分享方式:


Microsoft Intune 的應用程式組態原則

應用程式設定原則可讓您將組態設定指派給在使用者執行應用程式之前指派給使用者的原則,協助您消除應用程式設定問題。 然後,當使用者裝置上設定應用程式,且使用者不需要採取動作時,就會自動提供這些設定。 每個應用程式的組態設定都是獨特的。

您可以建立並使用應用程式設定原則,為iOS/iPadOS或Android應用程式提供組態設定。 這些組態設定可允許使用應用程式組態和管理來自訂應用程式。 組態原則設定會在應用程式檢查這些設定時使用,通常是在應用程式第一次執行時。

例如,應用程式組態設定可能需要您指定下列任何詳細資料:

  • 自訂連接埠號碼
  • 語言設定
  • 安全性設定
  • 商標設定,例如公司標誌

如果終端使用者改為輸入這些設定,可能會不正確地執行此動作。 應用程式設定原則可協助在企業之間提供一致性,並減少用戶嘗試自行設定設定的技術服務人員呼叫。 透過使用應用程式組態原則,可以更容易且更快速地採用新應用程式。

可用的組態參數和組態參數的實作是由應用程式的開發人員決定。 應檢閱應用程式廠商的文件,以查看可用的組態,以及這些組態如何影響應用程式的行為。 針對某些應用程式,Intune 會填入可用的組態設定。

注意事項

在受管理的 Google Play 商店中,支援組態的應用程式會標示如下:

已設定應用程式的螢幕快照

使用受控裝置作為 Android 裝置的註冊類型時,您只會看到來自受控 Google Play 商店的應用程式,而非 Google Play 商店

您可以使用 包含和排除指派的組合,將應用程式設定原則指派給一組使用者和裝置。 在新增或更新應用程式設定原則的過程中,您可以設定應用程式設定原則的指派。 當您設定原則的指派時,可以選擇包含和排除套用原則的使用者 群組 。 當您選擇包含一或多個群組時,您可以選擇選取要包含的特定群組,或選取內建群組。 內建群組包括 [所有使用者]、[所有裝置] 和 [所有使用者 + 所有裝置]

您也可以在部署受控 iOS 和 Android 裝置的應用程式設定原則時,使用 篩選 來精簡指派範圍。 您必須先使用 iOS 和 Android 的任何可用屬性 來建立篩選 。 然後,在系統管理中心 Microsoft Intune,您可以選取 [應用程式>]> 設定原則 [新增>受控裝置] 並移至 [指派] 頁面,以指派受控應用程式設定原則。 選取群組之後,您可以選擇篩選,並決定在 [ 包含 ] 或 [ 排除 ] 模式中使用,以精簡原則的適用性。

應用程式設定原則工作負載會提供已為租使用者建立的應用程式設定原則清單。 此清單提供詳細資料,例如名稱、平台、更新、註冊類型和範圍標記。 如需特定應用程式設定原則的其他詳細數據,請選取原則。 在 [原則 概觀 ] 窗格中,您可以查看特定詳細數據,例如根據裝置和使用者的原則狀態,以及是否已指派原則。

支援應用程式組態的應用程式

應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) OS 通道 (iOS 的受控 應用程式組態 通道,或 Android 企業版通道中的 Android) ,或透過行動應用程式管理 (MAM) 通道傳遞。

Intune 會以以下方式呈現這些不同的應用程式組態原則通道:

  • 受控裝置 - 裝置由 Intune 作為統一端點管理提供者來管理。 應用程式必須釘選至 iOS/iPadOS 上的管理設定檔,或透過 Android 裝置上的受管理 Google Play 部署。 此外,應用程式支援所需的應用程式組態。
  • 受控應用程式 - 已整合 Intune App SDK 或已使用 Intune Wrapping Tool 包裝,並支援應用程式) (應用程式保護原則的應用程式。 在此設定中,裝置的註冊狀態或應用程式傳遞至裝置的方式都無關緊要。 應用程式支援所需的應用程式組態。

裝置註冊類型

應用程式可能會以不同方式處理應用程式組態原則設定,但遵守使用者喜好設定。 例如,使用 iOS 版和 Android 版 Outlook 時,焦點收件匣應用程式組態設定會遵守使用者設定,讓使用者可以覆寫系統管理員意圖。 其他設定可讓您控制使用者是否可以或無法根據系統管理員意圖來變更設定。

注意事項

此需求不適用 Microsoft Teams Android 裝置,因為這些裝置將繼續受到支援。

對於透過 [受管理應用程式] 應用程式設定原則傳遞的 Intune 應用程式防護原則與應用程式設定,Intune 需要 Android 9.0 或更新版本。

受管理裝置

取 [受管理的裝置] 作為 [裝置註冊類型],特別是指 Intune 在已註冊裝置上部署的應用程式,因此由 Intune 作為註冊提供者來管理。

若要支援透過 Intune 在已註冊裝置上部署之應用程式的應用程式設定,必須撰寫應用程式以支援使用作業系統所定義的應用程式設定。 如需其支援透過 MDM OS 通道傳遞的應用程式設定金鑰詳細資訊,請洽詢您的應用程式廠商。 使用 MDM OS 通道進行應用程式組態傳遞通常有四種案例:

  • 只允許公司或學校帳戶
  • 帳戶設定組態設定
  • 一般應用程式組態設定
  • S/MIME 組態設定

受管理應用程式

選取 [受管理的應用程式] 做為 [裝置註冊類型],特別是指在裝置上設定使用 Intune 應用程式防護原則的應用程式,而無論註冊狀態如何。

若要支援透過 MAM 通道的應用程式組態,應用程式必須與 Intune App SDK 整合。 企業營運應用程式可以整合 Intune App SDK 或使用 Intune App Wrapping Tool。 如需 Intune App SDK 與 Intune App Wrapping Tool 之間的比較,請參閱針對應用程式防護原則準備企業營運應用程式

透過 MAM 通道傳遞應用程式設定時,不需要註冊裝置,也不需要透過統一端點管理解決方案來管理或傳遞應用程式。 使用 MAM 通道進行應用程式組態傳遞有三種案例:

  • 一般應用程式組態設定
  • S/MIME 組態設定
  • 進階 APP 資料保護設定,可擴充應用程式保護原則所提供的功能

注意事項

Intune 受控應用程式會在 Intune 應用程式組態 原則狀態與 Intune 應用程式保護原則一起部署時,以 30 分鐘的間隔簽入。 如果未將 Intune 應用程式防護原則指派至使用者,則 Intune 應用程式組態原則簽入間隔會設定為 720 分鐘。

如需哪些應用程式透過 MAM 通道支援應用程式組態的相關資訊,請參閱受 Microsoft Intune 保護的應用程式

Android Enterprise 應用程式組態原則

針對 Android Enterprise 應用程式設定原則,您可以在建立應用程式組態配置檔之前選取裝置註冊類型。 您可以根據註冊類型來考慮憑證設定檔。

註冊類型可以是下列其中一種:

  • 所有設定檔類型:如果已建立新的設定檔,且已針對裝置註冊類型選取 [所有配置檔類型 ],您將無法將憑證配置檔與應用程式設定原則產生關聯。 此選項支援使用者名稱和密碼驗證。 如果您使用憑證式驗證,請勿使用此選項。
  • 僅限完全受控、專用和 Corporate-Owned 工作配置檔:如果已建立新的配置檔,且只選取 [完全受控]、[專用] 和 [Corporate-Owned 工作配置檔],則可以使用 [裝置管理裝置>設定] 下>建立的 [完全受控]、[專用] 和 [Corporate-Owned 工作配置檔] 憑證原則。 此選項支援憑證式驗證和使用者名稱和密碼驗證。 完全受控 與 Android Enterprise 完全受控裝置相關, (COBO) 。 專用 與 Android Enterprise 專用裝置相關, (COSU) 。 公司擁有的工作配置檔 與 Android Enterprise 公司擁有的工作配置檔 (COPE) 相關。
  • 僅限個人擁有的工作配置檔:如果建立新的配置檔,並選取 [僅限個人擁有的工作配置檔],則可以在 [裝置>管理裝置>設定] 下建立工作配置檔憑證原則。 此選項支援憑證式驗證和使用者名稱和密碼驗證。

注意事項

如果您將 Gmail 或 Nine 組態設定檔部署到不涉及使用者的 Android Enterprise 專用裝置工作設定檔,則會失敗,因為 Intune 無法解析使用者。

重要事項

此功能發行前建立的現有原則 (2020 年 4 月版本 - 2004) 若沒有任何與該原則相關聯的憑證配置檔,則預設為裝置註冊類型的 所有配置檔類型 。 此外,在發行此功能之前建立且具有相關聯憑證配置檔的現有原則,預設為僅限工作配置檔。

現有原則將不會補救或發行新的憑證。

驗證已套用的應用程式組態原則

您可以使用下列三種方法來驗證應用程式設定原則:

  1. 驗證裝置上的應用程式組態原則可見性。 確認目標應用程式呈現在應用程式組態原則中套用的行為。

  2. 透過診斷記錄進行驗證 (請參閱下方 的診斷記錄 一節) 。

  3. 在系統管理中心 Microsoft Intune 驗證。 在 Microsoft Intune 系統管理中心,選取 [應用程式>][所有應用程式>] 選取相關的應用程式*。 然後,在 [ 監視] 區段下,選取 [ 裝置安裝狀態]:[裝置安裝狀態報告] 會監視設定原則的目標所有裝置的最新簽入。 裝置安裝狀態的第一個螢幕快照

    此外,在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>所有裝置>] 選取裝置>應用程式設定。 應用程式組態** 窗格會顯示所有指派的原則及其狀態:

    應用程式設定的螢幕快照

診斷記錄

非受控裝置上的 iOS/iPadOS 設定

您可以使用 Intune 診斷記錄來驗證 iOS/iPadOS 設定,以取得透過 Managed 應用程式設定原則部署的設定。 除了下列步驟之外,您還可以使用 Microsoft Edge 來存取受控應用程式記錄。 如需詳細資訊,請 參閱使用適用於 iOS 和 Android 的 Microsoft Edge 來存取受控應用程式記錄

  1. 如果尚未安裝在裝置上,請從 App Store 下載並安裝 Microsoft Edge。 如需詳細資訊,請參閱 Microsoft Intune 受保護的應用程式

  2. 啟動 Microsoft Edge ,並在網址 方塊中輸入 about:intunehelp

  3. 按兩下 [開始使用]

  4. 按兩下 [共享記錄]

  5. 使用您選擇的郵件應用程式將記錄傳送給您自己,以便在您的電腦上檢視。

  6. 檢閱文字檔查看器中的 IntuneMAMDiagnostics.txt

  7. ApplicationConfiguration搜尋 。 結果如下所示:

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
                Value = true;
                }
            );
        }
    

您的應用程式設定詳細數據應該符合為租用戶設定的應用程式設定原則。

目標應用程式設定

受管理裝置上的 iOS/iPadOS 設定

您可以使用受控裝置上的 Intune 診斷記錄來驗證受控應用程式設定的 iOS/iPadOS 設定。

  1. 如果尚未安裝在裝置上,請從 App Store 下載並安裝 Microsoft Edge。 如需詳細資訊,請參閱 Microsoft Intune 受保護的應用程式
  2. 啟動 Microsoft Edge ,然後在位址方 塊中輸入 about:intunehelp
  3. 按兩下 [開始使用]
  4. 按兩下 [共享記錄]
  5. 使用您選擇的郵件應用程式將記錄傳送給您自己,以便在您的電腦上檢視。
  6. 檢閱文字檔查看器中的 IntuneMAMDiagnostics.txt
  7. AppConfig搜尋 。 您的結果應該符合為租用戶設定的應用程式設定原則。

受控裝置上的Android設定

您可以在受控裝置上使用 Intune 診斷記錄來驗證 Android 設定,以進行受控應用程式設定。

若要從 Android 裝置收集記錄,您或終端使用者必須透過 USB 連線 (或裝置) 上的 檔案總管 對等專案,從裝置下載記錄。 步驟如下:

  1. 使用USB纜線將Android裝置連線到您的電腦。

  2. 在電腦上,尋找具有裝置名稱的目錄。 在該目錄中,尋找 Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal

  3. 在資料夾中 com.microsoft.windowsintune.companyportal ,開啟 [檔案] 資料夾,然後開啟 OMADMLog_0

  4. AppConfigHelper搜尋 以尋找應用程式設定相關的訊息。 結果看起來會類似下列數據區塊:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

圖形 API 應用程式設定的支援

您可以使用 圖形 API 來完成應用程式設定工作。 如需詳細資訊,請參閱 圖形 API 參考 MAM 目標設定。如需 Intune 和 Graph 的詳細資訊,請參閱在 Microsoft Graph 中使用 Intune。

疑難排解

使用記錄來顯示組態參數

當記錄顯示已確認要套用但似乎無法運作的組態參數時,應用程式開發人員的組態實作可能會發生問題。 先連絡該應用程式開發人員,或檢查其 知識庫,可能會為您省下支持電話與Microsoft。 如果這是在應用程式內處理設定的方式問題,則必須在該應用程式的未來更新版本中加以解決。

後續步驟

受管理裝置

受管理應用程式