Microsoft Intune 的应用配置策略

应用配置策略可让你将配置设置分配给在最终用户运行应用之前分配给他们的策略,从而帮助你消除应用设置问题。 然后在最终用户设备上配置应用时自动提供设置,最终用户无需执行操作。 配置设置对于每个应用都是唯一的。

可以创建和使用应用配置策略,为 iOS/iPadOS 或 Android 应用提供配置设置。 这些配置设置允许使用应用配置和管理自定义应用。 当应用检查这些设置(通常是第一次运行应用)时,将使用配置策略设置。

例如,应用配置设置可能需要指定以下任何详细信息:

  • 自定义端口号
  • 语言设置
  • 安全设置
  • 品牌设置,如公司徽标

如果最终用户改为输入这些设置,他们可能会错误地执行此操作。 应用配置策略可帮助在整个企业之间提供一致性,并减少尝试自行配置设置的最终用户发出的支持人员呼叫。 使用应用配置策略可以更轻松、更快地采用新应用。

可用配置参数和配置参数的实现由应用程序的开发人员决定。 应查看应用程序供应商的文档,了解哪些配置可用,以及配置如何影响应用程序的行为。 对于某些应用程序,Intune 将填充可用配置设置。

注意

在托管 Google Play 商店中,支持配置的应用将标记为如下:

已配置应用的屏幕截图

使用托管设备作为 Android 设备的注册类型时,只会看到 托管 Google Play 商店中的应用,而不是 Google Play 商店中的应用。

可以使用 包含和排除分配的组合,将应用配置策略分配给一组最终用户和设备。 在添加或更新应用配置策略的过程中,可以设置应用配置策略的分配。 为策略设置分配时,可以选择包括和排除应用策略的最终用户 。 选择包含一个或多个组时,可以选择要包含的特定组或选择内置组。 内置组包括 所有用户所有设备所有用户 + 所有设备

在为托管 iOS 和 Android 设备部署应用配置策略时,还可以使用 筛选器 来优化分配范围。 必须先使用适用于 iOS 和 Android 的任何可用属性 创建筛选器 。 然后,在Microsoft Intune管理中心,可以通过选择“应用>”“应用配置策略”“添加>托管设备”并转到“分配”页来分配托管应用配置策略>。 选择组后,可以通过选择筛选器并决定在 “包括 ”或“ 排除” 模式下使用它来优化策略的适用性。

应用配置策略工作负荷提供已为租户创建的应用配置策略列表。 此列表提供详细信息,例如名称、平台、更新、注册类型和范围标记。 有关特定应用配置策略的其他详细信息,请选择该策略。 在“策略 概述 ”窗格中,可以看到特定详细信息,例如基于设备和基于用户的策略状态,以及是否已分配策略。

支持应用配置的应用

应用配置可以通过已注册设备上的移动设备管理 (MDM) OS 通道 (适用于 iOS 的托管应用程序配置通道或适用于 Android) 的企业通道中的 Android,或通过移动应用程序管理 (MAM) 通道传递。

Intune 将这些不同的应用配置策略通道表示为:

  • 托管设备 - 设备由 Intune 作为统一终结点管理提供程序进行管理。 应用必须固定到 iOS/iPadOS 上的管理配置文件,或通过 Android 设备上的托管 Google Play 进行部署。 此外,应用支持所需的应用配置。
  • 托管应用 - 已集成Intune应用 SDK 或已使用Intune包装工具包装的应用,并支持应用保护策略 (应用) 。 在此配置中,设备的注册状态或应用传递到设备的方式都无关紧要。 应用支持所需的应用配置。

设备注册类型

对于用户首选项,应用可能会以不同的方式处理应用配置策略设置。 例如,使用 Outlook for iOS 和 Android,重点收件箱 应用配置设置将尊重用户设置,从而允许用户替代管理员意向。 其他设置可能允许你控制用户是否可以根据管理员意向更改设置。

注意

此要求不适用于 Microsoft Teams Android 设备,因为将这些设备将继续受支持。

对于通过托管应用应用配置策略提供的 Intune 应用保护策略和应用配置,Intune 需要 Android 9.0 或更高版本。

托管设备

选择“托管设备”作为“设备注册类型”专门是指Intune在已注册设备上部署的应用,因此由 Intune 作为注册提供程序进行管理。

若要支持在已注册设备上通过Intune部署的应用配置,必须编写应用以支持使用 OS 定义的应用配置。 有关他们支持通过 MDM OS 通道传递的应用配置密钥的详细信息,请咨询应用供应商。 使用 MDM OS 通道时,应用配置传递通常有四种方案:

  • 仅允许工作或学校帐户
  • 帐户设置配置设置
  • 常规应用配置设置
  • S/MIME 配置设置

托管应用

选择 托管应用 作为 设备注册类型,具体是指在设备上配置了 Intune 应用保护策略的应用,而不考虑注册状态。

若要通过 MAM 通道支持应用配置,应用必须与 Intune 应用 SDK 集成。 业务线应用可以集成 Intune 应用 SDK,也可以使用 Intune 应用包装工具。 有关 Intune 应用 SDK 与 Intune 应用包装工具之间的比较,请参阅 为应用保护策略准备业务线应用

通过 MAM 通道传递应用配置不需要注册设备,也不需要通过统一终结点管理解决方案管理或交付应用。 使用 MAM 通道进行应用配置传递有三种方案:

  • 常规应用配置设置
  • S/MIME 配置设置
  • 扩展应用保护策略提供的功能的高级应用数据保护设置

注意

与Intune应用保护策略一起部署时,Intune托管应用将检查Intune 应用程序配置策略状态的间隔为 30 分钟。 如果未向用户分配 Intune 应用保护策略,则 Intune 应用程序配置策略签入间隔设置为 720 分钟。

有关哪些应用通过 MAM 通道支持应用配置的信息,请参阅 Microsoft Intune 受保护的应用

Android 企业版安全配置策略

对于 Android Enterprise 应用配置策略,可以在创建应用配置文件之前选择设备注册类型。 可以考虑基于注册类型的证书配置文件。

注册类型可以是以下类型之一:

  • 所有配置文件类型:如果创建新的配置文件,并且为设备注册 类型选择了“所有配置文件类型 ”,则无法将证书配置文件与应用配置策略相关联。 此选项支持用户名和密码身份验证。 如果使用基于证书的身份验证,请不要使用此选项。
  • 仅完全托管、专用和 Corporate-Owned 工作配置文件:如果创建了新配置文件,并且选择了“完全托管”、“专用”和“仅 Corporate-Owned 工作配置文件”,则可以使用在“设备>管理设备>配置”下创建的“完全托管”、“专用”和“Corporate-Owned 工作配置文件”证书策略。 此选项支持基于证书的身份验证以及用户名和密码身份验证。 完全托管 与 Android Enterprise 完全托管设备 (COBO) 相关。 专用 与 Android Enterprise 专用设备 (COSU) 相关。 公司拥有的工作配置文件 与 Android Enterprise 公司拥有的工作配置文件 (COPE) 相关。
  • 仅限个人拥有的工作配置文件:如果创建了新配置文件,并选择 了“仅限个人拥有的工作配置文件 ”,则可以使用在 “设备>管理设备>配置 ”下创建的工作配置文件证书策略。 此选项支持基于证书的身份验证以及用户名和密码身份验证。

注意

如果将 Gmail 或 Nine 配置文件部署到不涉及用户的 Android Enterprise 专用设备工作配置文件,则会失败,因为Intune无法解析用户。

重要

在 2020 年 4 月版本 (-2004 年 4 月版本发布此功能之前创建的现有策略) 没有任何与策略关联的证书配置文件将默认为设备注册 类型的所有配置文件类型 。 此外,在此功能发布之前创建且具有关联证书配置文件的现有策略将默认为“工作配置文件”。

现有策略不会修正或颁发新证书。

验证应用配置策略

可以使用以下三种方法验证应用配置策略:

  1. 在设备上明显验证应用配置策略。 确认目标应用正在显示应用配置策略中应用的行为。

  2. 通过诊断日志进行验证 (请参阅) 下面的 诊断日志 部分。

  3. 在Microsoft Intune管理中心进行验证。 在Microsoft Intune管理中心,选择“应用>”“所有应用>”选择相关应用*。 然后,在“监视”部分下,选择“设备安装状态:设备安装状态报告”监视配置策略针对的所有设备的最新检查。 设备安装状态的第一个屏幕截图

    此外,在Microsoft Intune管理中心,选择“设备>”“所有设备>”,选择设备>“应用配置”。 应用配置** 窗格将显示所有分配的策略及其状态:

    应用配置的屏幕截图

诊断日志

非托管设备上的 iOS/iPadOS 配置

可以使用Intune诊断日志来验证通过托管应用配置策略部署的设置的 iOS/iPadOS 配置。 除了以下步骤,还可以使用 Microsoft Edge 访问托管应用日志。 有关详细信息,请参阅 使用 Microsoft Edge for iOS 和 Android 访问托管应用日志

  1. 如果设备上尚未安装,请从App Store下载并安装 Microsoft Edge。 有关详细信息,请参阅Microsoft Intune受保护的应用

  2. 启动 Microsoft Edge 并在地址框中输入 about:intunehelp

  3. 单击“ 开始”。

  4. 单击“ 共享日志”。

  5. 使用你选择的邮件应用将日志发送给自己,以便在电脑上查看日志。

  6. 在文本文件查看器中查看 IntuneMAMDiagnostics.txt

  7. 搜索 ApplicationConfiguration。 结果将如下所示:

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
                Value = true;
                }
            );
        }
    

应用程序配置详细信息应与为租户配置的应用程序配置策略匹配。

目标应用配置

托管设备上的 iOS/iPadOS 配置

可以在托管设备上使用Intune诊断日志来验证 iOS/iPadOS 配置,以便进行托管应用配置。

  1. 如果设备上尚未安装,请从App Store下载并安装 Microsoft Edge。 有关详细信息,请参阅Microsoft Intune受保护的应用
  2. 启动 Microsoft Edge 并在地址框中输入 about:intunehelp
  3. 单击“ 开始”。
  4. 单击“ 共享日志”。
  5. 使用你选择的邮件应用将日志发送给自己,以便在电脑上查看日志。
  6. 在文本文件查看器中查看 IntuneMAMDiagnostics.txt
  7. 搜索 AppConfig。 结果应与为租户配置的应用程序配置策略匹配。

托管设备上的 Android 配置

可以在托管设备上使用Intune诊断日志来验证 Android 配置,以便进行托管应用配置。

若要从 Android 设备收集日志,你或最终用户必须通过 USB 连接 (或设备 ) 上的等效文件资源管理器从设备下载日志。 步骤如下:

  1. 使用 USB 电缆将 Android 设备连接到计算机。

  2. 在计算机上,查找具有设备名称的目录。 在该目录中,找到 Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal

  3. com.microsoft.windowsintune.companyportal 文件夹中,打开“文件”文件夹并打开 OMADMLog_0

  4. AppConfigHelper搜索以查找与应用配置相关的消息。 结果将类似于以下数据块:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

图形 API对应用配置的支持

可以使用图形 API来完成应用配置任务。 有关详细信息,请参阅图形 API参考 MAM 定向配置。有关Intune和 Graph 的详细信息,请参阅在 Microsoft Graph 中使用Intune

疑难解答

使用日志显示配置参数

当日志显示已确认正在应用但似乎不起作用的配置参数时,应用开发人员的配置实现可能存在问题。 首先联系该应用开发人员或查看其知识库,可能会通过Microsoft为你节省支持电话。 如果在应用中处理配置的方式存在问题,则必须在该应用的未来更新版本中解决该问题。

后续步骤

托管设备

托管应用