Principer för appkonfiguration för Microsoft Intune

  • Artikel

Appkonfigurationsprinciper kan hjälpa dig att eliminera problem med appinstallationen genom att du kan tilldela konfigurationsinställningar till en princip som tilldelas till slutanvändare innan de kör appen. Inställningarna anges sedan automatiskt när appen konfigureras på slutanvändarens enhet och slutanvändarna inte behöver vidta några åtgärder. Konfigurationsinställningarna är unika för varje app.

Du kan skapa och använda appkonfigurationsprinciper för att tillhandahålla konfigurationsinställningar för både iOS/iPadOS- eller Android-appar. Med de här konfigurationsinställningarna kan en app anpassas med hjälp av appkonfiguration och hantering. Konfigurationsprincipinställningarna används när appen söker efter de här inställningarna, vanligtvis första gången appen körs.

En appkonfigurationsinställning kan till exempel kräva att du anger någon av följande uppgifter:

  • Ett anpassat portnummer
  • Språkinställningar
  • Säkerhetsinställningar
  • Varumärkesinställningar, till exempel en företagslogotyp

Om slutanvändarna skulle ange de här inställningarna i stället skulle de kunna göra detta felaktigt. Appkonfigurationsprinciper kan ge konsekvens i ett företag och minska supportsamtal från slutanvändare som försöker konfigurera inställningar på egen hand. Med hjälp av appkonfigurationsprinciper kan införandet av nya appar vara enklare och snabbare.

De tillgängliga konfigurationsparametrarna och implementeringen av konfigurationsparametrarna bestäms av programmets utvecklare. Dokumentation från programleverantören bör granskas för att se vilka konfigurationer som är tillgängliga och hur konfigurationerna påverkar programmets beteende. För vissa program fyller Intune i de tillgängliga konfigurationsinställningarna.

Obs!

I Managed Google Play Store markeras appar som stöder konfiguration som sådana:

Skärmbild av en konfigurerad app

Du ser bara appar från Managed Google Play Store, inte Google Play Store, när du använder hanterade enheter som registreringstyp för Android-enheter.

Du kan tilldela en appkonfigurationsprincip till en grupp slutanvändare och enheter med hjälp av en kombination av tilldelningar för att inkludera och exkludera. Som en del av processen för att lägga till eller uppdatera en appkonfigurationsprincip kan du ange tilldelningarna för appkonfigurationsprincipen. När du anger tilldelningarna för principen kan du välja att inkludera och exkludera de grupper av slutanvändare som principen gäller för. När du väljer att inkludera en eller flera grupper kan du välja specifika grupper som ska inkluderas eller välja inbyggda grupper. Inbyggda grupper är Alla användare, Alla enheter och Alla användare + Alla enheter.

Du kan också använda filter för att förfina tilldelningsomfånget när du distribuerar appkonfigurationsprinciper för hanterade iOS- och Android-enheter. Du måste först skapa ett filter med någon av de tillgängliga egenskaperna för iOS och Android. I Microsoft Intune administrationscenter kan du sedan tilldela konfigurationsprincipen för hanterade appar genom att väljaAppkonfigurationsprinciper> för appar>Lägg till>hanterade enheter och gå till tilldelningssidan. När du har valt en grupp kan du förfina principens tillämplighet genom att välja ett filter och välja att använda det i läget Inkludera eller Exkludera .

Arbetsbelastningen för appkonfigurationsprincipen innehåller en lista över appkonfigurationsprinciper som har skapats för din klientorganisation. Den här listan innehåller information, till exempel Namn, Plattform, Uppdaterad, Registreringstyp och Omfångstaggar. Om du vill ha mer information om en specifik appkonfigurationsprincip väljer du principen. I fönstret Principöversikt kan du se specifik information, till exempel principstatus baserat på enhet och baserat på användare, samt om principen har tilldelats.

Appar som stöder appkonfiguration

Appkonfigurationen kan levereras antingen via MDM-kanalen för hantering av mobila enheter (MDM) på registrerade enheter (hanterad App Configuration kanal för iOS eller Android i Enterprise-kanalen för Android) eller via MAM-kanalen (Mobile Application Management).

Intune representerar dessa olika appkonfigurationsprincipkanaler som:

  • Hanterade enheter – Enheten hanteras av Intune som den enhetliga slutpunktshanteringsprovidern. Appen måste fästas på hanteringsprofilen på iOS/iPadOS eller distribueras via Hanterat Google Play-konto på Android-enheter. Dessutom stöder appen önskad appkonfiguration.
  • Hanterade appar – En app som antingen har integrerat Intune App SDK eller omslutits med intune-omslutningsverktyget och har stöd för appskyddsprinciper (APP). I den här konfigurationen gäller varken enhetens registreringstillstånd eller hur appen levereras till enheten. Appen stöder önskad appkonfiguration.

Typ av enhetsregistrering

Appar kan hantera inställningar för appkonfigurationsprinciper på olika sätt när det gäller användarinställningar. Med Outlook för iOS och Android kommer konfigurationsinställningen prioriterad inkorgsapp till exempel att respektera användarinställningen, så att användaren kan åsidosätta administratörs avsikten. Med andra inställningar kan du styra om en användare kan eller inte kan ändra inställningen baserat på administratörs avsikten.

Obs!

Intune kräver Android 8.x eller senare för scenarier för enhetsregistrering och appkonfiguration som levereras via konfigurationsprinciper för hanterade enheter. Det här kravet gäller inte för Microsoft Teams Android-enheter eftersom dessa enheter kommer att fortsätta att stödjas.

För Intunes appskyddsprinciper och appkonfiguration som levereras via konfigurationsprinciper för hanterade appar kräver Intune Android 9.0 eller senare.

Hanterade enheter

Om du väljer Hanterade enheter som typ av enhetsregistrering avses specifikt appar som distribueras av Intune på den registrerade enheten och hanteras därför av Intune som registreringsprovider.

För att stödja appkonfiguration för appar som distribueras via Intune på registrerade enheter måste appar skrivas för att stödja användning av appkonfigurationer som definieras av operativsystemet. Kontakta appleverantören för mer information om vilka appkonfigurationsnycklar de stöder för leverans via MDM OS-kanalen. Det finns vanligtvis fyra scenarier för appkonfigurationsleverans med hjälp av MDM OS-kanalen:

  • Tillåt endast arbets- eller skolkonton
  • Konfigurationsinställningar för kontokonfiguration
  • Allmänna inställningar för appkonfiguration
  • S/MIME-konfigurationsinställningar

Hanterade appar

Om du väljer Hanterade appar som typ av enhetsregistrering avses specifikt appar som konfigurerats med en Intune-appskyddsprincip på enheter oavsett registreringstillstånd.

För att stödja appkonfiguration via MAM-kanalen måste appen integreras med Intune App SDK. Branschspecifika appar kan antingen integrera Intune App SDK eller använda Intune-App Wrapping Tool. En jämförelse mellan Intune App SDK och Intune-App Wrapping Tool finns i Förbereda verksamhetsspecifika appar för appskyddsprinciper.

Leverans av appkonfiguration via MAM-kanalen kräver inte att enheten registreras eller att appen hanteras eller levereras via den enhetliga slutpunktshanteringslösningen. Det finns tre scenarier för leverans av appkonfiguration med hjälp av MAM-kanalen:

  • Allmänna inställningar för appkonfiguration
  • S/MIME-konfigurationsinställningar
  • Avancerade inställningar för APP-dataskydd som utökar de funktioner som erbjuds av appskyddsprinciper

Obs!

Intune-hanterade appar checkar in med ett intervall på 30 minuter för Status för Intune-App Configuration princip när de distribueras tillsammans med en Intune-appskyddsprincip. Om en Intune-appskyddsprincip inte är tilldelad till användaren anges incheckningsintervallet för Intune-App Configuration princip till 720 minuter.

Information om vilka appar som stöder appkonfiguration via MAM-kanalen finns i Microsoft Intune skyddade appar.

Konfigurationsprinciper för Android Enterprise-appar

För konfigurationsprinciper för Android Enterprise-appar kan du välja enhetsregistreringstyp innan du skapar en appkonfigurationsprofil. Du kan ta hänsyn till certifikatprofiler som baseras på registreringstyp.

Registreringstypen kan vara något av följande:

  • Alla profiltyper: Om en ny profil skapas och Alla profiltyper har valts för enhetsregistreringstyp kan du inte associera en certifikatprofil med appkonfigurationsprincipen. Det här alternativet stöder autentisering med användarnamn och lösenord. Om du använder certifikatbaserad autentisering ska du inte använda det här alternativet.
  • Fullständigt hanterad, dedikerad och Corporate-Owned endast arbetsprofil: Om en ny profil skapas och fullständigt hanterad, dedikerad och endast Corporate-Owned arbetsprofil väljs, kan fullständigt hanterade, dedikerade och Corporate-Owned certifikatprinciper för arbetsprofil som skapats under Enhetskonfiguration> användas. Det här alternativet stöder certifikatbaserad autentisering samt autentisering av användarnamn och lösenord. Fullständigt hanterad avser fullständigt hanterade Android Enterprise-enheter (COBO). Dedikerade avser dedikerade Android Enterprise-enheter (COSU). Företagsägd arbetsprofil avser Android Enterprise företagsägd arbetsprofil (COPE).
  • Endast personligt ägd arbetsprofil: Om en ny profil skapas och endast personligt ägd arbetsprofil väljs kan certifikatprinciper för arbetsprofil som skapats under Enhetskonfiguration> användas. Det här alternativet stöder certifikatbaserad autentisering samt autentisering av användarnamn och lösenord.

Obs!

Om du distribuerar en Gmail- eller Nine-konfigurationsprofil till en dedikerad Android Enterprise-enhetsarbetsprofil som inte involverar en användare misslyckas den eftersom Intune inte kan matcha användaren.

Viktigt

Befintliga principer som skapats före lanseringen av den här funktionen (april 2020– 2004) som inte har några certifikatprofiler associerade med principen kommer som standard att vara Alla profiltyper för enhetsregistreringstyp. Dessutom kommer befintliga principer som skapats före lanseringen av den här funktionen som har certifikatprofiler associerade med dem att som standard endast arbeta profil.

Befintliga principer kommer inte att åtgärda eller utfärda nya certifikat.

Verifiera den tillämpade appkonfigurationsprincipen

Du kan verifiera appkonfigurationsprincipen med följande tre metoder:

  1. Kontrollera appkonfigurationsprincipen synligt på enheten. Kontrollera att målappen uppvisar det beteende som tillämpas i appkonfigurationsprincipen.

  2. Verifiera via diagnostikloggar (se avsnittet Diagnostikloggar nedan).

  3. Kontrollera i Microsoft Intune administrationscenter. I Microsoft Intune administrationscenter väljer du Appar>Alla appar>väljer den relaterade appen*. Under avsnittet Övervaka väljer du sedan Enhetsinstallationsstatus: Rapporten Enhetsinstallationsstatus övervakar de senaste incheckningarna för alla enheter som konfigurationsprincipen har riktats till. Första skärmbilden av enhetens installationsstatus

    I Microsoft Intune administrationscenter väljer du Dessutom Enheter>Alla enheter>väljer du enenhetsappkonfiguration>. I fönstret appkonfiguration** visas alla tilldelade principer och deras tillstånd:

    Skärmbild av appkonfiguration

Diagnostikloggar

iOS/iPadOS-konfiguration på ohanterade enheter

Du kan verifiera iOS/iPadOS-konfigurationen med Intune-diagnostikloggen för inställningar som distribueras via konfigurationsprinciperna för hanterade appar. Förutom stegen nedan kan du komma åt loggar för hanterade appar med hjälp av Microsoft Edge. Mer information finns i Använda Microsoft Edge för iOS och Android för att komma åt loggar för hanterade appar.

  1. Om den inte redan är installerad på enheten laddar du ned och installerar Microsoft Edge från App Store. Mer information finns i Microsoft Intune skyddade appar.

  2. Starta Microsoft Edge och ange about:intunehelp i adressrutan.

  3. Klicka på Kom igång.

  4. Klicka på Dela loggar.

  5. Använd valfri e-postapp för att skicka loggen till dig själv så att de kan visas på datorn.

  6. Granska IntuneMAMDiagnostics.txt i visningsprogrammet för textfilen.

  7. Sök ApplicationConfigurationefter . Resultatet ser ut så här:

        {
        (
            {
                Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                Value = "https://www.aol.com";
            },
            {
                Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
            }
        );
    },
    {
        ApplicationConfiguration =             
        (
            {
            Name = IntuneMAMUPN;
            Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
            },
            {
            Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
            Value = true;
            }
        );
    }

Informationen om programkonfigurationen ska matcha de programkonfigurationsprinciper som konfigurerats för din klientorganisation.

Riktad appkonfiguration

iOS/iPadOS-konfiguration på hanterade enheter

Du kan verifiera iOS/iPadOS-konfigurationen med Intune-diagnostikloggen på hanterade enheter för konfiguration av hanterade appar.

  1. Om den inte redan är installerad på enheten laddar du ned och installerar Microsoft Edge från App Store. Mer information finns i Microsoft Intune skyddade appar.
  2. Starta Microsoft Edge och ange about:intunehelp i adressrutan.
  3. Klicka på Kom igång.
  4. Klicka på Dela loggar.
  5. Använd valfri e-postapp för att skicka loggen till dig själv så att de kan visas på datorn.
  6. Granska IntuneMAMDiagnostics.txt i visningsprogrammet för textfilen.
  7. Sök AppConfigefter . Resultatet bör matcha de programkonfigurationsprinciper som konfigurerats för din klientorganisation.

Android-konfiguration på hanterade enheter

Du kan verifiera Android-konfigurationen med Intune-diagnostikloggen på hanterade enheter för konfiguration av hanterade appar.

Om du vill samla in loggar från en Android-enhet måste du eller slutanvändaren ladda ned loggarna från enheten via en USB-anslutning (eller Utforskaren motsvarande på enheten). Här är stegen:

  1. Anslut Android-enheten till datorn med USB-kabeln.

  2. Leta efter en katalog som har namnet på din enhet på datorn. Leta reda Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportalpå i katalogen .

  3. com.microsoft.windowsintune.companyportal Öppna mappen Filer i mappen och öppna OMADMLog_0.

  4. Sök efter för AppConfigHelper att hitta appkonfigurationsrelaterade meddelanden. Resultatet ser ut ungefär som i följande datablock:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API stöd för appkonfiguration

Du kan använda Graph API för att utföra appkonfigurationsuppgifter. Mer information finns i Graph API referens för MAM-riktad konfiguration. Mer information om Intune och Graph finns i Arbeta med Intune i Microsoft Graph.

Felsökning

Använda loggar för att visa en konfigurationsparameter

När loggarna visar en konfigurationsparameter som har bekräftats tillämpa men inte verkar fungera kan det finnas ett problem med apputvecklarens konfigurationsimplementering. Om du kontaktar apputvecklaren först eller kontrollerar deras kunskapsbas kan du spara ett supportsamtal med Microsoft. Om det är ett problem med hur konfigurationen hanteras i en app måste den åtgärdas i en framtida uppdaterad version av appen.

Nästa steg

Hanterade enheter

Hanterade appar