Políticas de configuração do aplicativo para o Microsoft Intune

As políticas de configuração de aplicações podem ajudá-lo a eliminar problemas de configuração de aplicações ao permitir-lhe atribuir definições de configuração a uma política atribuída aos utilizadores finais antes de executarem a aplicação. As definições são fornecidas automaticamente quando a aplicação é configurada no dispositivo dos utilizadores finais e os utilizadores finais não precisam de tomar medidas. As definições de configuração são exclusivas para cada aplicativo.

Pode criar e utilizar políticas de configuração de aplicações para fornecer definições de configuração para aplicações iOS/iPadOS ou Android. Essas definições de configuração permitem que um aplicativo seja personalizado usando a configuração e o gerenciamento do aplicativo. As definições de política de configuração são usadas quando o aplicativo verifica essas configurações, normalmente na primeira vez que o aplicativo é executado.

Uma definição de configuração da aplicação, por exemplo, pode exigir que especifique qualquer um dos seguintes detalhes:

• Um número de porta personalizado
• Opções de linguagem
• Configurações de segurança
• Configurações de marca, como um logotipo da empresa

Em vez disso, se os utilizadores finais introduzissem estas definições, poderiam fazê-lo incorretamente. As políticas de configuração de aplicações podem ajudar a fornecer consistência numa empresa e reduzir as chamadas de suporte técnico de utilizadores finais que tentam configurar as definições por conta própria. Ao usar políticas de configuração de aplicativos, a adoção de novos aplicativos pode ser mais fácil e rápida.

Os parâmetros de configuração disponíveis e a implementação dos parâmetros de configuração são decididos pelos desenvolvedores do aplicativo. A documentação do fornecedor do aplicativo deve ser revisada para ver quais configurações estão disponíveis e como as configurações influenciam o comportamento do aplicativo. Para alguns aplicativos, o Intune preencherá as definições de configuração disponíveis.

Observação

Na Managed Google Play Store, os aplicativos compatíveis com a configuração serão marcados como:

Só verá aplicações da Google Play Store Gerida, não da Google Play Store, quando utilizar Dispositivos Geridos como o Tipo de Inscrição para dispositivos Android.

Pode atribuir uma política de configuração de aplicações a um grupo de utilizadores finais e dispositivos através de uma combinação de atribuições de inclusão e exclusão. Como parte do processo para adicionar ou atualizar uma política de configuração de aplicações, pode definir as atribuições para a política de configuração da aplicação. Quando definir as atribuições para a política, pode optar por incluir e excluir os grupos de utilizadores finais aos quais a política se aplica. Quando opta por incluir um ou mais grupos, pode optar por selecionar grupos específicos para incluir ou selecionar grupos incorporados. Os grupos integrados incluem Todos os Usuários, Todos os Dispositivos e Todos os Usuários + Todos os Dispositivos.

Também pode utilizar filtros para refinar o âmbito de atribuição ao implementar políticas de configuração de aplicações para dispositivos iOS e Android geridos. Primeiro, tem de criar um filtro com qualquer uma das propriedades disponíveis para iOS e Android. Em seguida, no centro de administração do Microsoft Intune, pode atribuir a política de configuração da aplicação gerida ao selecionarPolíticas de configuração de aplicações>Políticasde configuração de aplicações > Adicionar >dispositivos geridos e aceder à página de atribuição. Depois de selecionar um grupo, pode refinar a aplicabilidade da política ao escolher um filtro e decidir utilizá-lo no modo Incluir ou Excluir .

A carga de trabalho da política de configuração de aplicações fornece uma lista de políticas de configuração de aplicações que foram criadas para o seu inquilino. Esta lista fornece detalhes, como Nome, Plataforma, Atualizado, Tipo de Inscrição e Tags de Escopo. Para obter detalhes adicionais sobre uma política de configuração de aplicações específica, selecione a política. No painel Descrição Geral da política, pode ver detalhes específicos, como o estado da política com base no dispositivo e com base no utilizador, bem como se a política foi atribuída.

Aplicativos que oferecem suporte à configuração de aplicativos

A configuração da aplicação pode ser fornecida através do canal de SO de gestão de dispositivos móveis (MDM) em dispositivos inscritos (canal de Configuração de Aplicações Geridas para iOS ou Android no canal Enterprise para Android) ou através do canal gestão de aplicações móveis (MAM).

O Intune representa esses diferentes canais de política de configuração de aplicativo como:

• Dispositivos geridos – o dispositivo é gerido pelo Intune como o fornecedor de gestão de pontos finais unificado. O aplicativo deve ser fixado no perfil de gerenciamento no iOS/iPadOS ou implantado por meio do Managed Google Play em dispositivos Android. Além disso, o aplicativo suporta a configuração de aplicativo desejada.
• Aplicações geridas – uma aplicação que integrou o SDK da Aplicação intune ou foi encapsulada com a Ferramenta de Encapsulamento do Intune e suporta Políticas de Proteção de Aplicações (APP). Nesta configuração, nem o estado de inscrição do dispositivo nem a forma como a aplicação é entregue à matéria do dispositivo. O aplicativo suporta a configuração de aplicativo desejada.

Os aplicativos podem lidar com as definições de política de configuração do aplicativo de maneira diferente em relação à preferência do usuário. Por exemplo, com o Outlook para iOS e Android, a configuração do aplicativo Caixa de entrada Destaques respeitará a configuração do usuário, permitindo que o usuário substitua a intenção do administrador. Outras definições podem permitir-lhe controlar se um utilizador pode ou não alterar a definição com base na intenção de administrador.

Observação

O Intune exige o Android 8.x ou superior para cenários de registro de dispositivos e configuração de aplicativos fornecidos por meio de políticas de configuração de aplicativos de dispositivos gerenciados. Este requisito não se aplica a dispositivos Android do Microsoft Teams, uma vez que estes dispositivos continuarão a ser suportados.

Para políticas de proteção de aplicativos do Intune e configuração de aplicativos fornecidos por meio de políticas de configuração de aplicativos de aplicativos gerenciados, o Intune exige o Android 9.0 ou superior.

Dispositivos gerenciados

Selecionar Dispositivos geridos como o Tipo de Inscrição de Dispositivos refere-se especificamente às aplicações implementadas pelo Intune no dispositivo inscrito e, portanto, são geridas pelo Intune como fornecedor de inscrição.

Para suportar a configuração de aplicações implementadas através do Intune em dispositivos inscritos, as aplicações têm de ser escritas para suportar a utilização de configurações de aplicações, conforme definido pelo SO. Consulte o fornecedor da aplicação para obter detalhes sobre as chaves de configuração de aplicações que suportam para entrega através do canal de SO MDM. Geralmente, há quatro cenários para entrega de configuração de aplicativo usando o canal MDM OS:

• Permitir apenas contas corporativas ou de estudante
• Configurações de configuração da conta
• Configurações gerais do aplicativo
• Configurações de S/MIME

Aplicativos gerenciado

A seleção de Aplicativos gerenciados como o Tipo de Inscrição de Dispositivo refere-se especificamente a aplicativos configurados com uma Política de Proteção de Aplicativos do Intune em dispositivos, independentemente do estado de inscrição.

Para oferecer suporte à configuração do aplicativo por meio do canal MAM, o aplicativo deve ser integrado ao SDK de Aplicativo do Intune. Os aplicativos de linha de negócios podem integrar o SDK de Aplicativo do Intune ou usar a Ferramenta de Encapsulamento de Aplicativo do Intune. Para obter uma comparação entre o SDK de Aplicativo do Intune e a Ferramenta de encapsulamento de aplicativo do Intune, consulte Preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.

A entrega da configuração da aplicação através do canal MAM não requer que o dispositivo seja inscrito ou que a aplicação seja gerida ou entregue através da solução de gestão de pontos finais unificada. Há três cenários para entrega de configuração de aplicativo usando o canal MAM:

• Configurações gerais do aplicativo
• Configurações de S/MIME
• Definições avançadas de proteção de dados da APLICAÇÃO que expandem as capacidades oferecidas pelas Políticas de Proteção de Aplicações

Observação

As aplicações geridas do Intune darão entrada com um intervalo de 30 minutos para o estado da Política de Configuração da Aplicação Intune, quando implementadas em conjunto com uma Política de Proteção de Aplicações do Intune. Se uma Política de Proteção de Aplicativo do Intune não for atribuída ao usuário, o intervalo de check-in da Política de Configuração de Aplicativo do Intune será definido como 720 minutos.

Para obter informações sobre quais aplicativos oferecem suporte à configuração de aplicativos por meio do canal MAM, consulte Aplicativos protegidos do Microsoft Intune.

Políticas de configuração do aplicativo Android Enterprise

Para políticas de configuração de aplicações Android Enterprise, pode selecionar o tipo de inscrição de dispositivos antes de criar um perfil de configuração de aplicação. Você pode contabilizar perfis de certificado baseados no tipo de inscrição.

O tipo de inscrição pode ser um dos seguintes:

• Todos os Tipos de Perfil: se for criado um novo perfil e todos os Tipos de Perfil estiverem selecionados para o tipo de inscrição de dispositivos, não poderá associar um perfil de certificado à política de configuração da aplicação. Esta opção suporta autenticação de senha e nome de usuário. Se utilizar a autenticação baseada em certificados, não utilize esta opção.
• Apenas Perfil de Trabalho Totalmente Gerido, Dedicado e Corporate-Owned: se for criado um novo perfil e estiver selecionado Totalmente Gerido, Dedicado e Apenas perfil de trabalho Corporate-Owned , podem ser utilizadas as políticas de certificado Perfil de Trabalho Totalmente Gerido, Dedicado e Corporate-Owned criados em Dispositivos>Gerir dispositivos>Configuração . Esta opção suporta autenticação baseada em certificado e autenticação de nome de usuário e senha. Totalmente Gerido está relacionado com dispositivos totalmente geridos (COBO) do Android Enterprise. Dedicado está relacionado com dispositivos dedicados (COSU) do Android Enterprise. O Perfil de Trabalho Pertencente à Empresa está relacionado com o perfil de trabalho da empresa (COPE) do Android Enterprise.
• Apenas Perfil de Trabalho Pessoal: se for criado um novo perfil e Apenas o Perfil de Trabalho Pessoal estiver selecionado, as políticas de certificado de Perfil de Trabalho criadas em Dispositivos>Gerir dispositivos>Configuração podem ser utilizadas. Esta opção suporta autenticação baseada em certificado e autenticação de nome de usuário e senha.

Observação

Se implementar um perfil de configuração do Gmail ou Nove num perfil de trabalho de dispositivo dedicado do Android Enterprise que não envolva um utilizador, este falhará porque o Intune não consegue resolver o utilizador.

Importante

As políticas existentes criadas antes do lançamento desta funcionalidade (versão de abril de 2020 - 2004) que não têm perfis de certificado associados à política serão predefinidas para Todos os Tipos de Perfil para o tipo de inscrição de dispositivos. Além disso, as políticas existentes criadas antes do lançamento desta funcionalidade que têm perfis de certificado associados serão predefinidas apenas para o Perfil de Trabalho.

As políticas existentes não irão remediar ou emitir novos certificados.

Validar a política de configuração do aplicativo aplicada

Pode validar a política de configuração da aplicação com os três métodos seguintes:

1. Verifique a política de configuração do aplicativo visivelmente no dispositivo. Confirme se o aplicativo de destino está exibindo o comportamento aplicado na política de configuração do aplicativo.

2. Verifique através dos Registos de Diagnóstico (veja a secção Registos de Diagnóstico abaixo).

3. Verifique no centro de administração do Microsoft Intune. No centro de administração do Microsoft Intune, selecioneAplicações>Todas as aplicações>selecione a aplicação relacionada*. Em seguida, na secção Monitor , selecione Estado de instalação do dispositivo: o Relatório de Estado de Instalação do Dispositivo monitoriza as últimas verificações de todos os dispositivos para os quais a política de configuração foi direcionada.

   Além disso, no centro de administração do Microsoft Intune, selecioneDispositivos>Todos os Dispositivos>selecione umaconfiguração da Aplicação do dispositivo>. O painel configuração da aplicação** apresentará todas as políticas atribuídas e o respetivo estado:

   

Registos de Diagnóstico

Configuração do iOS/iPadOS em dispositivos não geridos

Pode validar a configuração do iOS/iPadOS com o Registo de Diagnósticos do Intune para definições implementadas através das políticas de configuração de aplicações geridas. Além dos passos abaixo, pode aceder aos registos de aplicações geridas com o Microsoft Edge. Para obter mais informações, veja Utilizar o Microsoft Edge para iOS e Android para aceder aos registos de aplicações geridas.

1. Se ainda não estiver instalado no dispositivo, transfira e instale o Microsoft Edge a partir da App Store. Para obter mais informações, veja Aplicações protegidas pelo Microsoft Intune.

2. Inicie o Microsoft Edge e introduza about:intunehelp na caixa de endereço.

3. Clique em Introdução.

4. Clique em Partilhar Registos.

5. Utilize a aplicação de correio à sua escolha para enviar o registo para si próprio para que possam ser visualizados no seu PC.

6. RevejaIntuneMAMDiagnostics.txt no visualizador de ficheiros de texto.

7. Pesquise por ApplicationConfiguration. Os resultados terão o seguinte aspeto:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

Os detalhes de configuração da aplicação devem corresponder às políticas de configuração da aplicação configuradas para o seu inquilino.

Configuração do iOS/iPadOS em dispositivos geridos

Pode validar a configuração do iOS/iPadOS com o Registo de Diagnósticos do Intune em dispositivos geridos para configuração de aplicações geridas.

1. Se ainda não estiver instalado no dispositivo, transfira e instale o Microsoft Edge a partir da App Store. Para obter mais informações, veja Aplicações protegidas pelo Microsoft Intune.
2. Inicie o Microsoft Edge e introduza about:intunehelp na caixa de endereço.
3. Clique em Introdução.
4. Clique em Partilhar Registos.
5. Utilize a aplicação de correio à sua escolha para enviar o registo para si próprio para que possam ser visualizados no seu PC.
6. RevejaIntuneMAMDiagnostics.txt no visualizador de ficheiros de texto.
7. Pesquise por AppConfig. Os resultados devem corresponder às políticas de configuração da aplicação configuradas para o seu inquilino.

Configuração do Android em dispositivos geridos

Pode validar a configuração do Android com o Registo de Diagnósticos do Intune em dispositivos geridos para configuração de aplicações geridas.

Para recolher registos de um dispositivo Android, o utilizador ou o utilizador final têm de transferir os registos do dispositivo através de uma ligação USB (ou equivalente ao Explorador de Ficheiros no dispositivo). Estas são as etapas:

1. Ligue o dispositivo Android ao computador com o cabo USB.

2. No computador, procure um diretório que tenha o nome do seu dispositivo. Nesse diretório, localize Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

3. com.microsoft.windowsintune.companyportal Na pasta, abra a pasta Ficheiros e abra OMADMLog_0.

4. Procure para AppConfigHelper encontrar mensagens relacionadas com a configuração da aplicação. Os resultados terão um aspeto semelhante ao seguinte bloco de dados:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Suporte da Graph API para configuração de aplicações

Pode utilizar a Graph API para realizar tarefas de configuração de aplicações. Para obter detalhes, veja Graph API Reference MAM Targeted Config (Configuração de MAM de Referência da API do Graph). Para obter mais informações sobre o Intune e o Graph, veja Trabalhar com o Intune no Microsoft Graph.

Solução de problemas

Utilizar registos para mostrar um parâmetro de configuração

Quando os registos mostram um parâmetro de configuração confirmado como estando a ser aplicado, mas que parece não funcionar, poderá existir um problema com a implementação da configuração por parte do programador da aplicação. Contactar primeiro esse programador de aplicações ou verificar a respetiva base de dados de conhecimento poderá poupar-lhe uma chamada de suporte junto da Microsoft. Se for um problema com a forma como a configuração está a ser processada numa aplicação, terá de ser resolvida numa futura versão atualizada dessa aplicação.

Próximas etapas

Dispositivos gerenciados

• Saiba como utilizar a configuração de aplicações com os seus dispositivos iOS/iPadOS. Veja Adicionar políticas de configuração de aplicações para dispositivos iOS/iPadOS geridos.
• Saiba como utilizar a configuração de aplicações com os seus dispositivos Android. Veja Adicionar políticas de configuração de aplicações para dispositivos Android geridos.

Aplicativos gerenciado

• Saiba como utilizar a configuração de aplicações com aplicações geridas. Veja Adicionar políticas de configuração de aplicações para aplicações geridas sem inscrição de dispositivos.