Добавление политик конфигурации приложений для управляемых устройств с iOS и iPadOS

  • Статья

Используйте политики конфигурации приложений в Microsoft Intune, чтобы предоставить настраиваемые параметры конфигурации для приложения iOS/iPadOS. Эти параметры конфигурации позволяют настраивать приложение в зависимости от направления поставщиков приложений. Эти параметры конфигурации (ключи и значения) необходимо получить у поставщика приложения. Чтобы настроить приложение, укажите параметры в виде ключей и значений или в формате XML, содержащего ключи и значения.

Администратор Microsoft Intune может контролировать, какие учетные записи пользователей добавляются в приложения Microsoft 365 (Office) на управляемых устройствах. Вы можете ограничить доступ только разрешенными учетными записями пользователей организации и заблокировать личные учетные записи на зарегистрированных устройствах. Вспомогательные приложения обрабатывают конфигурацию приложения, а также удаляют и блокируют неутвержденные учетные записи. Параметры политики конфигурации используются при их проверке приложением, обычно при первом запуске.

После добавления политики конфигурации приложения можно задать назначения для политики конфигурации приложений. При настройке назначений для политики можно использовать фильтр , а также включить и исключить группы пользователей, для которых применяется политика. При включении одной или нескольких групп можно выбрать определенные группы для включения или выбора встроенных групп. К встроенным группам относятся категории Все пользователи, Все устройства и Все пользователи + все устройства.

Примечание.

В консоли Intune для вашего удобства доступны предварительно созданные группы Все пользователи и Все устройства со встроенной оптимизацией. Настоятельно рекомендуется использовать эти группы для всех пользователей и всех устройств вместо групп "Все пользователи" или "Все устройства", созданных вами самостоятельно.

Выбрав включенные группы для политики конфигурации приложений, вы также можете выбрать определенные группы для исключения. Дополнительные сведения см. в статье Включение и исключение назначений приложений в Microsoft Intune.

Совет

Этот тип политики в настоящее время доступен только для устройств под управлением iOS/iPadOS 8.0 и более поздних версий. Он поддерживает следующие типы установки приложений:

  • Управляемое приложение iOS/iPadOS из магазина приложений
  • Пакет приложения для iOS

Дополнительные сведения о типах установки приложений см. в статье Добавление приложения в Microsoft Intune. Дополнительные сведения о включении конфигурации приложения в пакет приложения .ipa для управляемых устройств см. в разделе Управляемые Конфигурация приложений документации разработчика iOS.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Политики >конфигурации приложений>Добавление>управляемых устройств. Обратите внимание, что вы можете выбрать между управляемыми устройствами и управляемыми приложениями. Дополнительные сведения см. в разделе Приложения, поддерживающие конфигурацию приложений.

  3. На странице Основные сведения задайте следующие сведения:

    • Имя — имя профиля, отображаемого в центре администрирования Microsoft Intune.
    • Описание — описание профиля, отображаемого в Центре администрирования Microsoft Intune.
    • Тип регистрации устройств . Для этого параметра задано значение Управляемые устройства.

  4. Выберите iOS/iPadOS в качестве платформы.

  5. Щелкните Выбрать приложение рядом с полем Целевое приложение. Откроется панель Связанное приложение .

  6. В области Целевое приложение выберите управляемое приложение, которое будет сопоставлено с политикой конфигурации, и нажмите кнопку ОК.

  7. Нажмите Далее, чтобы отобразить страницу Параметры.

  8. В раскрывающемся списке выберите формат параметров конфигурации. Выберите один из следующих методов, чтобы добавить сведения о конфигурации:

  9. Нажмите Далее, чтобы отобразить страницу Теги области.

  10. [Необязательно] Вы можете настроить теги область для политики конфигурации приложений. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  11. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .

  12. На странице Назначения выберите Добавить группы, Добавить всех пользователей или Добавить все устройства , чтобы назначить политику конфигурации приложения. Выбрав группу назначений, можно выбрать фильтр для уточнения область назначения при развертывании политик конфигурации приложений для управляемых устройств.

    Снимок экрана: страница назначений политик конфигурации

  13. Выберите Все пользователи в раскрывающемся списке.

    Снимок экрана: назначение политики — раскрывающийся список

  14. [Необязательно] Щелкните Изменить фильтр, чтобы добавить фильтр и уточнить область назначения.

    Снимок экрана: назначения политики — изменение фильтра

  15. Щелкните Выбрать группы, чтобы исключить , чтобы отобразить связанную панель.

  16. Выберите группы, которые нужно исключить, и нажмите кнопку Выбрать.

    Примечание.

    При добавлении группы, если любая другая группа уже была включена для данного типа назначения, она предварительно выбрана и неизменяема для других типов назначений. Таким образом, эта группа, которая была использована, не может использоваться в качестве исключенной группы.

  17. Выберите Далее, чтобы перейти на страницу Просмотр и создание.

  18. Нажмите кнопку Создать, чтобы добавить политику конфигурации приложений в Intune.

Использование конструктора конфигураций

Microsoft Intune предоставляет параметры конфигурации, уникальные для приложения. Конструктор конфигураций можно использовать для приложений на устройствах, зарегистрированных или не зарегистрированных в Microsoft Intune. Конструктор позволяет настроить определенные ключи и значения конфигурации, которые помогут создать базовый XML-код. Необходимо также указать тип данных для каждого значения. Эти параметры автоматически предоставляются приложениям при установке приложений.

Добавление параметра

  1. Для каждого ключа и значения в конфигурации задайте:
    • Ключ конфигурации — ключ с учетом регистра, который однозначно идентифицирует конкретную конфигурацию параметра.
    • Тип значения — тип данных значения конфигурации. Типы включают Integer, Real, String или Boolean.
    • Значение конфигурации — значение конфигурации.
  2. Нажмите кнопку ОК , чтобы задать параметры конфигурации.

Удаление параметра

  1. Нажмите кнопку с многоточием (...) рядом с параметром.
  2. Выберите Удалить.

Символы {{ и }} используются только типами маркеров и не должны использоваться для других целей.

Разрешить только настроенные учетные записи организации в приложениях

Администратор Microsoft Intune может контролировать, какие рабочие или учебные учетные записи добавляются в приложения Майкрософт на управляемых устройствах. Вы можете ограничить доступ только разрешенными учетными записями пользователей организации и заблокировать личные учетные записи в приложениях (если они поддерживаются) на зарегистрированных устройствах. Для устройств iOS/iPadOS используйте следующие пары "ключ-значение" в политике конфигурации приложения "Управляемые устройства":

Key Значения
IntuneMAMAllowedAccountsOnly
  • Включено: разрешена только управляемая учетная запись пользователя, определенная ключом IntuneMAMUPN .
  • Отключено (или любое значение, которое не соответствует параметру Enabled без учета регистра): любая учетная запись разрешена.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для Intune зарегистрированных устройств {{userprincipalname}} маркер может использоваться для представления зарегистрированной учетной записи пользователя.

Примечание.

Следующие приложения обрабатывают описанную выше конфигурацию приложений и разрешают только учетные записи организации:

  • Copilot для iOS (28.1.420324001 и более поздние версии)
  • Edge для iOS (44.8.7 и более поздних версий)
  • Office, Word, Excel, PowerPoint для iOS (2.41 и более поздних версий)
  • OneDrive для iOS (10.34 и более поздних версий)
  • OneNote для iOS (2.41 и более поздних версий)
  • Outlook для iOS (2.99.0 и более поздних версий)
  • Teams для iOS (2.0.15 и более поздних версий)

Требовать настроенные учетные записи организации в приложениях

На зарегистрированных устройствах организации могут требовать, чтобы рабочая или учебная учетная запись входила в управляемые приложения Майкрософт, чтобы получать данные организации из других управляемых приложений. Например, рассмотрим сценарий, в котором у пользователя есть вложения, включенные в сообщения электронной почты, содержащиеся в управляемом профиле электронной почты, расположенном в собственном почтовом клиенте iOS. Если пользователь пытается передать вложения в приложение Майкрософт, например Office, управляемое на устройстве и использующее эти ключи, эта конфигурация будет обрабатывать переданное вложение как данные организации, требуя входа в рабочую или учебную учетную запись и применяя параметры политики защиты приложений.

Для устройств iOS/iPadOS используйте следующие пары "ключ-значение" в политике конфигурации приложения "Управляемые устройства" для каждого приложения Майкрософт:

Key Значения
IntuneMAMRequireAccounts
  • Включено. Приложение требует, чтобы пользователь вход в управляемую учетную запись пользователя, определяемую ключом IntuneMAMUPN , получал данные организации.
  • Отключено (или любое значение, которое не соответствует параметру Enabled без учета регистра): вход в учетную запись не требуется.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для Intune зарегистрированных устройств {{userprincipalname}} маркер может использоваться для представления зарегистрированной учетной записи пользователя.

Примечание.

Приложения должны иметь Intune пакет SDK для приложений для iOS версии 12.3.3 или более поздней, а также использовать политику защиты приложений Intune при необходимости входа в рабочую или учебную учетную запись. В политике защиты приложений для параметра "Получение данных из других приложений" должно быть задано значение "Все приложения с входящими данными организации".

В настоящее время вход в приложение требуется только при наличии входящих данных организации в целевое приложение.

Ввод XML-данных

Можно ввести или вставить список свойств XML, содержащий параметры конфигурации приложения для устройств, зарегистрированных в Intune. Формат списка свойств XML зависит от настраиваемого приложения. Чтобы узнать, как именно использовать формат, обратитесь к поставщику приложения.

Intune проверяет формат XML. Однако Intune не проверка, что список свойств XML (PList) работает с целевым приложением.

Дополнительные сведения о списках свойств XML:

Пример формата XML-файла конфигурации приложения

При создании файла конфигурации приложения можно указать одно или несколько из следующих значений в следующем формате:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Поддерживаемые типы данных XML PList

Intune поддерживает следующие типы данных в списке свойств:

  • <Целое число>
  • <Реальные>
  • <Строка>
  • <Массива>
  • <dict>
  • <true /> или <false />

Маркеры, используемые в списке свойств

Кроме того, Intune поддерживает следующие типы маркеров в списке свойств:

  • {{userprincipalname}}— например, John@contoso.com
  • {{mail}} — например, John@contoso.com
  • {{partialupn}}— например, Джон
  • {{accountid}}— например, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}— например, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}— например, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}— например, Джон Доу
  • {{serialnumber}}— например, F4KN99ZUG5V2 (для устройств iOS/iPadOS)
  • {{serialnumberlast4digits}} — например, G5V2 (для устройств iOS/iPadOS)
  • {{aaddeviceid}}— например, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}— например, True (для устройств iOS/iPadOS)

Настройка приложения Корпоративный портал для поддержки устройств iOS и iPadOS, зарегистрированных с помощью автоматической регистрации устройств

Автоматические регистрации устройств Apple по умолчанию несовместимы с версией приложения Корпоративный портал магазина приложений. Однако вы можете настроить приложение Корпоративный портал для поддержки устройств ADE iOS/iPadOS, даже если пользователи скачали Корпоративный портал из App Store, выполнив следующие действия.

  1. В центре администрирования Microsoft Intune добавьте приложение Корпоративный портал Intune, если оно еще не добавлено, выбрав Приложения>Все приложения>Добавить>приложение Магазина iOS.

  2. Перейдите в раздел Политикиконфигурацииприложений,> чтобы создать политику конфигурации приложений для приложения Корпоративный портал.

  3. Создайте политику конфигурации приложения, используя приведенный ниже XML-код. Дополнительные сведения о создании политики конфигурации приложения и вводе XML-данных см. в статье Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS.

    • Используйте Корпоративный портал на устройстве автоматической регистрации устройств (ADE), зарегистрированном с сопоставлением пользователей:

      Примечание.

      Если для профиля регистрации задано значение "Установить Корпоративный портал", Intune автоматически отправляет политику конфигурации приложения ниже в рамках процесса первоначальной регистрации. Эту конфигурацию не следует развертывать вручную для пользователей или устройств, так как это приведет к конфликту с полезными данными, уже отправленными во время регистрации, в результате чего конечным пользователям будет предложено скачать новый профиль управления после входа в Корпоративный портал (когда они не должны, так как на этих устройствах уже установлен профиль управления).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Используйте Корпоративный портал на устройстве ADE, зарегистрированном без сопоставления пользователей (также известном как промежуточное хранение устройств).

      Примечание.

      Пользователь, войдя в Корпоративный портал, задается в качестве основного пользователя устройства.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Разверните Корпоративный портал на устройствах с политикой конфигурации приложений, предназначенной для нужных групп. Не забудьте развернуть политику только на группах устройств, которые уже зарегистрированы ADE.

  5. Попросите конечных пользователей войти в приложение Корпоративный портал при его автоматической установке.

Примечание.

При добавлении конфигурации приложения для разрешения Корпоративный портал приложения на устройствах ADE без сопоставления пользователей может возникнуть STATE Policy Error. В отличие от других конфигураций приложений, эта ситуация не применяется при каждом входе устройства. Вместо этого эта конфигурация приложения предназначена для одноразовой операции, позволяющей существующим устройствам, зарегистрированным без сопоставления пользователей, достичь сходства пользователей при входе пользователя в Корпоративный портал. После успешного применения эта конфигурация приложения удаляется из политики в фоновом режиме. Назначение политики будет существовать, но оно не будет сообщать об успешном выполнении после удаления конфигурации приложения в фоновом режиме. После применения политики конфигурации приложений к устройству ее можно отменить.

Мониторинг состояния конфигурации приложений iOS/iPadOS для каждого устройства

После назначения политики конфигурации можно отслеживать состояние конфигурации приложения iOS/iPadOS для каждого управляемого устройства. В Microsoft Intune в Центре администрирования Microsoft Intune выберите Устройства>Все устройства. В списке управляемых устройств выберите определенное устройство, чтобы отобразить панель для устройства. На панели устройства выберите Конфигурация приложения.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначать и отслеживать приложение.