分享方式:


新增受管理 iOS/iPadOS 裝置的應用程式設定原則

在 Microsoft Intune 中使用應用程式設定原則,為 iOS/iPadOS 應用程式提供自訂組態設定。 這些組態設定可讓您根據應用程式供應者指示,自訂應用程式。 您必須從應用程式的供應者取得這些組態設定 (金鑰和值)。 若要設定應用程式,您可以將設定指定為金鑰和值,或指定為包含金鑰和值的 XML。

作為 Microsoft Intune 系統管理員,您可以控制要將哪些使用者帳戶新增至受管理裝置上的 Microsoft 365 (Office) 應用程式。 您可以限制只能存取允許的組織使用者帳戶,並封鎖已註冊裝置上的個人帳戶。 支援的應用程式會處理應用程式設定,並移除和封鎖未核准的帳戶。 設定原則設定會在應用程式檢查它們時使用 (通常是在其第一次執行時)。

新增應用程式設定原則後,您可以設定應用程式設定原則的指派。 當您設定原則的指派後,您可以選擇使用 篩選條件,並包含和排除套用原則的使用者群組。 當您選擇包含一或多個群組時,您可以選擇選取要包含的特定群組,或選取內建群組。 內建群組包括 [所有使用者]、[所有裝置] 和 [所有使用者 + 所有裝置]

注意事項

Intune 會在控制台中提供預先建立的 [所有使用者][所有裝置] 群組,並提供內建最佳化,以方便您使用。 強烈建議您使用這些群組,將所有使用者和所有裝置設為目標,而非使用您自己建立的任何「所有使用者」或「所有裝置」群組。

在您為應用程式設定原則選取包含的群組後,您也可以選擇要排除的特定群組。 如需詳細資訊,請參閱 在 Microsoft Intune 中包含和排除應用程式指派

提示

此原則類型目前僅適用於執行 iOS/iPadOS 8.0 和更新版本的裝置。 它支援下列應用程式安裝類型:

  • 來自應用程式市集的受管理 iOS/iPadOS 應用程式
  • iOS 版應用程式套件

如需應用程式安裝類型的詳細資訊,請參閱 如何將應用程式新增至 Microsoft Intune。 如需將應用程式設定併入受管理裝置的 .ipa 應用程式套件的詳細資訊,請參閱 iOS 開發人員文件 中的受管理應用程式設定。

建立應用程式設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 選擇 [應用程式]>[應用程式設定原則]>[新增]>[受管理裝置]。 請注意,您可以在 [受管理裝置][受管理應用程式] 之間進行選擇。 如需詳細資訊,請參閱 支援應用程式設定的應用程式

  3. [基本資料] 頁面上,指定下列資訊:

    • 名稱 - 顯示在 Microsoft Intune 系統管理中心的設定檔名稱。
    • 描述 - 顯示在 Microsoft Intune 系統管理中心的設定檔描述。
    • 裝置註冊類型 - 此設定設為 [受管理裝置]
  4. 選取 [iOS/iPadOS] 作為 [平台]

  5. 點擊 [目標應用程式] 旁的 [選取應用程式][相關聯的應用程式] 窗格隨即顯示。

  6. [目標應用程式] 窗格中,選擇要與設定原則相關聯的受管理應用程式,然後按一下 [確定]

  7. 按一下 [下一步] 以顯示 [設定] 頁面。

  8. 在下拉式方塊中,選取 [組態設定格式]。 選取下列其中一個方法,來新增組態資訊:

  9. 按一下 [下一步] 以顯示 [範圍標籤] 頁面。

  10. [選擇性] 您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

  11. 按一下 [下一步] 以顯示 [指派] 頁面。

  12. [指派] 頁面上,選取 [新增群組][新增所有使用者][新增所有裝置],以指派應用程式設定原則。 選取指派群組之後,您可以選取 [篩選條件],以在部署受管理裝置的應用程式設定原則時,精簡指派範圍。

    設定原則指派頁面的螢幕擷取畫面

  13. 在下拉式方塊中選取 [所有使用者]

    原則指派的螢幕擷取畫面 - [所有使用者] 下拉式清單選項

  14. [選擇性] 按一下 [編輯篩選條件],以新增 篩選條件 並精簡指派範圍。

    原則指派的螢幕擷取畫面 - 編輯篩選條件

  15. 按一下 [選取要排除的群組] 以顯示相關窗格。

  16. 選擇您想要排除的群組,然後按一下 [選取]

    注意事項

    新增群組時,如果指定的指派類型已包含任何其他群組,則會預先選取該群組,且無法針對其他包含指派類型進行變更。 因此,已使用的該群組不能作為排除的群組使用。

  17. 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。

  18. 按一下 [建立],以將應用程式設定原則新增至 Intune。

使用組態設計工具

Microsoft Intune 會提供專屬於應用程式的組態設定。 您可以針對已註冊或未在 Microsoft Intune 中註冊之裝置上的應用程式,使用組態設計工具。 設計工具可讓您設定特定的組態金鑰和值,以協助您建立基礎 XML。 您也必須為每個值指定資料類型。 這些設定會在安裝應用程式時,自動提供給應用程式。

新增設定

  1. 針對組態中的每個金鑰和值,設定:
    • 組態金鑰 - 區分大小寫的金鑰,用於唯一識別特定設定組態。
    • 值類型 - 組態值的資料類型。 類型包括整數、實數、字串或布林值。
    • 組態值 - 組態的值。
  2. 選擇 [確定],以設定組態設定。

刪除設定

  1. 選擇設定旁的省略號 (...)。
  2. 選取 [刪除]

{{ and }} 字元僅供權杖類型使用,不得用於其他用途。

只允許應用程式中已設定的組織帳戶

作為 Microsoft Intune 系統管理員,您可以控制要將哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織使用者帳戶,並封鎖已註冊裝置上上應用程式內的個人帳戶 (如若支援)。 針對 iOS/iPadOS 裝置,請在 [受管理裝置] 應用程式設定原則中使用下列金鑰/值組:

機碼
IntuneMAMAllowedAccountsOnly
  • 已啟用: 唯一允許的帳戶是由 IntuneMAMUPN 金鑰所定義的受管理使用者帳戶。
  • 已停用 (或任何與 [啟用] 不區分大小寫相符的值): 允許任何帳戶。
IntuneMAMUPN
  • 允許登入應用程式的帳戶 UPN。
  • 針對 Intune 註冊的裝置,可以使用 {{userprincipalname}} 權杖,來代表已註冊的使用者帳戶。

注意事項

下列應用程式會處理上述應用程式設定,且只允許組織帳戶:

  • iOS 版 Copilot (28.1.420324001 和更新版本)
  • iOS 版 Edge (44.8.7 和更新版本)
  • iOS 版 Office、Word、Excel、PowerPoint (2.41 和更新版本)
  • iOS 版 OneDrive (10.34 和更新版本)
  • iOS 版 OneNote (2.41 和更新版本)
  • iOS 版 Outlook (2.99.0 和更新版本)
  • iOS 版 Teams (2.0.15 和更新版本)

需要在應用程式中設定組織帳戶

在已註冊的裝置上,組織可以要求公司或學校帳戶登入受管理 Microsoft 應用程式,以便接收來自其他受管理應用程式的組織資料。 例如,假設使用者的附件包含在位於原生 iOS 郵件用戶端的受管理電子郵件設定檔內的電子郵件訊息中。 如果使用者嘗試將附件傳輸至在裝置上管理且已套用這些金鑰的 Microsoft 應用程式 (如 Office),則此設定會將傳輸的附件視為組織資料,從而要求公司或學校帳戶必須登入並強制執行應用程式防護原則設定。

針對 iOS/iPadOS 裝置,請針對每個 Microsoft 應用程式,在 [受管理裝置] 應用程式設定原則中使用下列金鑰/值組:

機碼
IntuneMAMRequireAccounts
  • 已啟用: 應用程式需要使用者登入 IntuneMAMUPN 金鑰所定義的受管理使用者帳戶,以接收組織資料。
  • 已停用 (或任何與 [啟用] 不區分大小寫相符的值): 不需要帳戶登入。
IntuneMAMUPN
  • 允許登入應用程式的帳戶 UPN。
  • 針對 Intune 註冊的裝置,可以使用 {{userprincipalname}} 權杖,來代表已註冊的使用者帳戶。

注意事項

應用程式必須具有 iOS 12.3.3 版或更新版本的 Intune APP SDK,而且在需要登入公司或學校帳戶時,必須以 Intune 應用程式防護原則 作為目標。 在應用程式防護原則中,「接收來自其他應用程式的資料」必須設定為「具有傳入組織資料的所有應用程式」。

目前,只有當目標應用程式有傳入組織資料時,才需要應用程式登入。

輸入 XML 資料

您可以輸入或貼上 XML 屬性清單,其中包含在 Intune 中註冊之裝置的應用程式組態設定。 XML 屬性清單的格式會根據您要設定的應用程式而有所不同。 如需要使用之確切格式的詳細資訊,請連絡應用程式的供應商。

Intune 會驗證 XML 格式。 不過,Intune 不會檢查 XML 屬性清單 (PList) 是否可與目標應用程式搭配使用。

若要深入瞭解 XML 屬性清單:

應用程式設定 XML 檔案的範例格式

當您建立應用程式設定檔時,可以使用此格式,來指定下列一或多個值:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

支援的 XML PList 資料類型

Intune 支援屬性清單中的下列資料類型:

  • <整數>
  • <實數>
  • <字串>
  • <陣列>
  • <dict>
  • <true /> 或 <false />

屬性清單中使用的權杖

此外,Intune 支援屬性清單中的下列權杖類型:

  • {{userprincipalname}}—例如,John@contoso.com
  • {{mail}}—例如,John@contoso.com
  • {{partialupn}}—例如,John
  • {{accountid}}—例如,fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}—例如,b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}—例如,3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}—例如,John Doe
  • {{serialnumber}}—例如,F4KN99ZUG5V2 (針對 iOS/iPadOS 裝置)
  • {{serialnumberlast4digits}}—例如,G5V2 (針對 iOS/iPadOS 裝置)
  • {{aaddeviceid}}—例如,ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}—例如,True (針對 iOS/iPadOS 裝置)
  • {{OnPremisesSamAccountName}}—例如,contoso\John

設定 [公司入口網站] 應用程式,以支援使用 [自動裝置註冊] 註冊的 iOS 和 iPadOS 裝置

根據預設,Apple 的 [自動裝置註冊] 與 [公司入口網站] 應用程式的應用程式市集版本不相容。 不過,即使當使用者已使用下列步驟從 App Store 下載 [公司入口網站],您也可以將 [公司入口網站] 應用程式設定為支援 iOS/iPadOS ADE 裝置。

  1. Microsoft Intune 系統管理中心,如果尚未新增 [Intune 公司入口網站] 應用程式,請移至 [應用程式]>[所有應用程式]>[新增]>[iOS Store App] 以新增 [Intune 公司入口網站] 應用程式。

  2. 移至 [應用程式]>[應用程式設定原則],以為 [公司入口網站] 應用程式建立應用程式設定原則。

  3. 使用下方 XML,建立應用程式設定原則。 如需如何建立應用程式設定原則並輸入 XML 資料的詳細資訊,請參閱 為受管理 iOS/iPadOS 裝置新增應用程式設定原則

    • 在使用使用者關聯功能註冊的 [自動裝置註冊 (ADE)] 裝置上使用 [公司入口網站]:

      注意事項

      當註冊設定檔將 「安裝公司入口網站」 設定為 [是] 時,Intune 會在初始註冊程序過程中,自動推送下列應用程式設定原則。 此設定不應手動部署至使用者或裝置,因為這會導致與註冊期間已傳送的承載發生衝突,從而導致終端使用者在登入 [公司入口網站] 之後,被要求下載新的管理設定檔 (而他們不應這麼做,因為這些裝置上已安裝管理設定檔)。

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • 在未使用使用者關聯功能 (也稱為 [裝置暫存]) 註冊的 ADE 裝置上使用 [公司入口網站]:

      注意事項

      登入 [公司入口網站] 的使用者會設定為裝置的主要使用者。

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. 使用以所需群組為目標的應用程式設定原則,將 [公司入口網站] 部署至裝置。 請務必僅將原則部署至已註冊 ADE 的裝置群組。

  5. 告知終端使用者,在系統自動安裝 [公司入口網站] 應用程式時,登入該應用程式。

注意事項

當您新增應用程式設定以允許不具有使用者關聯功能的 ADE 裝置上的 [公司入口網站] 應用程式時,您可能會遇到 STATE Policy Error。 不同於其他應用程式設定,這種情況並不會在每次裝置簽入時都適用。 相反地,此應用程式設定是一次性的作業,讓使用者在登入 [公司入口網站] 時,可在沒有使用者關聯功能的情況下註冊的現有裝置取得使用者關聯功能。 成功套用此應用程式設定之後,系統便會從背景的原則中移除此應用程式設定。 原則指派將會存在,但一旦系統移除背景中的應用程式設定後,將不會回報「成功」。 一旦應用程式設定原則套用至裝置之後,您就可以取消指派該原則。

監視每個裝置的 iOS/iPadOS 應用程式設定狀態

指派設定原則後,您便可以監視每個受管理裝置的 iOS/iPadOS 應用程式設定狀態。 從 Microsoft Intune 系統管理中心 中的 Microsoft Intune,選取 [裝置]>[所有裝置]。 從受管理裝置清單中,選取特定裝置以顯示該裝置的窗格。 在裝置窗格上,選取 [應用程式設定]

其他資訊

後續步驟

繼續 指派監視 該應用程式。