Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS

Użyj zasad konfiguracji aplikacji w Microsoft Intune, aby zapewnić niestandardowe ustawienia konfiguracji dla aplikacji systemu iOS/iPadOS. Te ustawienia konfiguracji umożliwiają dostosowywanie aplikacji na podstawie kierunku dostawców aplikacji. Te ustawienia konfiguracji (klucze i wartości) należy uzyskać od dostawcy aplikacji. Aby skonfigurować aplikację, należy określić ustawienia jako klucze i wartości lub jako kod XML zawierający klucze i wartości.

Jako administrator Microsoft Intune możesz kontrolować, które konta użytkowników są dodawane do aplikacji platformy Microsoft 365 (Office) na urządzeniach zarządzanych. Dostęp można ograniczyć tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste na zarejestrowanych urządzeniach. Aplikacje pomocnicze przetwarzają konfigurację aplikacji oraz usuwają i blokują niezatwierdzone konta. Ustawienia zasad konfiguracji są używane, gdy aplikacja je sprawdza, zazwyczaj przy pierwszym uruchomieniu.

Po dodaniu zasad konfiguracji aplikacji można ustawić przypisania dla zasad konfiguracji aplikacji. Po ustawieniu przypisań dla zasad można użyć filtru i dołączyć i wykluczyć grupy użytkowników, dla których mają zastosowanie zasady. Jeśli zdecydujesz się dołączyć co najmniej jedną grupę, możesz wybrać określone grupy do uwzględnienia lub wybrać grupy wbudowane. Wbudowane grupy obejmują wszystkich użytkowników, wszystkie urządzenia i wszystkich użytkowników i wszystkie urządzenia.

Uwaga

Intune udostępnia wstępnie utworzone grupy Wszyscy użytkownicy i Wszystkie urządzenia w konsoli z wbudowanymi optymalizacjami dla Twojej wygody. Zdecydowanie zaleca się używanie tych grup do kierowania do wszystkich użytkowników i wszystkich urządzeń zamiast grup "Wszyscy użytkownicy" lub "Wszystkie urządzenia", które mogły zostać utworzone samodzielnie.

Po wybraniu dołączonych grup dla zasad konfiguracji aplikacji możesz również wybrać określone grupy do wykluczenia. Aby uzyskać więcej informacji, zobacz Dołączanie i wykluczanie przypisań aplikacji w Microsoft Intune.

Porada

Ten typ zasad jest obecnie dostępny tylko dla urządzeń z systemem iOS/iPadOS 8.0 lub nowszym. Obsługuje ona następujące typy instalacji aplikacji:

• Zarządzana aplikacja systemu iOS/iPadOS ze sklepu z aplikacjami
• Pakiet aplikacji dla systemu iOS

Aby uzyskać więcej informacji na temat typów instalacji aplikacji, zobacz Jak dodać aplikację do Microsoft Intune. Aby uzyskać więcej informacji na temat dołączania konfiguracji aplikacji do pakietu aplikacji ipa dla urządzeń zarządzanych, zobacz Managed App Configuration w dokumentacji dla deweloperów systemu iOS.

Tworzenie zasad konfiguracji aplikacji

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierzzasady >konfiguracji aplikacjiAplikacje> Dodaj >urządzenia zarządzane. Pamiętaj, że możesz wybierać między urządzeniami zarządzanymi a aplikacjami zarządzanymi. Aby uzyskać więcej informacji , zobacz Aplikacje obsługujące konfigurację aplikacji.

3. Na stronie Podstawy ustaw następujące szczegóły:

   • Nazwa — nazwa profilu wyświetlanego w centrum administracyjnym Microsoft Intune.
   • Opis — opis profilu, który jest wyświetlany w centrum administracyjnym Microsoft Intune.
   • Typ rejestracji urządzenia — to ustawienie jest ustawione na urządzenia zarządzane.

4. Wybierz pozycję iOS/iPadOS jako platformę.

5. Kliknij pozycję Wybierz aplikację obok pozycji Aplikacja docelowa. Zostanie wyświetlone okienko Skojarzona aplikacja .

6. W okienku Aplikacja docelowa wybierz aplikację zarządzaną, która ma zostać skojarzona z zasadami konfiguracji, a następnie kliknij przycisk OK.

7. Kliknij przycisk Dalej, aby wyświetlić stronę Ustawienia.

8. W polu listy rozwijanej wybierz format Ustawienia konfiguracji. Wybierz jedną z następujących metod dodawania informacji o konfiguracji:

   • Korzystanie z projektanta konfiguracji
   • Wprowadzanie danych XML
     
     Aby uzyskać szczegółowe informacje na temat korzystania z projektanta konfiguracji, zobacz Korzystanie z projektanta konfiguracji. Aby uzyskać szczegółowe informacje na temat wprowadzania danych XML, zobacz Wprowadzanie danych XML.

9. Kliknij przycisk Dalej, aby wyświetlić stronę Tagi zakresu.

10. [Opcjonalnie] Tagi zakresu można skonfigurować dla zasad konfiguracji aplikacji. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

11. Kliknij przycisk Dalej , aby wyświetlić stronę Przypisania .

12. Na stronie Przypisania wybierz pozycję Dodaj grupy, Dodaj wszystkich użytkowników lub Dodaj wszystkie urządzenia , aby przypisać zasady konfiguracji aplikacji. Po wybraniu grupy przypisań możesz wybrać filtr w celu uściślenia zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla urządzeń zarządzanych.

    

13. Wybierz pozycję Wszyscy użytkownicy w polu listy rozwijanej.

    

14. [Opcjonalnie] Kliknij pozycję Edytuj filtr , aby dodać filtr i uściślić zakres przypisania.

    

15. Kliknij pozycję Wybierz grupy do wykluczenia , aby wyświetlić powiązane okienko.

16. Wybierz grupy, które chcesz wykluczyć, a następnie kliknij pozycję Wybierz.

    Uwaga

    Podczas dodawania grupy, jeśli jakakolwiek inna grupa została już uwzględniona dla danego typu przypisania, jest ona wstępnie wybrana i bez zmian dla innych typów przypisań. W związku z tym ta grupa, która została użyta, nie może być używana jako wykluczona grupa.

17. Kliknij przycisk Dalej, aby wyświetlić stronę Recenzja i tworzenie.

18. Kliknij przycisk Utwórz, aby dodać zasady konfiguracji aplikacji do Intune.

Korzystanie z projektanta konfiguracji

Microsoft Intune zapewnia ustawienia konfiguracji, które są unikatowe dla aplikacji. Projektanta konfiguracji można używać w przypadku aplikacji na urządzeniach, które są zarejestrowane lub nie są zarejestrowane w Microsoft Intune. Projektant umożliwia skonfigurowanie określonych kluczy konfiguracji i wartości, które ułatwiają tworzenie bazowego kodu XML. Należy również określić typ danych dla każdej wartości. Te ustawienia są dostarczane do aplikacji automatycznie po zainstalowaniu aplikacji.

Dodawanie ustawienia

1. Dla każdego klucza i wartości w konfiguracji ustaw:
   • Klucz konfiguracji — klucz uwzględniający wielkość liter, który jednoznacznie identyfikuje konfigurację określonego ustawienia.
   • Typ wartości — typ danych wartości konfiguracji. Typy obejmują liczbę całkowitą, rzeczywistą, ciąg lub wartość logiczną.
   • Wartość konfiguracji — wartość konfiguracji.
2. Wybierz przycisk OK , aby ustawić ustawienia konfiguracji.

Usuwanie ustawienia

1. Wybierz wielokropek (...) obok ustawienia.
2. Wybierz pozycję Usuń.

Znaki {{ i }} są używane tylko przez typy tokenów i nie mogą być używane do innych celów.

Zezwalaj tylko na skonfigurowane konta organizacji w aplikacjach

Jako administrator Microsoft Intune możesz kontrolować, które konta służbowe są dodawane do aplikacji firmy Microsoft na zarządzanych urządzeniach. Dostęp można ograniczyć tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste w aplikacjach (jeśli są obsługiwane) na zarejestrowanych urządzeniach. W przypadku urządzeń z systemem iOS/iPadOS użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane:

Klucz	Wartości
IntuneMAMAllowedAccountsOnly	Włączone: jedynym dozwolonym kontem jest zarządzane konto użytkownika zdefiniowane przez klucz IntuneMAMUPN . Wyłączone (lub dowolna wartość, która nie jest uwzględniana wielkość liter, jest zgodna z włączoną): dowolne konto jest dozwolone.
IntuneMAMUPN	Nazwa UPN konta, które może się zalogować do aplikacji. W przypadku Intune zarejestrowanych urządzeń {{userprincipalname}} token może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Następujące aplikacje przetwarzają powyższą konfigurację aplikacji i zezwalają tylko na konta organizacji:

• Copilot dla systemu iOS (28.1.420324001 i nowsze)
• Przeglądarka Edge dla systemu iOS (44.8.7 i nowsze)
• Office, Word, Excel, PowerPoint dla systemu iOS (2.41 i nowsze)
• OneDrive dla systemu iOS (10.34 i nowsze)
• Program OneNote dla systemu iOS (2.41 lub nowszy)
• Outlook dla systemu iOS (2.99.0 i nowsze)
• Teams for iOS (2.0.15 i nowsze)

Wymagaj skonfigurowanych kont organizacji w aplikacjach

Na zarejestrowanych urządzeniach organizacje mogą wymagać zalogowania konta służbowego do zarządzanych aplikacji firmy Microsoft w celu odbierania danych organizacji z innych zarządzanych aplikacji. Rozważmy na przykład scenariusz, w którym użytkownik ma załączniki zawarte w wiadomościach e-mail zawartych w zarządzanym profilu poczty e-mail znajdującym się w natywnym kliencie poczty systemu iOS. Jeśli użytkownik spróbuje przenieść załączniki do aplikacji firmy Microsoft, takiej jak Pakiet Office, która jest zarządzana na urządzeniu i ma zastosowane te klucze, wówczas ta konfiguracja będzie traktować przesłany załącznik jako dane organizacji, wymagając zalogowania konta służbowego i wymuszania ustawień zasad ochrony aplikacji.

W przypadku urządzeń z systemem iOS/iPadOS użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane dla każdej aplikacji firmy Microsoft:

Klucz	Wartości
IntuneMAMRequireAccounts	Włączone: aplikacja wymaga od użytkownika zalogowania się do zarządzanego konta użytkownika zdefiniowanego przez klucz IntuneMAMUPN w celu odebrania danych organizacji. Wyłączone (lub dowolna wartość, która nie jest uwzględniana wielkości liter do włączonej): nie jest wymagane logowanie do konta
IntuneMAMUPN	Nazwa UPN konta, które może się zalogować do aplikacji. W przypadku Intune zarejestrowanych urządzeń {{userprincipalname}} token może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Aplikacje muszą mieć zestaw SDK aplikacji Intune dla systemu iOS w wersji 12.3.3 lub nowszej i być objęte zasadami ochrony aplikacji Intune w przypadku konieczności logowania się do konta służbowego. W ramach zasad ochrony aplikacji wartość "Odbieranie danych z innych aplikacji" musi być ustawiona na "Wszystkie aplikacje z przychodzącymi danymi organizacji".

Obecnie logowanie do aplikacji jest wymagane tylko wtedy, gdy do aplikacji docelowej są przychodzące dane organizacji.

Wprowadzanie danych XML

Możesz wpisać lub wkleić listę właściwości XML zawierającą ustawienia konfiguracji aplikacji dla urządzeń zarejestrowanych w Intune. Format listy właściwości XML różni się w zależności od skonfigurowanej aplikacji. Aby uzyskać szczegółowe informacje o dokładnym formacie do użycia, skontaktuj się z dostawcą aplikacji.

Intune weryfikuje format XML. Jednak Intune nie sprawdza, czy lista właściwości XML (PList) współpracuje z aplikacją docelową.

Aby dowiedzieć się więcej o listach właściwości XML:

• Zapoznaj się z artykułem Understand XML Property Listy in the iOS Developer Library (Omówienie Listy właściwości XML w bibliotece deweloperów systemu iOS).

Przykładowy format pliku XML konfiguracji aplikacji

Podczas tworzenia pliku konfiguracji aplikacji można określić co najmniej jedną z następujących wartości przy użyciu tego formatu:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Obsługiwane typy danych XML PList

Intune obsługuje następujące typy danych na liście właściwości:

• <Liczba całkowita>
• <Prawdziwe>
• <Ciąg>
• <Tablicy>
• <Dict>
• <true /> lub <false />

Tokeny używane na liście właściwości

Ponadto Intune obsługuje następujące typy tokenów na liście właściwości:

• {{userprincipalname}}— na przykład John@contoso.com
• {{mail}}— na przykład John@contoso.com
• {{partialupn}}— na przykład Jan
• {{accountid}}— na przykład fc0dc142-71d8-4b12-bbea-bae2a8514c81
• {{deviceid}}— na przykład b9841cd9-9843-405f-be28-b2265c59ef97
• {{userid}}— na przykład 3ec2c00f-b125-4519-acf0-302ac3761822
• {{username}}— na przykład John Doe
• {{serialnumber}}— na przykład F4KN99ZUG5V2 (dla urządzeń z systemem iOS/iPadOS)
• {{serialnumberlast4digits}}— na przykład G5V2 (dla urządzeń z systemem iOS/iPadOS)
• {{aaddeviceid}}— na przykład ab0dc123-45d6-7e89-aabb-cde0a1234b56
• {{issupervised}}— na przykład True (dla urządzeń z systemem iOS/iPadOS)

Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemem iOS i iPadOS zarejestrowanych w zautomatyzowanej rejestracji urządzeń

Automatyczne rejestracje urządzeń firmy Apple nie są domyślnie zgodne z wersją aplikacji Portal firmy ze sklepu App Store. Można jednak skonfigurować aplikację Portal firmy do obsługi urządzeń z systemem iOS/iPadOS ADE nawet wtedy, gdy użytkownicy pobrali Portal firmy z App Store, wykonując poniższe kroki.

1. W Microsoft Intune centrum administracyjnym dodaj aplikację Intune — Portal firmy, jeśli nie została jeszcze dodana, przechodząc do pozycji AplikacjeWszystkie aplikacje>>Dodaj>aplikację ze sklepu dla systemu iOS.

2. Przejdź do pozycji Aplikacje>Zasady konfiguracji aplikacji, aby utworzyć zasady konfiguracji aplikacji dla aplikacji Portal firmy.

3. Utwórz zasady konfiguracji aplikacji przy użyciu poniższego kodu XML. Więcej informacji na temat tworzenia zasad konfiguracji aplikacji i wprowadzania danych XML można znaleźć w temacie Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.

   • Użyj Portal firmy na urządzeniu zautomatyzowanej rejestracji urządzeń (ADE) zarejestrowanym z koligacją użytkownika:

     Uwaga

     Jeśli w profilu rejestracji ustawiono wartość "Zainstaluj Portal firmy", Intune automatycznie wypycha poniższe zasady konfiguracji aplikacji w ramach początkowego procesu rejestracji. Tej konfiguracji nie należy wdrażać ręcznie dla użytkowników lub urządzeń, ponieważ spowoduje to konflikt z ładunkiem już wysłanym podczas rejestracji, co spowoduje, że użytkownicy końcowi zostaną poproszeni o pobranie nowego profilu zarządzania po zalogowaniu się do Portal firmy (jeśli nie powinni, ponieważ na tych urządzeniach jest już zainstalowany profil zarządzania).

     <dict>
         <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
         <dict>
             <key>IntuneDeviceId</key>
             <string>{{deviceid}}</string>
             <key>UserId</key>
             <string>{{userid}}</string>
         </dict>
     </dict>
     

   • Użyj Portal firmy na urządzeniu ADE zarejestrowanym bez koligacji użytkownika (znanej również jako Przemieszczanie urządzenia)::

     Uwaga

     Użytkownik logujący się do Portal firmy jest ustawiony jako użytkownik podstawowy urządzenia.

     <dict>
         <key>IntuneUDAUserlessDevice</key>
         <string>{{SIGNEDDEVICEID}}</string>
     </dict>
     

4. Wdróż Portal firmy na urządzeniach z zasadami konfiguracji aplikacji przeznaczonymi dla żądanych grup. Pamiętaj, aby wdrożyć zasady tylko w grupach urządzeń, które są już zarejestrowane w usłudze ADE.

5. Poinformuj użytkowników końcowych, aby zalogowali się do aplikacji Portal firmy, gdy zostanie ona zainstalowana automatycznie.

Uwaga

Po dodaniu konfiguracji aplikacji w celu zezwolenia aplikacji Portal firmy na urządzeniach ADE bez koligacji użytkownika może wystąpić STATE Policy Errorbłąd . W przeciwieństwie do innych konfiguracji aplikacji ta sytuacja nie ma zastosowania za każdym razem, gdy urządzenie się zaewidencjonuje. Zamiast tego ta konfiguracja aplikacji ma być jednorazową operacją umożliwiającą rejestrowanie istniejących urządzeń bez koligacji użytkownika w celu uzyskania koligacji użytkownika, gdy użytkownik zaloguje się do Portal firmy. Ta konfiguracja aplikacji zostanie usunięta z zasad w tle po jej pomyślnym zastosowaniu. Przypisanie zasad będzie istnieć, ale nie będzie raportować "powodzenia" po usunięciu konfiguracji aplikacji w tle. Po zastosowaniu zasad konfiguracji aplikacji do urządzenia można cofnąć przypisanie zasad.

Monitorowanie stanu konfiguracji aplikacji dla systemu iOS/iPadOS na urządzeniu

Po przypisaniu zasad konfiguracji można monitorować stan konfiguracji aplikacji systemu iOS/iPadOS dla każdego zarządzanego urządzenia. W Microsoft Intune w centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Wszystkie urządzenia. Z listy urządzeń zarządzanych wybierz określone urządzenie, aby wyświetlić okienko dla urządzenia. W okienku urządzenia wybierz pozycję Konfiguracja aplikacji.

Informacje dodatkowe

• Wdrażanie ustawień konfiguracji aplikacji Outlook dla systemów iOS/iPadOS i Android

Następne kroki

Kontynuuj przypisywanie i monitorowanie aplikacji.