Nine Work.

Tworzenie zasad konfiguracji aplikacji

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierzzasady >konfiguracji aplikacjiAplikacje> Dodaj >urządzenia zarządzane. Pamiętaj, że możesz wybierać między urządzeniami zarządzanymi a aplikacjami zarządzanymi. Aby uzyskać więcej informacji , zobacz Aplikacje obsługujące konfigurację aplikacji.

  3. Na stronie Podstawy ustaw następujące szczegóły:

    • Nazwa — nazwa profilu wyświetlanego w portalu.
    • Opis — opis profilu, który jest wyświetlany w portalu.
    • Typ rejestracji urządzenia — to ustawienie jest ustawione na urządzenia zarządzane.

  4. Wybierz pozycję Android Enterprise jako platformę.

  5. Kliknij pozycję Wybierz aplikację obok pozycji Aplikacja docelowa. Zostanie wyświetlone okienko Skojarzona aplikacja .

  6. W okienku Skojarzona aplikacja wybierz aplikację zarządzaną do skojarzenia z zasadami konfiguracji i kliknij przycisk OK.

  7. Kliknij przycisk Dalej, aby wyświetlić stronę Ustawienia.

  8. Kliknij przycisk Dodaj , aby wyświetlić okienko Dodaj uprawnienia .

  9. Kliknij uprawnienia, które chcesz zastąpić. Udzielone uprawnienia zastąpią zasady "Domyślne uprawnienia aplikacji" dla wybranych aplikacji.

  10. Ustaw stan Uprawnienia dla każdego uprawnienia. Możesz wybrać opcję monitu, automatycznego przyznawania lub automatycznego odmawiania.

  11. Jeśli aplikacja zarządzana obsługuje ustawienia konfiguracji, pole rozwijane Format ustawień konfiguracji jest widoczne. Wybierz jedną z następujących metod dodawania informacji o konfiguracji:

    • Korzystanie z projektanta konfiguracji
    • Wprowadź dane JSON

    Aby uzyskać szczegółowe informacje na temat korzystania z projektanta konfiguracji, zobacz Korzystanie z projektanta konfiguracji. Aby uzyskać szczegółowe informacje na temat wprowadzania danych XML, zobacz Wprowadzanie danych JSON.

  12. Jeśli chcesz zezwolić użytkownikom na łączenie aplikacji docelowej w profilach służbowych i osobistych, wybierz pozycję Włączone obok pozycji Połączone aplikacje.

    Zrzut ekranu przedstawiający zasady konfiguracji — ustawienia

    Uwaga

    To ustawienie działa tylko w przypadku urządzeń z profilem służbowym należącym do użytkownika i należących do firmy urządzeń z profilem służbowym.

    Zmiana ustawienia Połączone aplikacje na Nies skonfigurowano nie spowoduje usunięcia zasad konfiguracji z urządzenia. Aby usunąć funkcje Połączone aplikacje z urządzenia, należy anulować przypisanie powiązanych zasad konfiguracji.

  13. Kliknij przycisk Dalej, aby wyświetlić stronę Tagi zakresu.

  14. [Opcjonalnie] Tagi zakresu można skonfigurować dla zasad konfiguracji aplikacji. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

  15. Kliknij przycisk Dalej , aby wyświetlić stronę Przypisania .

  16. W polu listy rozwijanej obok pozycji Przypisz do wybierz pozycję Dodaj grupy, Dodaj wszystkich użytkowników lub Dodaj wszystkie urządzenia , aby przypisać zasady konfiguracji aplikacji. Po wybraniu grupy przypisań możesz wybrać filtr w celu uściślenia zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla urządzeń zarządzanych.

    Zrzut ekranu przedstawiający przypisania zasad — przypisania

  17. Wybierz pozycję Wszyscy użytkownicy w polu listy rozwijanej.

    Zrzut ekranu przedstawiający przypisywanie zasad — opcja listy rozwijanej Wszyscy użytkownicy

  18. [Opcjonalnie] Kliknij pozycję Edytuj filtr , aby dodać filtr i uściślić zakres przypisania.

    Zrzut ekranu przedstawiający przypisania zasad — Edytuj filtr

  19. Kliknij pozycję Wybierz grupy do wykluczenia , aby wyświetlić powiązane okienko.

  20. Wybierz grupy, które chcesz wykluczyć, a następnie kliknij pozycję Wybierz.

    Uwaga

    Podczas dodawania grupy, jeśli jakakolwiek inna grupa została już uwzględniona dla danego typu przypisania, jest ona wstępnie wybrana i bez zmian dla innych typów przypisań. W związku z tym ta grupa, która została użyta, nie może być używana jako wykluczona grupa.

  21. Kliknij przycisk Dalej, aby wyświetlić stronę Recenzja i tworzenie.

  22. Kliknij pozycję Utwórz , aby dodać zasady konfiguracji aplikacji do usługi Intune.

Korzystanie z projektanta konfiguracji

Projektant konfiguracji dla zarządzanych aplikacji Google Play można użyć, gdy aplikacja jest przeznaczona do obsługi ustawień konfiguracji. Konfiguracja dotyczy urządzeń zarejestrowanych w usłudze Intune. Projektant umożliwia skonfigurowanie określonych wartości konfiguracji dla ustawień uwidocznionych przez aplikację.

  1. Wybierz opcję Dodaj. Wybierz listę ustawień konfiguracji, które chcesz wprowadzić dla aplikacji.

    Jeśli używasz aplikacji poczty e-mail Gmail lub Nine Work, ustawienia urządzenia z systemem Android Enterprise do konfigurowania poczty e-mail zawierają więcej informacji na temat tych konkretnych ustawień.

  2. Dla każdego klucza i wartości w konfiguracji ustaw:

    • Typ wartości: typ danych wartości konfiguracji. W przypadku typów wartości Ciąg możesz opcjonalnie wybrać zmienną lub profil certyfikatu jako typ wartości.
    • Wartość konfiguracji: wartość konfiguracji. Jeśli wybierzesz zmienną lub certyfikat dla typu Wartość, wybierz z listy zmiennych lub profilów certyfikatów. Jeśli wybierzesz certyfikat, alias certyfikatu wdrożonego na urządzeniu zostanie wypełniony w czasie wykonywania.

Obsługiwane zmienne dla wartości konfiguracji

Jeśli wybierzesz zmienną jako typ wartości, możesz wybrać następujące opcje:

Opcja Przykład
identyfikator urządzenia Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Identyfikator konta fc0dc142-71d8-4b12-bbea-bae2a8514c81
Identyfikator urządzenia usługi Intune b9841cd9-9843-405f-be28-b2265c59ef97
Domain (Domena) contoso.com
Poczty john@contoso.com
Częściowa nazwa UPN John
Identyfikator użytkownika 3ec2c00f-b125-4519-acf0-302ac3761822
Nazwa użytkownika John Doe
Główna nazwa użytkownika john@contoso.com

Zezwalaj tylko na skonfigurowane konta organizacji w aplikacjach

Jako administrator Microsoft Intune możesz kontrolować, które konta służbowe są dodawane do aplikacji firmy Microsoft na zarządzanych urządzeniach. Dostęp można ograniczyć tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste na zarejestrowanych urządzeniach. W przypadku urządzeń z systemem Android użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane:

Klucz com.microsoft.intune.mam.AllowedAccountUPNs
Wartości
  • Co najmniej ; jedna rozdzielana nazwy UPN.
  • Dozwolone są tylko konta użytkowników zarządzanych zdefiniowane przez ten klucz.
  • W przypadku urządzeń {{userprincipalname}} zarejestrowanych w usłudze Intune token może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Następujące aplikacje przetwarzają powyższą konfigurację aplikacji i zezwalają tylko na konta organizacji:

  • Przeglądarka Edge dla systemu Android (42.0.4.4048 i nowsze)
  • Office, Word, Excel, PowerPoint dla systemu Android (16.0.9327.1000 i nowsze)
  • OneDrive dla systemu Android (5.28 i nowsze)
  • OneNote dla systemu Android (16.0.13231.20222 lub nowsze)
  • Outlook dla systemu Android (2.2.222 i nowsze)
  • Teams for Android (1416/1.0.0.2020073101 i nowsze)

Wprowadź dane JSON

Niektórych ustawień konfiguracji w aplikacjach (takich jak aplikacje z typami pakietów) nie można skonfigurować za pomocą projektanta konfiguracji. Użyj edytora JSON dla tych wartości. Ustawienia są dostarczane do aplikacji automatycznie po zainstalowaniu aplikacji.

  1. W obszarze Format ustawień konfiguracji wybierz pozycję Wprowadź edytor JSON.
  2. W edytorze można zdefiniować wartości JSON dla ustawień konfiguracji. Możesz wybrać pozycję Pobierz szablon JSON , aby pobrać przykładowy plik, który można następnie skonfigurować.
  3. Wybierz przycisk OK, a następnie wybierz pozycję Dodaj.

Zasady są tworzone i wyświetlane na liście.

Gdy przypisana aplikacja jest uruchamiana na urządzeniu, jest uruchamiana z ustawieniami skonfigurowanymi w zasadach konfiguracji aplikacji.

Włączanie połączonych aplikacji

Dotyczy:
Android 11+

Użytkownicy profilu służbowego należącego do użytkownika muszą mieć Portal firmy wersji 5.0.5291.0 lub nowszej. Użytkownicy profilów służbowych należących do firmy nie potrzebują określonej wersji aplikacji Microsoft Intune do pomocy technicznej.

Możesz zezwolić użytkownikom korzystającym z profilów służbowych należących do użytkownika i firmowych systemu Android na włączanie środowisk połączonych aplikacji dla obsługiwanych aplikacji. To ustawienie konfiguracji aplikacji umożliwia aplikacjom łączenie i integrowanie danych aplikacji w wystąpieniach aplikacji służbowych i osobistych.

Aby aplikacja zapewniała to środowisko, aplikacja musi zostać zintegrowana z zestawem SDK połączonych aplikacji Firmy Google, więc obsługują ją tylko ograniczone aplikacje. Ustawienie połączonych aplikacji można włączyć proaktywnie, a gdy aplikacje dodadzą obsługę, użytkownicy będą mogli włączyć środowisko połączonych aplikacji.

Zmiana ustawienia Połączone aplikacje na Nies skonfigurowano nie spowoduje usunięcia zasad konfiguracji z urządzenia. Aby usunąć funkcje Połączone aplikacje z urządzenia, należy anulować przypisanie powiązanych zasad konfiguracji.

Ostrzeżenie

Jeśli włączysz funkcje połączonych aplikacji dla aplikacji, dane służbowe w aplikacjach osobistych nie będą chronione przez zasady ochrony aplikacji.

Ponadto, niezależnie od konfiguracji połączonych aplikacji, niektóre maszyny OEM mogą automatycznie łączyć niektóre aplikacje lub mogą być w stanie zażądać zatwierdzenia przez użytkownika w celu połączenia aplikacji, które nie zostały skonfigurowane. Przykładem aplikacji w tym przypadku może być aplikacja klawiaturowa producenta OEM.

Istnieją dwa sposoby łączenia aplikacji służbowych i osobistych przez użytkowników po włączeniu ustawienia połączonych aplikacji:

  1. Obsługiwana aplikacja może zdecydować o monitowaniu użytkownika o zatwierdzenie połączenia między profilami.
  2. Użytkownicy mogą otworzyć aplikację Ustawienia i przejść do sekcji Połączona praca & aplikacje osobiste, w której będą widzieć wszystkie obsługiwane aplikacje na liście.

Ważna

Jeśli wiele zasad konfiguracji aplikacji jest przypisanych do tej samej aplikacji przeznaczonej dla tego samego urządzenia, a jedna zasada ustawia opcję EnabledPołączone aplikacje, podczas gdy inne zasady nie, konfiguracja aplikacji zgłosi konflikt, a wynikowe zachowanie zastosowane na urządzeniu będzie uniemożliwić połączone aplikacje.

Wstępnie skonfiguruj stan udzielania uprawnień dla aplikacji

Możesz również wstępnie skonfigurować uprawnienia aplikacji w celu uzyskania dostępu do funkcji urządzeń z systemem Android. Domyślnie aplikacje systemu Android, które wymagają uprawnień urządzenia, takie jak dostęp do lokalizacji lub aparatu urządzenia, monitują użytkowników o zaakceptowanie lub odmowę uprawnień.

Na przykład aplikacja używa mikrofonu urządzenia. Użytkownik jest monitowany o udzielenie aplikacji uprawnień do korzystania z mikrofonu.

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Aplikacje>Zasady> konfiguracji aplikacjiDodaj>urządzenia zarządzane.
  2. Dodaj następujące właściwości:
    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą zasad są zasady aplikacji monitowania dla systemu Android Enterprise dla całej firmy.
    • Opis. Wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
    • Typ rejestracji urządzenia: to ustawienie jest ustawione na urządzenia zarządzane.
    • Platforma: wybierz pozycję Android Enterprise.
  3. Wybierz pozycję Typ profilu:
  4. Wybierz pozycję Aplikacja docelowa. Wybierz aplikację, z którą chcesz skojarzyć zasady konfiguracji. Wybierz z listy w pełni zarządzane aplikacje profilu służbowego systemu Android Enterprise, które zostały zatwierdzone i zsynchronizowane z usługą Intune.
  5. Wybierz pozycję Uprawnienia>Dodaj. Z listy wybierz dostępne uprawnienia > aplikacji OK.
  6. Wybierz opcję dla każdego uprawnienia do udzielenia przy użyciu tych zasad:
    • Monituj. Monituj użytkownika o zaakceptowanie lub odrzucenie.
    • Automatyczne udzielanie. Automatycznie zatwierdzaj bez powiadamiania użytkownika.
    • Automatyczne odmawianie. Automatycznie odmawiaj bez powiadamiania użytkownika.
  7. Aby przypisać zasady konfiguracji aplikacji, wybierz zasady > konfiguracji aplikacji Przypisania>Wybierz grupy. Wybierz grupy użytkowników do przypisania >Wybierz.
  8. Wybierz pozycję Zapisz , aby przypisać zasady.

Informacje dodatkowe

Następne kroki

Kontynuuj przypisywanie i monitorowanie aplikacji.