Adicionar políticas de configuração de aplicativos para dispositivos geridos iOS/iPadOS

  • Artigo

Utilize as políticas de configuração de aplicativos em Microsoft Intune para fornecer configurações de configuração personalizadas para uma aplicação iOS/iPadOS. Estas configurações permitem que uma aplicação seja personalizada com base na direção dos fornecedores de aplicações. Pode obter estas definições de configuração (chaves e valores) junto do fornecedor da aplicação. Para configurar a aplicação, terá de especificar as definições como chaves e valores, ou como XML com chaves e valores.

Enquanto administrador do Microsoft Intune, pode controlar as contas de utilizadores que são adicionadas a aplicações do Microsoft Office em dispositivos geridos. Pode limitar o acesso exclusivamente a contas de utilizadores autorizadas e bloquear contas pessoais em dispositivos inscritos. As aplicações de apoio processam a configuração da aplicação e removem e bloqueiam contas não aprovadas. As definições de políticas de configuração são utilizadas quando a aplicação as procura, normalmente quando é executada pela primeira vez.

Depois de adicionar uma política de configuração da aplicação, pode definir as atribuições dessa política. Quando definir as atribuições da política, poderá optar por incluir e excluir os grupos de utilizadores aos quais a política será aplicada. Quando escolher incluir um ou mais grupos, poderá optar por selecionar grupos específicos para incluir ou selecionar grupos incorporados. Os grupos incorporados incluem Todos os Utilizadores, Todos os Dispositivos e Todos os Utilizadores e Todos os Dispositivos.

Nota

O Intune fornece os grupos Todos os Utilizadores e Todos os Dispositivos pré-criados na consola com otimizações incorporadas para sua comodidade. É altamente recomendável que utilize estes grupos para direcionar todos os utilizadores e todos os dispositivos em vez de quaisquer grupos de "Todos os utilizadores" ou "Todos os dispositivos" que possa ter criado.

Depois de selecionar os grupos a incluir na sua política de configuração da aplicação, também poderá escolher os grupos específicos a excluir. Para obter mais informações, veja Incluir e excluir atribuições de aplicações no Microsoft Intune.

Dica

Este tipo de política encontra-se atualmente disponível apenas para dispositivos com iOS/iPadOS 8.0 e posteriormente. Suporta os seguintes tipos de instalação de aplicações:

  • Aplicação gerida para iOS/iPadOS a partir da loja de aplicações
  • Pacote de aplicações para iOS

Para obter mais informações sobre os tipos de instalação de aplicações, veja How to add an app to Microsoft Intune (Como adicionar uma aplicação ao Microsoft Intune). Para obter mais informações sobre a incorporação de app config no seu pacote de aplicações .ipa para dispositivos geridos, consulte a Configuração de Aplicações Geridas na documentação do desenvolvedor do iOS.

Criar uma política de configuração de aplicação

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Escolha as políticas de > configuração da Aplicação apps > Adicionar > dispositivos geridos. Note que pode escolher entre dispositivos geridos e aplicações geridas. Para obter mais informações consulte Apps que suportam a configuração da aplicação.

  3. Na página Basics, desa uma definição dos seguintes detalhes:

    • Nome - O nome do perfil que aparece no centro de administração Microsoft Endpoint Manager.
    • Descrição - A descrição do perfil que aparece no centro de administração Microsoft Endpoint Manager.
    • Tipo de inscrição do dispositivo - Esta definição está definida para dispositivos geridos.

  4. Selecione o iOS/iPadOS como plataforma.

  5. Clique em Selecionar aplicativo ao lado da aplicação Targeted. É apresentado o painel de aplicações Associado.

  6. No painel de aplicações targeted, escolha a app gerida para associar-se à política de configuração e clique em OK.

  7. Clique ao lado para exibir a página Definições.

  8. Na caixa de entrega, selecione o formato configuração. Selecione um dos seguintes métodos para adicionar informações de configuração:

  9. Clique ao lado para exibir a página atribuições.

  10. Na caixa de dropdown ao lado de Atribua a, selecione ou grupos selecionados, Todos os utilizadores, Todos os dispositivos ou todos os utilizadores e todos os devies para atribuir a política de configuração da aplicação.

    Captura de ecrã do separador Atribuições de política – Incluir

  11. Selecione Todos os utilizadores na caixa de entrega.

    Captura de ecrã do menu pendente Atribuições de política – Todos os Utilizadores

  12. Clique em Selecionar grupos para excluir para apresentar o painel relacionado.

    Screenshot das atribuições de Política - Selecione grupos para excluir o painel

  13. Escolha os grupos que pretende excluir e, em seguida, clique em Selecionar.

    Nota

    Ao adicionar um grupo, se outro grupo já tiver sido incluído num determinado tipo de atribuição, o mesmo estará pré-selecionado e inalterável para outras atribuições de inclusão. Por conseguinte, esse grupo que foi utilizado não poderá ser utilizado como um grupo excluído.

  14. Clique em Seguinte para exibir a página 'Rever +' criar.

  15. Clique em Criar para adicionar a política de configuração da aplicação ao Intune.

Utilizar o estruturador de configuração

O Microsoft Intune disponibiliza definições de configuração exclusivas para uma aplicação. Pode utilizar o estruturador de configuração para as aplicações em dispositivos inscritos ou não inscritos no Microsoft Intune. O estruturador permite-lhe configurar chaves e valores de configuração específicos que o ajudam a criar o XLM subjacente. Também tem de especificar o tipo de dados para cada valor. Estas definições são fornecidas para aplicações automaticamente quando estas são instaladas.

Adicionar uma definição

  1. Para cada chave e valor na configuração, defina:
    • Chave de configuração - A chave sensível ao caso que identifica exclusivamente a configuração de configuração específica.
    • Tipo de valor – o tipo de dados do valor de configuração. Os tipos incluem Número Inteiro, Real, Cadeia ou Booleano.
    • Valor de configuração – o valor da configuração.
  2. Selecione OK para definir as definições de configuração.

Eliminar uma definição

  1. Selecione as reticências (...) junto à definição.
  2. Selecione Eliminar.

Os carateres {{ e }} são utilizados apenas por tipos de token e não devem ser utilizados para outros fins.

Permitir apenas contas de organização configuradas em apps

Como administrador Microsoft Intune, pode controlar quais contas de trabalho ou escola são adicionadas às aplicações da Microsoft em dispositivos geridos. Pode limitar o acesso a apenas contas de utilizadores de organização permitidas e bloquear contas pessoais dentro das aplicações (se suportadas) em dispositivos inscritos. Para dispositivos iOS/iPadOS, utilize os seguintes pares de chaves/valor numa política de configuração de aplicações de dispositivos geridos:

Chave Valores
IntuneMAMAllowedAccountsOnly
  • Ativada: a única conta autorizada é a conta de utilizador gerido definida pela chave IntuneMAMUPN.
  • Desativado (ou qualquer valor que não seja sensível a maiúsculas/minúsculas que corresponda a ativado): qualquer conta é permitida.
IntuneMAMUPN
  • A UPN da conta permitiu assinar na aplicação.
  • Para os dispositivos inscritos no Intune, o token {{userprincipalname}} pode ser utilizado para representar a conta de utilizador inscrito.

Nota

As seguintes aplicações processam a configuração da aplicação acima e apenas permitem contas da organização:

  • Vantagem para iOS (44.8.7 e posterior)
  • Office, Word, Excel, PowerPoint para iOS (2.41 e mais tarde)
  • OneDrive para iOS (10.34 e mais tarde)
  • OneNote para iOS (2.41 e mais tarde)
  • Outlook para iOS (2.99.0 e mais tarde)
  • Teams para iOS (2.0.15 e mais tarde)

Exigir contas de organização configuradas em apps

Em dispositivos matriculados, as organizações podem exigir que o trabalho ou a conta escolar seja assinado em aplicações geridas da Microsoft para receber dados org de outras aplicações geridas. Por exemplo, considere o cenário em que o utilizador tem anexos incluídos em mensagens de correio eletrónico contidas no perfil de e-mail gerido localizado no cliente de correio eletrónico nativo do iOS. Se o utilizador tentar transferir os anexos para uma aplicação da Microsoft, como Office, que é gerida no dispositivo e tem estas teclas aplicadas, então esta configuração tratará o anexo transferido como dados org, exigindo que o trabalho ou conta escolar seja assinado e aplicando as definições da política de proteção de aplicações.

Para dispositivos iOS/iPadOS, utilize os seguintes pares de chaves/valor numa política de configuração de aplicações de dispositivos geridos para cada aplicação da Microsoft:

Chave Valores
IntuneMAMRequireAccounts
  • Ativada: A aplicação requer que o utilizador faça o sismo na conta de utilizador gerida definida pela chave IntuneMAMUPN para receber dados org.
  • Desativado (ou qualquer valor que não seja um caso insensível corresponde a Ativo): Não é necessário iniciar sing-in de conta
IntuneMAMUPN
  • A UPN da conta permitiu assinar na aplicação.
  • Para os dispositivos inscritos no Intune, o token {{userprincipalname}} pode ser utilizado para representar a conta de utilizador inscrito.

Nota

As aplicações devem ter Intune APP SDK para a versão iOS 12.3.3 ou mais tarde e ser alvo de uma política de proteção de aplicações Intune quando exigir o insusimento para o trabalho ou conta escolar. Dentro da política de proteção de aplicações, o "Receber dados de outras aplicações" deve ser definido como "Todas as aplicações com dados Org de entrada".

Neste momento, o início de sedições da aplicação só é necessário quando há dados org a receber para uma aplicação direcionada.

Introduzir dados XML

Pode escrever ou colar uma lista de propriedades XML que contenha as definições de configuração da aplicação para dispositivos inscritos no Intune. O formato da lista de propriedades XML varia em função da aplicação que está a configurar. Contacte o fornecedor da aplicação para obter detalhes sobre o formato exato a utilizar.

O Intune valida o formato XML. No entanto, o Intune não verifica se a lista de propriedades XML (PList) funciona com a aplicação de destino.

Para saber mais sobre listas de propriedades XML:

Formato de exemplo do ficheiro XML de configuração de aplicação

Quando criar um ficheiro de configuração de aplicação, pode especificar um ou mais dos seguintes valores com este formato:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Tipos de dados de Listas de Propriedades XML suportados

O Intune suporta os seguintes tipos de dados numa lista de propriedades:

  • <inteiro>
  • <real>
  • <cadeia>
  • <matriz>
  • <dict>
  • <verdadeiro /> ou <falso />

Tokens utilizados na lista de propriedades

Além disso, o Intune suporta os seguintes tipos de tokens na lista de propriedades:

  • {{nome de utilizadorprincipal } } — por exemplo, John @ contoso.com
  • {{} } e-mail — por exemplo, John @ contoso.com
  • {{partialupn}} – por exemplo, João
  • {{accountid } } — por exemplo, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} – por exemplo, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid } } — por exemplo, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{nome de utilizador } } — por exemplo, João Ninguém
  • {{número de } } séries — por exemplo, F4KN99ZUG5V2 (para dispositivos iOS/iPadOS)
  • {{serialnumberlast4digits } } — por exemplo, G5V2 (para dispositivos iOS/iPadOS)
  • {{aaddeviceid}} – por exemplo, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{emissor — } } por exemplo, True (para dispositivos iOS/iPadOS)

Configure a aplicação Portal da Empresa para suporte a dispositivos iOS e iPadOS matriculados com Inscrição automática de Dispositivos

As inscrições para dispositivos automatizados da Apple não são compatíveis com a versão da app Portal da Empresa por padrão. No entanto, é possível configurar a aplicação Portal da Empresa para suportar dispositivos DEP iOS/iPadOS, mesmo quando os utilizadores descarregaram o Portal da Empresa da App Store utilizando os seguintes passos.

  1. No Microsoft Endpoint Manager centro de administração, adicione a aplicação Portal da Empresa do Intune se ainda não tiver sido adicionada, indo para apps Todas > as aplicações > Add.

  2. Vá às políticas de > configuração da App apps , para criar uma política de configuração de aplicações para a aplicação Portal da Empresa.

  3. Crie uma política de configuração de aplicativos com o XML abaixo. Mais informações sobre como criar uma política de configuração de aplicações e introduzir dados XML podem ser encontradas nas políticas de configuração de aplicações Add para dispositivos iOS/iPadOS geridos.

    • Utilize o Portal da Empresa num dispositivo de inscrição de dispositivo automatizado (ADE) matriculado com afinidade do utilizador:

      Nota

      Este processo não é necessário para dispositivos iOS/iPadOS que se matriculam com ADE através do Assistente de Configuração com a autenticação moderna. Além disso, isto não é necessário para dispositivos que se matriculam com ADE com afinidade do utilizador se estiver a ser utilizado um token VPP para enviar a aplicação Portal da Empresa para o dispositivo.

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Utilize o Portal da Empresa num dispositivo DEP matriculado sem afinidade do utilizador (também conhecido como Device Staging):

      Nota

      O utilizador que iniciará a sessão para Portal da Empresa é definido como o principal utilizador do dispositivo.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Implemente o Portal da Empresa para dispositivos com a política de configuração da aplicação direcionada aos grupos pretendidos. Certifique-se de que apenas implementa a política para grupos de dispositivos que já estão matriculados de DEP.

  5. Informe os utilizadores finais para se inscreverem na aplicação Portal da Empresa quando esta for instalada automaticamente.

Nota

Quando adicionar uma configuração de aplicação para permitir que a aplicação Portal da Empresa em dispositivos DEP sem afinidade do utilizador, poderá experimentar um STATE Policy Error . Ao contrário de outras configurações de aplicações, esta situação não se aplica sempre que o dispositivo faz o check-in. Em vez disso, esta configuração da aplicação destina-se a ser uma operação única para permitir que os dispositivos existentes matriculados sem afinidade do utilizador atinjam a afinidade do utilizador quando um utilizador assina no Portal da Empresa. Esta configuração da aplicação é removida da política em segundo plano uma vez que tenha sido aplicada com sucesso. A atribuição de políticas existirá, mas não reportará "sucesso" uma vez que a configuração da aplicação seja removida em segundo plano. Uma vez aplicada a política de configuração da aplicação do dispositivo, pode desatribuição da política.

Monitorize o estado de configuração da aplicação iOS/iPadOS por dispositivo

Uma vez atribuída uma política de configuração, pode monitorizar o estado de configuração da aplicação iOS/iPadOS para cada dispositivo gerido. A partir de Microsoft Intune no centro de administração Microsoft Endpoint Manager, selecione Dispositivos > Todos os dispositivos. A partir da lista de dispositivos geridos, selecione um dispositivo específico para exibir um painel para o dispositivo. No painel do dispositivo, selecione a configuração da Aplicação.

Informações adicionais

Passos seguintes

Continue a atribuir e monitorizar a aplicação.