Intune 应用 SDK 托管应用的应用配置策略

Intune应用软件开发工具包 (SDK) 支持通过移动应用管理 (MAM) 通道交付应用配置。 在 Intune 管理中心内，MAM 通道称为“托管应用”应用配置策略。 MAM 通道不同于在注册设备时提供的移动设备管理 (MDM) OS 平台通道。

若要通过 MAM 通道支持应用配置，应用必须与 Intune 应用 SDK 集成。 业务线应用可以集成 Intune 应用 SDK，也可以使用 Intune 应用包装工具。 有关 Intune 应用 SDK 与 Intune 应用包装工具之间的比较，请参阅 为应用保护策略准备业务线应用。

通过使用 MAM 通道，应用可以接收应用配置策略，不管设备注册状态如何。 有关哪些应用通过 MAM 通道支持应用配置的信息，请参阅 Microsoft Intune 受保护的应用。 应查看来自应用供应商的文档，了解哪些配置可用，以及配置如何影响应用的行为。

有关详细信息，请参阅适用于Microsoft Intune的应用配置策略。

注意

此要求不适用于 Microsoft Teams Android 设备，因为将这些设备将继续受支持。

对于通过托管应用应用配置策略提供的 Intune 应用保护策略和应用配置，Intune 需要 Android 9.0 或更高版本。

为 iOS/iPadOS 和 Android 设备上的托管应用添加应用配置策略

使用以下步骤创建托管应用配置策略。 创建配置后，可以将其设置分配给用户组。

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “应用>配置>”“创建>托管应用”。

3. 在“基本信息”页上，设置以下详细信息：

   • 名称：将在门户中显示的配置文件的名称。
   • 说明：将在门户中显示的配置文件的说明。
   • 设备注册类型：已选择“托管应用”。

4. 选择 “选择公共应用” 或 “选择自定义应用 ”，选择要配置的应用。 从已批准并与 Intune 同步的应用列表中选择应用。

5. 单击“下一步”以显示“设置”页面。

6. “设置”页提供基于要配置的应用显示的选项：

   • 常规配置设置 - 对于应用支持的每个常规配置设置，请键入 “名称” 和“ 值”。

     Intune已启用应用 SDK 的应用支持键/值对中的配置。 若要详细了解支持哪些键值配置，请参阅每个应用的文档。 请注意，可以使用将使用应用程序生成的数据动态填充的令牌。 若要删除常规配置设置，请选择省略号 (...) 并选择 “删除”。 有关详细信息，请参阅 使用令牌的配置值。

   注意

   LocalDocsMLExempt使用配置密钥禁止托管应用打开本地存储和个人云存储中包含的文档。 个人云存储包括个人 OneDrive 和 iCloud。 有关相关应用配置信息，请参阅适用于Microsoft Intune的应用配置策略。

   有关特定Microsoft应用的应用配置设置的信息，请参阅：

   • 使用 Intune 在 iOS 和 Android 上管理 Microsoft Edge
   • 使用 Microsoft Intune 管理 Office for iOS 和 Android 中的协作体验
   • 部署 Outlook for iOS 和 Android 应用配置设置
   • 使用 Microsoft Intune管理 Teams for iOS 和 Android 中的协作体验

7. 单击“下一步”以显示“分配”页面。

8. 单击“ 选择要包含的组”。

9. 在“ 选择要包含的组”窗格中选择 一个组，然后单击“ 选择”。

10. 单击“选择要排除的组”以显示相关窗格。

11. 选择要排除的组，然后单击“选择”。

    注意

    添加组时，如果已为给定分配类型包含任何其他组，则对于其他包含分配类型，该组将预先选择且不可更改。 因此，已使用的组不能用作排除的组。

12. 单击“下一步”以显示“查看 + 创建”页。

13. 单击“创建”以将应用配置策略添加到 Intune。

为 Windows 设备上的托管应用添加应用配置策略

使用以下步骤创建 托管应用 应用配置策略。 创建配置后，可以将其设置分配给用户组。

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “应用>配置>”“创建>托管应用”。

3. 在“基本信息”页上，设置以下详细信息：

   • 名称：将在门户中显示的配置文件的名称。
   • 说明： (可选) 将在门户中显示的配置文件的说明。
   • 设备注册类型：选择“托管应用”。

4. 选择 “选择公共应用” 或 “选择自定义应用 ”，选择要配置的应用。 从已批准、添加并与 Intune 同步的应用列表中选择应用。

   注意

   目前，唯一受支持的应用是 Microsoft Edge for Windows。 目前不支持其他公共应用或自定义应用。

5. 单击“下一步”以显示“设置目录”页。 “设置”目录允许你选择要配置的设置。

6. 单击“ 添加设置” 以显示 “设置选取器 ”窗格。

7. 搜索、筛选或浏览设置目录以查找要选择的类别设置。 单击“ 搜索 ”以查找特定设置或设置子类别。

8. 选择组织所需的所有配置设置。

9. 选择要配置的设置后， “设置目录” 页将显示可以配置的所选设置。

10. 通过添加所需的详细信息来配置每个设置。 单击信息图标，查找每个设置的其他信息。

11. 单击“下一步”以显示“设置”页面。

12. “设置”页提供基于要配置的应用显示的选项：

    • 常规配置设置 - 对于应用支持的每个常规配置设置，请键入 “名称” 和“ 值”。

      Intune已启用应用 SDK 的应用支持键/值对中的配置。 若要详细了解支持哪些键值配置，请参阅每个应用的文档。 请注意，可以使用将使用应用程序生成的数据动态填充的令牌。 若要删除常规配置设置，请选择省略号 (...) 并选择 “删除”。 有关详细信息，请参阅 使用令牌的配置值。

13. 单击“下一步”以显示“分配”页面。

14. 单击“ 选择要包含的组”。

15. 在“ 选择要包含的组”窗格中选择 一个组，然后单击“ 选择”。

16. 单击“选择要排除的组”以显示相关窗格。

17. 选择要排除的组，然后单击“选择”。

    注意

    添加组时，如果已为给定分配类型包含任何其他组，则对于其他包含分配类型，该组将预先选择且不可更改。 因此，已使用的组不能用作排除的组。

18. 单击“下一步”以显示“查看 + 创建”页。

19. 单击“创建”以将应用配置策略添加到 Intune。

使用令牌的配置值

Intune可以生成某些令牌并将其发送到托管应用程序。 例如，如果应用配置可以使用电子邮件设置，则可以使用令牌添加动态电子邮件。 在“名称”字段中键入应用所需的 名称 ，然后键入 {{mail}} “ 值 ”字段。

Intune支持配置设置中的以下令牌类型。 不支持其他自定义键/值对。

• {{userprincipalname}} - 例如，John@contoso.com
• {{mail}} - 例如，John@contoso.com
• {{partialupn}} - 例如，John
• {{accountid}} - 例如，fc0dc142-71d8-4b12-bbea-bae2a8514c81
• {{userid}} - 例如，3ec2c00f-b125-4519-acf0-302ac3761822
• {{username}} - 例如，John Doe
• {{PrimarySMTPAddress}}，例如， testuser@ad.domain.com

注意

{{ and }} 字符仅由令牌类型使用，不得用于其他目的。

保护 VisionOS 设备上的数据

可以使用应用配置策略在Apple Vision Pro设备上保护特定应用。 Apple Vision Pro设备支持 VisionOS作系统。

配置应用后，可以将应用保护策略分配给 VisionOS 设备。 实施应用保护策略可确保在 VisionOS 设备上保护组织数据，同时保持合规性和安全性。

若要将应用保护策略应用于 Microsoft Edge (v136 或更高版本) 、OneDrive (v16.8.4 或更高版本) 和 Outlook (v4.2513.0 或更高版本) VisionOS 设备，必须先使用应用配置策略配置应用。

若要将配置设置添加到应用配置策略，请在 “设置” 页上的“ 常规配置设置” 部分下添加以下配置名称和值：

• 名称： com.microsoft.intune.mam.visionOSAllowiPadCompatApps
• 值： Enabled

若要将应用保护策略应用于 Microsoft Teams，请在创建应用保护策略时应用托管应用筛选器 app.deviceModel -startsWith “RealityDevice”。 有关托管应用属性的筛选器的详细信息，请参阅 托管应用属性。

有关创建应用保护策略的详细信息，请参阅 iOS 应用保护策略设置。

后续步骤

继续照常 分配 和 监视 应用。