使用 Microsoft Intune 配置应用

项目
03/29/2024

设置和部署 Intune 的功能并添加要管理的应用 Intune后，可以开始创建应用配置策略。应用配置策略允许组织成员 (最终用户) 在其设备上轻松安装和使用相关应用。通过使用应用配置策略，可帮助你消除应用设置问题。可以将配置设置分配给策略，然后在最终用户运行应用之前将其分配给他们。然后在最终用户设备上配置应用时自动提供设置。最重要的是，最终用户不需要执行操作。可以创建和使用应用配置策略，为 iOS/iPadOS 或 Android 应用提供配置设置。当应用检查这些设置（通常是第一次运行应用）时，将使用配置策略设置。

注意

并非始终需要或不需要应用配置策略。应用开发人员必须将应用配置支持合并到应用中，以允许通过Intune进行应用配置。

Intune以基于 Web 的控制台的形式提供，用于管理、保护和监视组织的所有终结点，无论这些终结点是设备还是应用。

与应用保护策略类似，在分配相关应用之前，应将应用配置策略分配给最终用户和/或设备。

直接在 Intune 中创建应用配置策略，这些策略对于每个应用和每个最终用户组都是唯一的。然后，可以将每个应用配置策略应用于最终用户和/或设备。可以使用许多不同的设置来配置应用。例如，应用配置设置可能需要指定以下任何详细信息：

自定义端口号
语言设置
S/MIME 设置
安全和保护设置
品牌设置 (，例如公司徽标)

如果最终用户改为输入这些设置，他们可能会错误地输入这些设置。应用配置策略有助于在整个企业中提供一致性，并减少最终用户尝试自行配置设置的技术支持呼叫。使用应用配置策略可以更轻松、更快地采用新应用。

应用配置策略的优点

应用配置策略可帮助你简化应用安装，提高应用采用率，减少设置问题，并确保应用配置一致性。此外，通过在正确设置中以一致的方式配置应用，可以更好地保护组织数据。

使用 Microsoft Intune 配置应用的好处

可用配置参数和配置参数的实现由应用程序的开发人员决定。应查看应用程序供应商的文档，了解哪些配置可用，以及配置如何影响应用程序的行为。对于某些应用程序，Intune 将填充可用配置设置。

注意

根据应用类型，在将应用添加到Intune时，可以选择自定义特定应用信息。常见应用信息包括应用的名称、说明、发布者、最低操作系统、隐私 URL 和其他属性。此信息在添加应用（而不是特定应用配置）中详述。例如，Windows 10 及更高版本Microsoft 365 应用版在将应用 (或应用套件) 添加到Intune时提供配置。请注意，为 iOS/iPadOS 和 Android 平台提供了应用配置策略。

先决条件

在使用 Microsoft Intune 配置和管理应用之前，必须遵循一些先决条件来设置Intune，并了解关键应用管理配置。

注意

如果你不熟悉Intune，请从免费试用版Microsoft Intune开始。可以免费试用 Intune 30 天。完成注册过程后，你将获得一个新租户，可用于评估Intune。租户是托管Intune订阅的Microsoft Entra ID (Microsoft Entra ID) 的专用实例。然后，可以配置租户，这涉及许多可用于保护组织的功能。其中之一涉及为Intune添加和配置应用。

如果尚未设置Intune并添加了需要管理的应用，请执行以下步骤：

重要

若要在免费试用版之外使用Microsoft Intune，需要从 Microsoft 获取许可证。有关包含Microsoft Intune的许可证的详细信息，请参阅Microsoft Intune许可。

虽然可以部署到组织成员的许多应用是免费的，但某些应用可能需要许可证、订阅或帐户才能让每个用户使用该应用。有关应用许可证的详细信息，请参阅了解 Intune 中使用的应用许可证。

支持应用配置的应用

已专门增强以支持统一终结点管理提供程序的应用（例如Microsoft Intune）可以支持配置。已启用可以使用 Intune 应用配置策略配置的应用，以支持使用 Intune App SDK 或Intune App Wrapping Tool的配置设置。有关已增强以支持Intune的应用列表，请参阅Microsoft Intune受保护的应用。请注意，应用无需支持应用配置或应用保护即可分配给最终用户和/或设备。

注意

在 Microsoft Intune 中支持配置的应用支持 AppConfig 社区标准。

确定管理部署模型

在将应用配置为由 Intune 管理之前，首先需要确定管理部署模型。 Intune支持移动设备管理 (MDM) 、移动应用程序管理 (MAM) ，以及 MDM + MAM。注册到 Intune的设备使用 MDM。 MDM 使组织能够在已注册的设备上保护其资源和数据。无需设备管理 (MDM) 即可自行管理 (MAM) 的应用，可以使用 Intune 进行配置和保护。借助 MAM，可以在应用程序中管理和保护组织的数据。

管理部署模型	说明
MDM	注册到 Intune的设备使用 MDM。 MDM 使组织能够在已注册的设备上保护其资源和数据。如果仅使用 MDM，则必须将应用配置策略通道设置为 “托管设备”。有关 MDM 的详细信息，请参阅Microsoft Intune注册。
MAM	可以使用 Intune 配置和保护在没有设备管理 (MDM) (MAM) 的应用。借助 MAM，可以在应用程序中管理和保护组织的数据。如果选择仅在组织成员使用的设备上管理应用而不注册或管理设备，则应用配置策略通道必须设置为 “托管应用 ”。此配置通常称为 MAM，无需设备注册。可以在未使用 Intune MDM 注册的设备上使用Intune配置和保护策略，使用 MAM 管理应用。 MAM 非常适合帮助保护组织成员用于个人和工作任务的移动设备上的组织数据。注意：无法将应用部署到设备。最终用户必须从应用商店获取应用。有关详细信息，请参阅不带设备管理的 MAM。
MDM + MAM	Intune允许你 (MDM) 管理设备，并 (MAM) 管理应用。此配置通常称为 MAM + MDM。可以在注册到 Intune MDM 的设备上使用 MAM 管理应用。通过托管应用通道传递的配置策略优先于通过托管设备通道传递的配置策略。有关 MDM + MAM 的详细信息，请参阅具有设备管理的 MAM。

管理部署模型

说明

MDM

注册到 Intune的设备使用 MDM。 MDM 使组织能够在已注册的设备上保护其资源和数据。如果仅使用 MDM，则必须将应用配置策略通道设置为 “托管设备”。有关 MDM 的详细信息，请参阅Microsoft Intune注册。

MAM

可以使用 Intune 配置和保护在没有设备管理 (MDM) (MAM) 的应用。借助 MAM，可以在应用程序中管理和保护组织的数据。如果选择仅在组织成员使用的设备上管理应用而不注册或管理设备，则应用配置策略通道必须设置为 “托管应用 ”。此配置通常称为 MAM，无需设备注册。可以在未使用 Intune MDM 注册的设备上使用Intune配置和保护策略，使用 MAM 管理应用。 MAM 非常适合帮助保护组织成员用于个人和工作任务的移动设备上的组织数据。

注意：
无法将应用部署到设备。最终用户必须从应用商店获取应用。

有关详细信息，请参阅不带设备管理的 MAM。

MDM + MAM

Intune允许你 (MDM) 管理设备，并 (MAM) 管理应用。此配置通常称为 MAM + MDM。可以在注册到 Intune MDM 的设备上使用 MAM 管理应用。通过 托管应用 通道传递的配置策略优先于通过 托管设备 通道传递的配置策略。有关 MDM + MAM 的详细信息，请参阅具有设备管理的 MAM。

请务必了解，根据组织中使用的管理工作流，你有不同的应用配置选项和功能。有关 MAM 的详细信息，请参阅 MAM 配置。有关管理部署模型的详细信息，请参阅在设备管理中注册和/或应用程序管理。

应遵循哪个流程？

使用 Microsoft Intune 配置应用的常见过程

应用配置过程流

将应用添加到Intune后，可以将应用配置策略分配给最终用户。在最终用户设备上安装应用时，将使用配置策略。

使用 Microsoft Intune 配置应用时的进程流

应用配置策略的传递通道

请务必了解支持 托管设备 的应用配置策略与 托管应用之间的差异。托管设备是在统一终结点管理提供程序中注册的设备，例如Microsoft Intune。这些已注册的设备使用统一终结点管理提供程序提供的移动设备管理 (MDM) 。 MDM 使组织能够在已注册的设备上保护其资源和数据。托管应用是通过统一终结点管理提供程序（例如Intune）分配给用户的应用。托管应用支持应用配置策略和应用保护策略。这些应用使用统一终结点管理提供程序提供的移动应用程序管理 (MAM) 。 MAM 使组织能够在应用程序中管理和保护其数据。

在 Intune 中创建应用配置策略时，可通过两种方式使用 Intune传递应用配置：

在已注册的设备上使用移动设备管理 (MDM) OS 通道
- 对于 iOS 设备，请使用适用于 iOS 的托管应用程序配置通道
- 对于 Android 设备，请在适用于 Android 的企业频道中使用 Android
使用移动应用程序管理 (MAM) 通道

Intune 将这些不同的应用配置策略通道表示为：

托管设备 - 设备由 Intune 作为统一终结点管理提供程序进行管理。应用必须固定到 iOS/iPadOS 上的管理配置文件，或通过 Android 设备上的托管 Google Play 进行部署。此外，应用支持所需的应用配置。
托管应用 - 已集成Intune应用 SDK 或使用Intune包装工具包装的应用，并支持应用保护策略 (应用) 和/或应用配置策略。在此配置中，设备的注册状态或应用传递到设备的方式都无关紧要。应用支持所需的应用配置。使用 托管应用 应用配置策略可以保护非托管 (未注册) 设备上的应用。

对于用户首选项，应用可能会以不同的方式处理应用配置策略设置。例如，对于 Outlook for iOS 和 Android， 重点收件箱 应用配置设置遵循用户设置，允许用户替代管理员意向。其他设置可以让你控制用户是否可以根据管理员意图更改设置。

使用 Microsoft Intune，通过 MDM OS 通道传递的应用配置称为托管设备应用程序配置策略 (ACP) 。通过应用保护策略通道提供的应用配置称为托管应用应用程序配置策略。

重要

Intune中的应用配置取决于你和你的组织使用 (MDM、MAM 或 MDM+MAM) 的管理工作流。有关详细信息，请参阅确定管理部署模型。

了解应用配置策略

如上所述，可以使用应用配置策略为托管应用应用配置。可以从Microsoft Intune管理中心创建和分配这些策略。创建应用配置策略时，首先选择为 托管设备 或 托管应用 创建策略，如上所述。然后，添加以下策略区域/操作：

基本信息 - 必须添加策略名称、目标平台和目标应用。
设置 - 有两种方法可将设置添加到策略。可以选择使用更可视化的配置设计器，也可以输入 XML 数据。这两种方法都可以获得相同的结果，但是一旦创建了策略，格式就不能更改。每个设置包括配置键、值类型和配置值。请务必注意，应用配置密钥区分大小写。必须使用正确的大小写来确保配置生效。
范围标记 - 可以选择设置标记，以根据每个Intune管理员的角色缩小所使用的策略的访问范围。
分配 - 可以设置为哪些用户分配了应用配置策略。选择分配组后，可以选择筛选器，以便在为托管设备部署应用配置策略时优化分配范围。
查看 + 创建 - 确认策略设置，然后创建新策略。选择“ 创建”时，将保存更改，并将策略部署到组。该策略还会显示在应用配置策略列表中。

有关详细信息，请参阅应用配置策略、 iOS 托管设备和 Android 托管设备。

托管设备的常规应用配置

若要支持在已注册设备上通过Intune部署的应用配置，必须编写应用以支持使用 OS 定义的应用配置。有关他们支持通过 MDM OS 通道传递的应用配置密钥的详细信息，请咨询应用供应商。使用 MDM OS 通道时，应用配置传递通常有四种方案：

配置方案	说明
仅允许组织帐户	某些公司要求捕获其公司环境中的所有通信信息，并确保设备仅用于公司通信。为了支持这些要求，可以将已注册设备上适用于 iOS 和 Android 的多个Microsoft应用配置为仅允许在应用中预配单个组织帐户。有关详细信息，请参阅以下设置： Android 设置 iOS 设置
帐户设置配置设置	与已在统一终结点管理中注册的托管设备一起使用， (UEM) 解决方案。支持任何 UEM 提供程序。对于某些适用于 iOS/iPadOS 和 Android 的 M365 应用（如 Microsoft Outlook），你可以将帐户配置“推送”给利用混合新式身份验证用户的用户。有关帐户设置配置的详细信息，请参阅 Exchange Online 中使用新式身份验证设置帐户。
常规应用配置设置	应用配置策略包含“设置”窗格中的“常规配置设置”部分。在本部分中，可以键入 “名称” 和 “值 ”来配置应用的设置。名称也称为键。
特定于应用的配置设置	多个应用还包含应用配置策略的 “设置” 窗格中的唯一应用配置部分。若要了解哪些应用支持配置，请参阅 Microsoft和第三方应用列表。对于第三方应用，可能需要查看应用开发人员的文档或直接与他们联系以了解其应用的配置密钥和值。

托管应用的常规应用配置

通过 MAM 通道传递应用配置不需要注册设备，也不要求通过统一终结点管理解决方案管理或传递应用。使用 MAM 通道进行应用配置传递有三种方案：

常规应用配置设置
S/MIME 配置设置
高级应用数据保护设置，用于扩展应用保护策略提供的功能

其他应用配置功能

可以将某些受支持的应用配置为添加其他功能。这些功能可能取决于应用平台、应用配置策略和特定应用本身。

启用连接的 Android 应用

你可以允许最终用户使用 Android 个人拥有和公司拥有的工作配置文件为受支持的应用启用连接应用体验。此应用配置设置使应用能够在 Android 上跨工作和个人应用实例连接和集成应用数据。要使应用提供此体验，应用需要与 Google 的连接应用 SDK 集成，这意味着只有有限的应用支持它。可以主动打开连接应用设置，当应用添加支持时，用户能够启用连接的应用体验。有关详细信息，请参阅启用连接的应用。

Android 应用的授予状态

可以预配置应用权限以访问 Android 设备功能。默认情况下，需要设备权限（例如对位置或设备相机的访问权限）的 Android 应用会提示用户接受或拒绝权限。有关详细信息，请参阅预配置应用的权限授予状态。

Microsoft应用配置

为支持统一终结点管理提供程序而增强的特定Microsoft应用（例如Microsoft Intune）支持一组常见的配置功能。这些配置功能是受保护Microsoft应用可能提供的特定应用配置设置的补充。受保护的 Microsoft应用包括常见设置，如下所示：

组织允许的帐户模式
S/MIME 设置

仅按组织帐户配置访问权限

你可以控制将哪些工作或学校帐户添加到托管设备上的Microsoft应用。可以将访问限制为仅限允许的组织用户帐户，并阻止已注册设备上应用中的个人帐户（如果支持）。此方案中使用的 iOS 配置键包括 IntuneMAMAllowedAccountsOnly 和 IntuneMAMUPN。 Android 配置键为 com.microsoft.intune.mam.AllowedAccountUPNs。

以下应用支持仅配置组织帐户的访问权限：

iOS/iPadOS:
- 适用于 iOS 的 Edge（44.8.7 及更高版本）
- 适用于 iOS 的 Office、Word、Excel、PowerPoint（2.41 及更高版本）
- 适用于 iOS 的 OneDrive（10.34 及更高版本）
- 适用于 iOS 的 OneNote（2.41 及更高版本）
- 适用于 iOS 的 Outlook（2.99.0 及更高版本）
- 适用于 iOS 的 Teams（2.0.15 及更高版本）
Android：
- 适用于 Android 的 Edge（42.0.4.4048 及更高版本）
- 适用于 Android 的 Office、Word、Excel、PowerPoint（16.0.9327.1000 及更高版本）
- OneDrive for Android（5.28 及更高版本）
- OneNote for Android（16.0.13231.20222 或更高版本）
- Outlook for Android（2.2.222 及更高版本）
- 适用于 Android 的 Teams（1416/1.0.0.2020073101 及更高版本）

有关详细信息，请参阅 iOS/iPadOS - 仅允许在应用中配置的组织帐户和 Android - 仅允许在应用中配置的组织帐户。

此解决方案中的内容

此解决方案引导你完成在 Microsoft Intune 中为特定应用创建应用配置策略并将这些策略分配给组织的过程。完成上述先决条件后，即可在 Intune 中为组织创建应用保护策略。在应用管理过程中使用配置和保护策略，组织成员可以安全地使用应用。通过管理组织中的应用，有助于保护组织的数据。

配置公司门户

如果组织使用 Intune 管理设备，则需要使用公司门户应用。组织中的最终用户使用公司门户安全地访问公司数据并执行常见任务。最终用户可以使用公司门户应用、公司门户网站或Intune应用访问这些任务和信息。公司门户应用支持 iOS/iPadOS、Linux、macOS 和 Windows 设备。 Intune应用支持 Android 设备。

注意

“公司门户”通常用作Intune应用、公司门户应用和公司门户网站的描述符。

如果仅 (MDM) 管理设备，则无需使用公司门户。如果使用 MAM 或 MDM + MAM，则需要使用公司门户。

作为Intune管理员，你可以为组织自定义公司门户用户体验。具体而言，可以设置公司门户品牌、支持信息、注册、隐私、通知、设备类别、应用源和自助服务操作。

有关建议的应用配置步骤，请参阅自定义和配置公司门户。

配置 Microsoft Outlook

Outlook for iOS 和 Android 支持允许统一终结点管理的应用设置 (UEM) 管理员 (使用 Microsoft Intune) 和 Microsoft 365 等工具或Office 365管理员来自定义应用的行为。

Outlook for iOS 和 Android 应用旨在通过将电子邮件、日历、联系人和其他文件汇集在一起，使组织中的用户能够从移动设备执行更多操作。

在订阅企业移动性 + 安全性套件（包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能（如条件访问））时，可以使用最丰富且最广泛的 Microsoft 365 数据保护功能。

注意

除了实现应用配置策略外，还需要部署允许从移动设备连接到 Outlook for iOS 和 Android 的条件访问策略，以及确保协作体验受到保护的Intune应用保护策略。

有关建议的应用配置步骤，请参阅配置 Microsoft Outlook。

配置 Microsoft 365 应用版

Microsoft 365 (M365) （以前称为 Microsoft Office）是一套生产力应用，包括Microsoft Word、Excel、PowerPoint、Teams 等。 Microsoft Intune是将 M365 应用安装到组织中的设备和用户的建议方法。

Windows、iOS 和 Android 提供了几个关键优势，包括：

将 Word、Excel 和 PowerPoint 整合在一起，通过减少需要下载或切换的应用数量简化了体验。与安装单个应用相比，它需要的手机存储空间要少得多，同时保留了人们已了解和使用的现有移动应用的几乎所有功能。
集成 Office Lens 技术，这将帮助你的组织使用其设备的相机功能。这些功能包括将图像转换为可编辑Word和 Excel 文档、扫描 PDF，以及使用自动数字增强功能捕获白板，使内容更易于阅读。
为用户在手机上工作时经常遇到的常见任务添加新功能，例如制作快速笔记、签署 PDF 文件、扫描 QR 码以及在设备之间传输文件。

订阅企业移动性 + 安全性套件时，Microsoft 365 数据提供最丰富、最广泛的保护功能，其中包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能。

有关建议的应用配置步骤，请参阅配置Microsoft 365 应用版。

配置 Microsoft Edge

适用于 iOS 和 Android 的 Edge 旨在使用户能够浏览 Web 并支持多身份。用户可以添加工作帐户和个人帐户进行浏览。这两个身份之间完全分离，就像其他 Microsoft 移动应用中提供的那样。

有关建议的应用配置步骤，请参阅配置 Microsoft Edge。

配置 Microsoft Teams

Microsoft Teams 是 Microsoft 365 中的团队协作中心，它集成了团队参与度和效率所需的人员、内容和工具。

有关建议的应用配置步骤，请参阅配置 Microsoft Teams。

配置其他应用

Microsoft Intune支持配置已增强以支持Intune的特定应用。这些应用包括 Microsoft应用、合作伙伴高效应用和合作伙伴 UEM 应用。对于合作伙伴生产力应用，可能需要联系应用供应商，了解有关Intune相关设置和支持的具体详细信息。

有关建议的应用配置步骤，请参阅配置其他应用。

验证应用配置

Intune提供应用配置状态报告，以帮助你监视已部署到最终用户的应用。此外，Intune为每个设备提供诊断日志和配置状态。

有关建议的应用配置步骤，请参阅监视应用配置。

完成上述步骤后，即可保护、分配和监视组织使用的托管应用。

通过