Microsoft Intune 的應用程式組態原則

應用程式設定原則可讓您將組態設定指派給使用者，然後再指派給使用者執行應用程式，以協助您消除應用程式設定問題。 然後，當應用程式在使用者裝置上設定時，會自動提供設定，而且使用者不需要採取動作。 每個應用程式的組態設定都是獨特的。

您可以建立和使用應用程式設定原則，為 iOS/iPadOS 或 Android 應用程式提供組態設定。 這些組態設定可允許使用應用程式組態和管理來自訂應用程式。 組態原則設定會在應用程式檢查這些設定時使用，通常是在應用程式第一次執行時。

例如，應用程式組態設定可能需要您指定下列任何詳細資料：

• 自訂連接埠號碼
• 語言設定
• 安全性設定
• 商標設定，例如公司標誌

如果使用者改為輸入這些設定，他們可能會錯誤地執行此動作。 應用程式設定原則有助於在整個企業中提供一致性，並減少使用者嘗試自行設定設定的技術支援人員呼叫。 透過使用應用程式組態原則，可以更容易且更快速地採用新應用程式。

可用的組態參數和組態參數的實作是由應用程式的開發人員決定。 應檢閱應用程式廠商的文件，以查看可用的組態，以及這些組態如何影響應用程式的行為。 針對某些應用程式，Intune 會填入可用的組態設定。

注意事項

在受管理的 Google Play 商店中，支援組態的應用程式會標示如下：

使用受控裝置作為 Android 裝置的註冊類型時，您只會看到 來自受管理 Google Play 商店的應用程式，而不是 Google Play 商店。

您可以使用 包含和排除指派的組合，將應用程式設定原則指派給一組使用者和裝置。 在新增或更新應用程式設定原則的程式中，您可以設定應用程式設定原則的指派。 當您設定原則的指派時，您可以選擇包含和排除套用原則的使用者 群組 。 當您選擇包含一或多個群組時，您可以選擇選取要包含的特定群組，或選取內建群組。 內建群組包括 [所有使用者]、[所有裝置] 和 [所有使用者 + 所有裝置]。

您也可以在為受控 iOS 和 Android 裝置部署應用程式設定原則時，使用 篩選 來精簡指派範圍。 您必須先使用 iOS 和 Android 的任何可用屬性來 建立篩選器 。 然後，在 Microsoft Intune 系統管理中心中，您可以選取 [應用程式設定>] [建立>>受控裝置]，然後移至指派頁面，以指派受控應用程式設定原則。 選取群組之後，您可以選擇篩選器，並決定在 「包含」 或「 排除 」模式中使用它，以精簡原則的適用性。

應用程式設定原則工作負載提供已針對租用戶建立的應用程式設定原則清單。 此清單提供詳細資料，例如名稱、平台、更新、註冊類型和範圍標記。 如需特定應用程式設定原則的其他詳細資料，請選取原則。 在原則 概觀 窗格中，您可以看到特定詳細資料，例如基於裝置和使用者的原則狀態，以及是否已指派原則。

支援應用程式組態的應用程式

應用程式設定可以透過已註冊 (裝置上的行動裝置管理 (MDM) OS 通道傳遞，在 iOS 的受控應用程式組態通道或 Android) 的企業通道中的 Android，或透過行動應用程式管理 (MAM) 通道。

Intune 會以以下方式呈現這些不同的應用程式組態原則通道：

• 受控裝置 - 裝置是由 Intune 作為統一端點管理提供者來管理。 應用程式必須釘選至 iOS/iPadOS 上的管理設定檔，或透過 Android 裝置上的受管理 Google Play 部署。 此外，應用程式支援所需的應用程式組態。
• 受控應用程式 - 已整合 Intune 應用程式 SDK 或已使用 Intune 包裝工具包裝並支援應用程式保護原則的應用程式。 在此設定中，裝置的註冊狀態或應用程式傳遞至裝置的方式都無關緊要。 應用程式支援所需的應用程式組態。

應用程式可能會以不同方式處理應用程式組態原則設定，但遵守使用者喜好設定。 例如，使用 iOS 版和 Android 版 Outlook 時，焦點收件匣應用程式組態設定會遵守使用者設定，讓使用者可以覆寫系統管理員意圖。 其他設定可讓您控制使用者是否可以根據管理員意圖變更設定。

注意事項

此需求不適用 Microsoft Teams Android 裝置，因為這些裝置將繼續受到支援。

針對透過受控應用程式應用程式設定原則傳遞的 Intune 應用程式保護原則和應用程式設定，Intune 需要 Android 10.0 或更新版本。

受管理裝置

選取 [受控裝置] 作為 [ 裝置註冊類型 ] 特別是指 Intune 在已註冊裝置上部署的應用程式，因此由 Intune 作為註冊提供者進行管理。

若要支援透過 Intune 在已註冊裝置上部署的應用程式的應用程式設定，必須撰寫應用程式以支援使用 OS 所定義的應用程式設定。 請洽詢你的 App 廠商，以取得他們支援透過 MDM OS 通道傳遞的 App 設定金鑰的詳細資訊。 使用 MDM OS 通道進行應用程式組態傳遞通常有四種案例：

• 只允許公司或學校帳戶
• 帳戶設定組態設定
• 一般應用程式組態設定
• S/MIME 組態設定

受管理應用程式

選取 [受管理的應用程式] 做為 [裝置註冊類型]，特別是指在裝置上設定使用 Intune 應用程式防護原則的應用程式，而無論註冊狀態如何。

若要支援透過 MAM 通道的應用程式組態，應用程式必須與 Intune App SDK 整合。 企業營運應用程式可以整合 Intune App SDK 或使用 Intune App Wrapping Tool。 如需 Intune App SDK 與 Intune App Wrapping Tool 之間的比較，請參閱針對應用程式防護原則準備企業營運應用程式。

透過 MAM 通道傳遞應用程式設定不需要註冊裝置，也不需要透過統一端點管理解決方案管理或傳遞應用程式。 使用 MAM 通道進行應用程式組態傳遞有三種案例：

• 一般應用程式組態設定
• S/MIME 組態設定
• 進階應用程式保護原則資料保護設定，以擴充應用程式保護原則所提供的功能

注意事項

當與 Intune 應用程式保護原則一起部署時，Intune 受控應用程式會以 30 分鐘的間隔簽入 Intune 應用程式組態原則狀態。 如果未將 Intune 應用程式防護原則指派至使用者，則 Intune 應用程式組態原則簽入間隔會設定為 720 分鐘。

如需哪些應用程式透過 MAM 通道支援應用程式組態的相關資訊，請參閱受 Microsoft Intune 保護的應用程式。

Android Enterprise 應用程式組態原則

針對 Android Enterprise 應用程式設定原則，您可以在建立應用程式組態配置檔之前選取裝置註冊類型。 您可以根據註冊類型來考慮憑證設定檔。

註冊類型可以是下列其中一種：

• 所有設定檔類型：如果建立新的設定檔，且針對裝置註冊類型選取 [所有設定檔類型 ]，您將無法將憑證設定檔與應用程式組態原則建立關聯。 此選項支援使用者名稱和密碼驗證。 如果您使用憑證型驗證，請勿使用此選項。
• 完全受控、專用和 Corporate-Owned 工作設定檔：如果建立新設定檔，並選取完全受控、專用和 Corporate-Owned 工作設定檔，則可以使用在裝置>管理裝置>設定下建立的完全受控、專用和 Corporate-Owned 工作設定檔憑證原則。 此選項支援憑證式驗證和使用者名稱和密碼驗證。 完全受控與 Android Enterprise 完全受控裝置 (COBO) 相關。 專用與 Android Enterprise 專用裝置 (COSU) 相關。 公司擁有的工作配置檔與 Android Enterprise 公司擁有的工作配置檔 (COPE) 相關。
• 僅限個人擁有的工作設定檔：如果建立新設定檔並選取 僅限個人擁有的工作設定檔， 則可以使用在 裝置>管理裝置>設定 下建立的工作設定檔憑證原則。 此選項支援憑證式驗證和使用者名稱和密碼驗證。

注意事項

如果您將 Gmail 或 Nine 組態配置檔部署至不涉及使用者的 Android Enterprise 專用裝置工作配置檔，則會失敗，因為 Intune 無法解析使用者。

重要事項

在此功能發行之前建立的現有原則 (2020 年 4 月版 - 2004) ，如果沒有任何與原則相關聯的憑證設定檔，則裝置註冊類型將預設為 [所有設定檔類型 ]。 此外，在此功能發行之前建立且具有相關聯憑證設定檔的現有原則將預設為僅工作設定檔。

現有的原則不會補救或發行新的憑證。

驗證已套用的應用程式組態原則

您可以使用下列三種方法來驗證應用程式設定原則：

1. 驗證裝置上的應用程式組態原則可見性。 確認目標應用程式呈現在應用程式組態原則中套用的行為。

2. 通過診斷日誌進行驗證 (請參閱下面的 診斷日誌 部分) 。

3. 在 Microsoft Intune 系統管理中心進行驗證。 在 Microsoft Intune 系統管理中心中，選取 [應用程式>] [所有應用程式>]，選取相關的應用程式*。 然後，在 [監視] 區段下，選取 [ 裝置安裝狀態：裝置安裝狀態報告] 會監視設定原則所針對之所有裝置的最新簽入。

   此外，在 Microsoft Intune 系統管理中心中，選取 [裝置>] [所有裝置]，>選取裝置>應用程式設定。 應用程式設定窗格會顯示所有指派的原則及其狀態：

   

診斷日誌

非受控裝置上的 iOS/iPadOS 設定

您可以使用 Intune 診斷記錄 來驗證 iOS/iPadOS 設定，以取得透過受控應用程式設定原則部署的設定。 除了下列步驟之外，您還可以使用 Microsoft Edge 存取受控應用程式記錄。 如需詳細資訊，請參閱 使用適用於 iOS 和 Android 的 Microsoft Edge 來存取受控應用程式記錄。

1. 如果尚未在裝置上安裝，請從 App Store 下載並安裝 Microsoft Edge。 如需詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。

2. 啟動 Microsoft Edge ，然後在地址框中輸入 about：intunehelp 。

3. 按一下 開始使用。

4. 按一下 共用記錄。

5. 使用您選擇的郵件應用程序將日誌發送給自己，以便可以在您的 PC 上查看它們。

6. 在文字檔案檢視器中檢閱 IntuneMAMDiagnostics.txt 。

7. 搜尋 ApplicationConfiguration。 結果將如下所示：

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

您的應用程式組態詳細資料應該符合為租用戶設定的應用程式組態原則。

受控裝置上的 iOS/iPadOS 設定

您可以使用受控裝置上的 Intune 診斷登入 來驗證 iOS/iPadOS 設定，以取得受控應用程式設定。

1. 如果尚未在裝置上安裝，請從 App Store 下載並安裝 Microsoft Edge。 如需詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。
2. 啟動 Microsoft Edge 並在地址框中輸入 about：intunehelp 。
3. 按一下 開始使用。
4. 按一下 共用記錄。
5. 使用您選擇的郵件應用程序將日誌發送給自己，以便可以在您的 PC 上查看它們。
6. 在文字檔案檢視器中檢閱 IntuneMAMDiagnostics.txt 。
7. 搜尋 AppConfig。 您的結果應該符合為租用戶設定的應用程式組態原則。

受管理裝置上的 Android 設定

您可以使用受控裝置上的 Intune 診斷記錄 來驗證 Android 設定，以取得受控應用程式設定。

若要從 Android 裝置收集記錄，您或使用者必須透過 USB 連線 (或裝置) 上的等效檔案總管從裝置下載記錄。 步驟如下：

1. 使用 USB 數據線將 Android 設備連接到計算機。

2. 在電腦上，尋找包含您裝置名稱的目錄。 在該目錄中，找到 Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal。

3. 在資料夾中 com.microsoft.windowsintune.companyportal ，開啟 Files 資料夾，然後開啟 OMADMLog_0。

4. 搜尋以 AppConfigHelper 尋找應用程式設定相關訊息。 結果看起來類似於下列資料區塊：

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

應用程式設定的圖形 API 支援

您可以使用圖形 API 來完成應用程式設定工作。 如需詳細資訊，請參閱 圖形 API 參考 MAM 目標設定。如需 Intune 和 Graph 的詳細資訊，請參閱 在 Microsoft Graph 中使用 Intune。

疑難排解

使用日誌顯示組態參數

當記錄顯示已確認已套用但似乎無法運作的設定參數時，應用程式開發人員的設定實作可能發生問題。 先聯絡該應用程式開發人員，或檢查他們的知識庫，可能會為您節省與 Microsoft 的支援呼叫。 如果這是應用程式內處理設定的方式有問題，則必須在該應用程式的未來更新版本中解決。

後續步驟

受管理裝置

• 瞭解如何搭配 iOS/iPadOS 裝置使用應用程式設定。 請參閱 新增受控 iOS/iPadOS 裝置的應用程式設定原則。
• 瞭解如何在 Android 裝置上使用應用程式設定。 請參閱 新增受管理 Android 裝置的應用程式設定原則。

受管理應用程式

• 瞭解如何搭配受管理應用程式使用應用程式設定。 請參閱 為沒有裝置註冊的受控應用程式新增應用程式設定原則。