使用 Microsoft Intune 中的自定义策略允许和阻止 Samsung Knox Standard 设备的应用

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

使用本文中的步骤创建Microsoft Intune 自定义策略,该策略创建以下列表之一:

  • 阻止在设备上运行的应用列表。 即使应用策略时已安装这些应用,也会阻止此列表中的应用运行。
  • 允许设备用户从 Google Play 商店安装的应用列表。 只能安装你列出的应用。 无法从应用商店安装其他应用。

此功能适用于:

  • Android 设备管理员 (DA)

这些设置仅适用于运行 Samsung Knox Standard 的设备。

先决条件

创建允许或阻止的应用列表

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Android 设备管理员”。
    • 配置文件类型:选择“ 自定义”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 Android Samsung Knox - 阻止应用
    • 说明:输入设置的简要说明以及其他重要详细信息。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,选择“添加”。 输入以下自定义 OMA-URI 设置:

    对于被阻止在设备上运行的应用列表:

    • 名称:输入 PreventStartPackages
    • 说明:输入概述设置的说明,以及有助于查找配置文件的任何其他相关信息。 例如,输入 被阻止运行的应用列表
    • OMA-URI (区分大小写) :输入 ./Vendor/MSFT/PolicyManager/My/ApplicationManagement/PreventStartPackages
    • 数据类型:选择“ 字符串”。
    • :输入要阻止的应用包名称列表。 可以使用 ;:| 作为分隔符。 例如,输入 package1;package2;

    对于允许用户从 Google Play 商店安装的应用列表,同时排除所有其他应用:

    • 名称:输入 AllowInstallPackages
    • 说明:输入概述设置的说明,以及有助于查找配置文件的任何其他相关信息。 例如,输入 用户可以从 Google Play 安装的应用列表
    • OMA-URI (区分大小写) :输入 ./Vendor/MSFT/PolicyManager/My/ApplicationManagement/AllowInstallPackages
    • 数据类型:选择“ 字符串”。
    • :输入要允许的应用包名称列表。 可以使用 ;:| 作为分隔符。 例如,输入 package1;package2;
  8. 保存 更改 >下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记

    选择 下一步

  10. 在“分配”中,选择可以接收配置文件的用户或设备组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  11. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

提示

可以通过浏览到 Google Play 商店上的应用来查找应用的包 ID。 包 ID 包含在应用页面的 URL 中。 例如,Microsoft Word 应用的包 ID 为 com.microsoft.office.word

下次每个目标设备签入时,将应用应用设置。

资源

配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态