Políticas de configuração do aplicativo para o Microsoft Intune

As políticas de configuração do aplicativo podem ajudá-lo a eliminar problemas de configuração do aplicativo, permitindo que você atribua configurações a uma política atribuída aos usuários finais antes de executar o aplicativo. As configurações são fornecidas automaticamente quando o aplicativo é configurado no dispositivo de usuários finais e os usuários finais não precisam agir. As definições de configuração são exclusivas para cada aplicativo.

Você pode criar e usar políticas de configuração de aplicativo para fornecer configurações para aplicativos iOS/iPadOS ou Android. Essas definições de configuração permitem que um aplicativo seja personalizado usando a configuração e o gerenciamento do aplicativo. As definições de política de configuração são usadas quando o aplicativo verifica essas configurações, normalmente na primeira vez que o aplicativo é executado.

Uma configuração de aplicativo, por exemplo, pode exigir que você especifique qualquer um dos seguintes detalhes:

• Um número de porta personalizado
• Opções de linguagem
• Configurações de segurança
• Configurações de marca, como um logotipo da empresa

Se os usuários finais inserissem essas configurações, eles poderiam fazer isso incorretamente. As políticas de configuração de aplicativo podem ajudar a fornecer consistência em uma empresa e reduzir as chamadas auxiliares de usuários finais que tentam configurar as configurações por conta própria. Ao usar políticas de configuração de aplicativos, a adoção de novos aplicativos pode ser mais fácil e rápida.

Os parâmetros de configuração disponíveis e a implementação dos parâmetros de configuração são decididos pelos desenvolvedores do aplicativo. A documentação do fornecedor do aplicativo deve ser revisada para ver quais configurações estão disponíveis e como as configurações influenciam o comportamento do aplicativo. Para alguns aplicativos, o Intune preencherá as definições de configuração disponíveis.

Observação

Na Managed Google Play Store, os aplicativos compatíveis com a configuração serão marcados como:

Você só verá aplicativos da Google Play Store Gerenciada, não da Google Play Store, ao usar Dispositivos Gerenciados como o Tipo de Registro para dispositivos Android.

Você pode atribuir uma política de configuração de aplicativo a um grupo de usuários finais e dispositivos usando uma combinação de atribuições de inclusão e exclusão. Como parte do processo para adicionar ou atualizar uma política de configuração de aplicativo, você pode definir as atribuições para a política de configuração do aplicativo. Ao definir as atribuições para a política, você pode optar por incluir e excluir os grupos de usuários finais para os quais a política se aplica. Ao optar por incluir um ou mais grupos, você pode optar por selecionar grupos específicos para incluir ou selecionar grupos internos. Os grupos integrados incluem Todos os Usuários, Todos os Dispositivos e Todos os Usuários + Todos os Dispositivos.

Você também pode usar filtros para refinar o escopo de atribuição ao implantar políticas de configuração de aplicativo para dispositivos iOS e Android gerenciados. Primeiro, você deve criar um filtro usando qualquer uma das propriedades disponíveis para iOS e Android. Em seguida, em Microsoft Intune centro de administração, você pode atribuir sua política de configuração de aplicativo gerenciado selecionandopolíticas> de configuração de aplicativo de aplicativos>Adicionar>dispositivos gerenciados e ir para a página de atribuição. Depois de selecionar um grupo, você pode refinar a aplicabilidade da política escolhendo um filtro e decidindo usá-lo no modo Incluir ou Excluir .

A carga de trabalho da política de configuração do aplicativo fornece uma lista de políticas de configuração de aplicativo que foram criadas para seu locatário. Esta lista fornece detalhes, como Nome, Plataforma, Atualizado, Tipo de Inscrição e Tags de Escopo. Para obter detalhes adicionais sobre uma política de configuração de aplicativo específica, selecione a política. No painel Visão geral da política, você pode ver detalhes específicos, como a política status com base no dispositivo e com base no usuário, bem como se a política foi atribuída.

Aplicativos que oferecem suporte à configuração de aplicativos

A configuração do aplicativo pode ser entregue por meio do canal do sistema operacional MDM (gerenciamento de dispositivo móvel) em dispositivos registrados (canal de Configuração de Aplicativos gerenciado para iOS ou Android no canal Enterprise para Android) ou por meio do canal MAM (Gerenciamento de Aplicativos Móveis).

O Intune representa esses diferentes canais de política de configuração de aplicativo como:

• Dispositivos gerenciados – O dispositivo é gerenciado pelo Intune como o provedor unificado de gerenciamento de ponto de extremidade. O aplicativo deve ser fixado no perfil de gerenciamento no iOS/iPadOS ou implantado por meio do Managed Google Play em dispositivos Android. Além disso, o aplicativo suporta a configuração de aplicativo desejada.
• Aplicativos gerenciados – um aplicativo que integrou o SDK do Aplicativo do Intune ou foi embrulhado usando a Ferramenta de Encapsulamento do Intune e dá suporte a Políticas de Proteção de Aplicativo (APP). Nesta configuração, nem o estado de registro do dispositivo nem como o aplicativo é entregue à questão do dispositivo. O aplicativo suporta a configuração de aplicativo desejada.

Os aplicativos podem lidar com as definições de política de configuração do aplicativo de maneira diferente em relação à preferência do usuário. Por exemplo, com o Outlook para iOS e Android, a configuração do aplicativo Caixa de entrada Destaques respeitará a configuração do usuário, permitindo que o usuário substitua a intenção do administrador. Outras configurações podem permitir que você controle se um usuário pode ou não alterar a configuração com base na intenção de administrador.

Observação

O Intune exige o Android 8.x ou superior para cenários de registro de dispositivos e configuração de aplicativos fornecidos por meio de políticas de configuração de aplicativos de dispositivos gerenciados. Este requisito não se aplica a dispositivos Android do Microsoft Teams, uma vez que estes dispositivos continuarão a ser suportados.

Para políticas de proteção de aplicativos do Intune e configuração de aplicativos fornecidos por meio de políticas de configuração de aplicativos de aplicativos gerenciados, o Intune exige o Android 9.0 ou superior.

Dispositivos gerenciados

Selecionar dispositivos gerenciados como o Tipo de Registro de Dispositivo refere-se especificamente a aplicativos implantados pelo Intune no dispositivo registrado e, portanto, são gerenciados pelo Intune como o provedor de registro.

Para dar suporte à configuração do aplicativo para aplicativos implantados por meio do Intune em dispositivos registrados, os aplicativos devem ser gravados para dar suporte ao uso de configurações de aplicativo conforme definido pelo sistema operacional. Consulte o fornecedor do aplicativo para obter detalhes sobre quais chaves de configuração de aplicativo dão suporte para entrega por meio do canal do sistema operacional MDM. Geralmente, há quatro cenários para entrega de configuração de aplicativo usando o canal MDM OS:

• Permitir apenas contas corporativas ou de estudante
• Configurações de configuração da conta
• Configurações gerais do aplicativo
• Configurações de S/MIME

Aplicativos gerenciado

A seleção de Aplicativos gerenciados como o Tipo de Inscrição de Dispositivo refere-se especificamente a aplicativos configurados com uma Política de Proteção de Aplicativos do Intune em dispositivos, independentemente do estado de inscrição.

Para oferecer suporte à configuração do aplicativo por meio do canal MAM, o aplicativo deve ser integrado ao SDK de Aplicativo do Intune. Os aplicativos de linha de negócios podem integrar o SDK de Aplicativo do Intune ou usar a Ferramenta de Encapsulamento de Aplicativo do Intune. Para obter uma comparação entre o SDK de Aplicativo do Intune e a Ferramenta de encapsulamento de aplicativo do Intune, consulte Preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.

A entrega da configuração do aplicativo por meio do canal MAM não exige que o dispositivo seja registrado ou que o aplicativo seja gerenciado ou entregue por meio da solução unificada de gerenciamento de ponto de extremidade. Há três cenários para entrega de configuração de aplicativo usando o canal MAM:

• Configurações gerais do aplicativo
• Configurações de S/MIME
• Configurações avançadas de proteção de dados do APP que estendem os recursos oferecidos pelas Políticas de Proteção de Aplicativo

Observação

Os aplicativos gerenciados do Intune marcar com um intervalo de 30 minutos para o Intune Configuração de Aplicativos Policy status, quando implantados em conjunto com uma Política de Proteção de Aplicativo do Intune. Se uma Política de Proteção de Aplicativo do Intune não for atribuída ao usuário, o intervalo de check-in da Política de Configuração de Aplicativo do Intune será definido como 720 minutos.

Para obter informações sobre quais aplicativos oferecem suporte à configuração de aplicativos por meio do canal MAM, consulte Aplicativos protegidos do Microsoft Intune.

Políticas de configuração do aplicativo Android Enterprise

Para políticas de configuração do aplicativo Android Enterprise, você pode selecionar o tipo de registro do dispositivo antes de criar um perfil de configuração de aplicativo. Você pode contabilizar perfis de certificado baseados no tipo de inscrição.

O tipo de registro pode ser um dos seguintes:

• Todos os tipos de perfil: se um novo perfil for criado e todos os tipos de perfil estiverem selecionados para o tipo de registro de dispositivo, você não poderá associar um perfil de certificado à política de configuração do aplicativo. Esta opção suporta autenticação de senha e nome de usuário. Se você usar a autenticação baseada em certificado, não use essa opção.
• Somente perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned: se um novo perfil for criado e totalmente gerenciado, dedicado e Corporate-Owned somente o perfil de trabalho for selecionado, as políticas de certificado de Perfil de Trabalho totalmente gerenciadas, dedicadas e Corporate-Owned criadas emConfiguração de Dispositivos poderão ser utilizadas>. Esta opção suporta autenticação baseada em certificado e autenticação de nome de usuário e senha. Totalmente gerenciado refere-se ao COBO (dispositivos totalmente gerenciados) do Android Enterprise. Dedicado se relaciona com o COSU (dispositivos dedicados) do Android Enterprise. O Perfil de Trabalho de Propriedade Corporativa está relacionado ao COPE (perfil de trabalho corporativo) do Android Enterprise.
• Somente perfil de trabalho de propriedade pessoal: se um novo perfil for criado e o perfil de trabalho de propriedade pessoal estiver selecionado somente, as políticas de certificado do Perfil de Trabalho criadas emConfiguração de Dispositivos poderão ser utilizadas>. Esta opção suporta autenticação baseada em certificado e autenticação de nome de usuário e senha.

Observação

Se você implantar um perfil de configuração do Gmail ou nove em um perfil de trabalho de dispositivo dedicado do Android Enterprise que não envolve um usuário, ele falhará porque o Intune não pode resolve o usuário.

Importante

As políticas existentes criadas antes do lançamento desse recurso (versão de abril de 2020 - 2004) que não têm nenhum perfil de certificado associado à política serão padrão para Todos os Tipos de Perfil para tipo de registro de dispositivo. Além disso, as políticas existentes criadas antes da versão desse recurso que têm perfis de certificado associados a elas serão padrão apenas para o Perfil de Trabalho.

As políticas existentes não corrigirão ou emitirão novos certificados.

Validar a política de configuração do aplicativo aplicada

Você pode validar a política de configuração do aplicativo usando os três métodos a seguir:

1. Verifique a política de configuração do aplicativo visivelmente no dispositivo. Confirme se o aplicativo de destino está exibindo o comportamento aplicado na política de configuração do aplicativo.

2. Verifique por meio de logs de diagnóstico (confira a seção Logs de Diagnóstico abaixo).

3. Verifique no centro de administração Microsoft Intune. No centro de administração Microsoft Intune, selecione Aplicativos>Todos os aplicativos>selecionam o aplicativo relacionado*. Em seguida, na seção Monitor, selecioneInstalação do dispositivo status: o Relatório de Status da Instalação de Dispositivo monitora os marcar mais recentes para todos os dispositivos aos quais a política de configuração foi direcionada.

   Além disso, no centro de administração Microsoft Intune, selecione Dispositivos>Todos os Dispositivos>selecione umaconfiguração de aplicativo de dispositivo>. O painel configuração do aplicativo** exibirá todas as políticas atribuídas e seu estado:

   

Logs de diagnóstico

Configuração iOS/iPadOS em dispositivos não gerenciados

Você pode validar a configuração iOS/iPadOS com o Log de Diagnóstico do Intune para configurações implantadas por meio das políticas de configuração do aplicativo gerenciado. Além das etapas abaixo, você pode acessar logs de aplicativos gerenciados usando o Microsoft Edge. Para obter mais informações, confira Usar o Microsoft Edge para iOS e Android para acessar logs de aplicativos gerenciados.

1. Se ainda não estiver instalado no dispositivo, baixe e instale o Microsoft Edge do App Store. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos.

2. Inicie o Microsoft Edge e insira sobre:intunehelp na caixa de endereços.

3. Clique em Introdução.

4. Clique em Compartilhar Logs.

5. Use o aplicativo de email de sua escolha para enviar o log para si mesmo para que eles possam ser exibidos no computador.

6. Examine IntuneMAMDiagnostics.txt no visualizador de arquivos de texto.

7. Pesquise por ApplicationConfiguration. Os resultados serão semelhantes aos seguintes:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

Os detalhes da configuração do aplicativo devem corresponder às políticas de configuração do aplicativo configuradas para o locatário.

Configuração iOS/iPadOS em dispositivos gerenciados

Você pode validar a configuração iOS/iPadOS com o Log de Diagnóstico do Intune em dispositivos gerenciados para configuração de aplicativo gerenciado.

1. Se ainda não estiver instalado no dispositivo, baixe e instale o Microsoft Edge do App Store. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos.
2. Inicie o Microsoft Edge e insira sobre:intunehelp na caixa de endereços.
3. Clique em Introdução.
4. Clique em Compartilhar Logs.
5. Use o aplicativo de email de sua escolha para enviar o log para si mesmo para que eles possam ser exibidos no computador.
6. Examine IntuneMAMDiagnostics.txt no visualizador de arquivos de texto.
7. Pesquise por AppConfig. Seus resultados devem corresponder às políticas de configuração do aplicativo configuradas para seu locatário.

Configuração do Android em dispositivos gerenciados

Você pode validar a configuração do Android com o Log de Diagnóstico do Intune em dispositivos gerenciados para configuração de aplicativo gerenciado.

Para coletar logs de um dispositivo Android, você ou o usuário final devem baixar os logs do dispositivo por meio de uma conexão USB (ou o Explorador de Arquivos equivalente no dispositivo). Estas são as etapas:

1. Conecte o dispositivo Android ao computador com o cabo USB.

2. No computador, procure um diretório que tenha o nome do dispositivo. Nesse diretório, encontre Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

3. com.microsoft.windowsintune.companyportal Na pasta, abra a pasta Arquivos e abra OMADMLog_0.

4. Pesquise para AppConfigHelper encontrar mensagens relacionadas à configuração do aplicativo. Os resultados serão semelhantes ao seguinte bloco de dados:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

API do Graph suporte para a configuração do aplicativo

Você pode usar API do Graph para realizar tarefas de configuração de aplicativo. Para obter detalhes, consulte API do Graph Configuração de Destino do MAM de Referência. Para obter mais informações sobre o Intune e o Graph, confira Trabalhando com o Intune no Microsoft Graph.

Solução de problemas

Usando logs para mostrar um parâmetro de configuração

Quando os logs mostram um parâmetro de configuração confirmado como se aplicando, mas não parece funcionar, pode haver um problema com a implementação de configuração pelo desenvolvedor do aplicativo. Entrar em contato com esse desenvolvedor de aplicativos primeiro ou verificar seus base de dados de conhecimento, pode salvar uma chamada de suporte com a Microsoft. Se for um problema com a forma como a configuração está sendo tratada dentro de um aplicativo, ela terá que ser tratada em uma versão atualizada futura desse aplicativo.

Próximas etapas

Dispositivos gerenciados

• Saiba como usar a configuração do aplicativo com seus dispositivos iOS/iPadOS. Consulte Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados.
• Saiba como usar a configuração do aplicativo com seus dispositivos Android. Consulte Adicionar políticas de configuração de aplicativo para dispositivos Android gerenciados.

Aplicativos gerenciado

• Saiba como usar a configuração do aplicativo com aplicativos gerenciados. Consulte Adicionar políticas de configuração de aplicativo para aplicativos gerenciados sem registro de dispositivo.