新增受管理 iOS/iPadOS 裝置的應用程式設定原則

使用 Microsoft Intune 中的應用程式設定原則，為iOS/iPadOS 應用程式提供自定義組態設定。 這些組態設定可讓您根據應用程式供應商方向自定義應用程式。 您必須從應用程式的供應商取得這些組態設定 (金鑰和值) 。 若要設定應用程式，您可以將設定指定為索引鍵和值，或指定為包含索引鍵和值的 XML。

身為 Microsoft Intune 系統管理員，您可以控制要將哪些用戶帳戶新增至受管理裝置上的 Microsoft 365 (Office) 應用程式。 您可以限制只能存取允許的組織用戶帳戶，並封鎖已註冊裝置上的個人帳戶。 支援的應用程式會處理應用程式設定，並移除和封鎖未核准的帳戶。 當應用程式檢查組態原則設定時，通常會在第一次執行時使用。

新增應用程式設定原則之後，您可以設定應用程式設定原則的指派。 當您設定原則的指派時，您可以選擇使用 篩選 條件，並包含和排除套用原則的使用者群組。 當您選擇包含一或多個群組時，可以選擇選取要包含或選取內建群組的特定群組。 內建群組包括 [所有使用者]、[所有裝置] 和 [所有使用者 + 所有裝置]。

注意事項

Intune 在控制台中提供預先建立的 [所有使用者] 和 [所有裝置] 群組，並提供內建優化以方便您使用。 強烈建議您使用這些群組以所有使用者和所有裝置為目標，而不是您自己建立的任何「所有使用者」或「所有裝置」群組。

為應用程式設定原則選取包含的群組之後，您也可以選擇要排除的特定群組。 如需詳細資訊，請參閱在 Microsoft Intune 中包含和排除應用程式指派。

提示

此原則類型目前僅適用於執行 iOS/iPadOS 8.0 和更新版本的裝置。 它支援下列應用程式安裝類型：

• 來自應用程式市集的Managed iOS/iPadOS 應用程式
• 適用於 iOS 的應用程式套件

如需應用程式安裝類型的詳細資訊，請參閱如何將應用程式新增至 Microsoft Intune。 如需將應用程式組態併入受控裝置的 .ipa 應用程式套件的詳細資訊，請參閱 iOS 開發人員檔中的受控 應用程式組態。

建立應用程式設定原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選擇 [應用程式>] 設定原則>[新增>受控裝置]。 請注意，您可以在受 控裝置 和受 控應用程式之間進行選擇。 如需詳細資訊 ，請參閱支援應用程式設定的應用程式。

3. 在 [ 基本] 頁面上，設定下列詳細數據：

   • 名稱 - 出現在 Microsoft Intune 系統管理中心的設定檔名稱。
   • 描述 - 出現在 Microsoft Intune 系統管理中心的配置檔描述。
   • 裝置註冊類型 - 此設定設為受 控裝置。

4. 選 取 [iOS/iPadOS ] 作為 [平臺]。

5. 按兩下 [ 目標應用程式 ] 旁的 [選 取應用程式]。 [ 相關聯的應用程式] 窗格隨即顯示。

6. 在 [ 目標應用程式] 窗格中，選擇要與設定原則相關聯的受控應用程式，然後按兩下 [ 確定]。

7. 按一下 [下一步] 以顯示 [設定] 頁面。

8. 在下拉式方塊中，選取 [ 組態設定] 格式。 選取下列其中一個方法來新增組態資訊：

   • 使用設定設計工具
   • 輸入 XML 數據
     
     如需使用設定設計工具的詳細資訊，請 參閱使用設定設計工具。 如需輸入 XML 資料的詳細資訊，請 參閱輸入 XML 數據。

9. 按一下 [下一步] 以顯示 [範圍標籤] 頁面。

10. [選擇性]您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊，請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。

11. 按 [下一步 ] 以顯示 [ 指派] 頁面。

12. 在 [ 指派] 頁面上，選取 [ 新增群組]、[ 新增所有使用者] 或 [ 新增所有裝置 ] 來指派應用程式設定原則。 選取指派群組之後，您可以選取 篩選 條件，以在部署受控裝置的應用程式設定原則時精簡指派範圍。

    

13. 在下拉式方塊中選取 [ 所有使用者 ]。

    

14. [選擇性]按兩下 [編輯篩選 ] 以新增 篩選 並精簡指派範圍。

    

15. 按兩下 [選取要排除的群組] 以顯示相關窗格。

16. 選擇您想要排除的群組，然後按兩下 [ 選取]。

    注意事項

    新增群組時，如果指定的指派類型已包含任何其他群組，則會預先選取該群組，而且對於其他 include 指派類型則無法變更。 因此，已使用的該群組不能當做排除的群組使用。

17. 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。

18. 按兩下 [建立] 將應用程式設定原則新增至 Intune。

使用設定設計工具

Microsoft Intune 提供應用程式唯一的組態設定。 您可以針對已註冊或未在 Microsoft Intune 中註冊之裝置上的應用程式使用設定設計工具。 設計工具可讓您設定特定的組態索引鍵和值，以協助您建立基礎 XML。 您也必須為每個值指定資料類型。 這些設定會在安裝應用程式時自動提供給應用程式。

新增設定

1. 針對組態中的每個索引鍵和值，設定：
   • 組態金鑰 - 唯一識別特定設定組態的區分大小寫金鑰。
   • 實值類型 - 組態值的數據類型。 類型包括 Integer、Real、String 或 Boolean。
   • 組態值 - 組態的值。
2. 選擇 [確定 ] 以設定組態設定。

刪除設定

1. 選擇設定旁的省略號 (...) 。
2. 選取 [刪除]。

{{ 和 }} 字元僅供令牌類型使用，不得用於其他用途。

只允許應用程式中已設定的組織帳戶

身為 Microsoft Intune 系統管理員，您可以控制哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織用戶帳戶，並在已註冊的裝置上支援) ，封鎖應用程式 (內的個人帳戶。 針對 iOS/iPadOS 裝置，請在受控裝置應用程式設定原則中使用下列機碼/值組：

機碼	值
IntuneMAMAllowedAccountsOnly	已啟用：唯一允許的帳戶是 IntuneMAMUPN 金鑰所定義的受管理使用者帳戶。 停 用 (或任何與 Enabled 不區分大小寫相符的值) ：允許任何帳戶。
IntuneMAMUPN	允許登入應用程式的帳戶 UPN。 針對 Intune 註冊的{{userprincipalname}}裝置，可以使用令牌來代表已註冊的用戶帳戶。

注意事項

下列應用程式會處理上述應用程式設定，且只允許組織帳戶：

• 適用於 iOS (28.1.420324001 和更新版本的 Copilot)
• 適用於 iOS (44.8.7 和更新版本的 Edge)
• Office、Word、Excel、PowerPoint for iOS (2.41 和更新版本)
• 適用於 iOS (10.34 和更新版本的 OneDrive)
• 適用於 iOS (2.41 和更新版本的 OneNote)
• iOS 版 Outlook (2.99.0 和更新版本)
• 適用於 iOS (2.0.15 和更新版本的 Teams)

需要在應用程式中設定組織帳戶

在已註冊的裝置上，組織可以要求公司或學校帳戶已登入受控 Microsoft 應用程式，才能接收來自其他受控應用程式的組織數據。 例如，假設使用者的附件包含在原生 iOS 郵件用戶端的 Managed 電子郵件設置檔內的電子郵件訊息中。 如果用戶嘗試將附件傳輸至在裝置上管理且已套用這些密鑰的 Microsoft 應用程式，例如 Office，則此設定會將傳輸的附件視為組織數據，要求公司或學校帳戶必須登入並強制執行應用程式保護原則設定。

針對 iOS/iPadOS 裝置，請在每個 Microsoft 應用程式的受控裝置應用程式設定原則中使用下列機碼/值組：

機碼	值
IntuneMAMRequireAccounts	已啟用：應用程式需要使用者登入 IntuneMAMUPN 金鑰所定義的受控用戶帳戶，才能接收組織數據。 停用 (或任何與 Enabled 不區分大小寫相符的值) ：不需要帳戶登入
IntuneMAMUPN	允許登入應用程式的帳戶 UPN。 針對 Intune 註冊的{{userprincipalname}}裝置，可以使用令牌來代表已註冊的用戶帳戶。

注意事項

應用程式必須 Intune 適用於 iOS 12.3.3 版或更新版本的 APP SDK，並在要求登入公司或學校帳戶時，以 Intune 應用程式保護原則作為目標。 在應用程式保護原則中，[接收來自其他應用程式的數據] 必須設定為 [具有傳入組織數據的所有應用程式]。

目前，只有當目標應用程式有傳入組織數據時，才需要應用程式登入。

輸入 XML 數據

您可以輸入或貼上 XML 屬性清單，其中包含在 Intune 中註冊之裝置的應用程式組態設定。 XML 屬性清單的格式會根據您要設定的應用程式而有所不同。 如需要使用之確切格式的詳細資訊，請連絡應用程式的供應商。

Intune 驗證 XML 格式。 不過，Intune 不會檢查 PList (XML 屬性清單) 是否適用於目標應用程式。

若要深入瞭解 XML 屬性清單：

• 請參閱 iOS 開發人員連結庫中的瞭解 XML 屬性 清單。

應用程式組態 XML 檔案的範例格式

當您建立應用程式群組態檔時，可以使用此格式指定下列一或多個值：

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

支援的 XML PList 資料類型

Intune 在屬性清單中支援下列資料類型：

• <整數>
• <真正>
• <字串>
• <陣 列>
• <dict>
• <true /> 或 <false />

屬性清單中使用的令牌

此外，Intune 在屬性清單中支援下列令牌類型：

• {{userprincipalname}}—例如， John@contoso.com
• {{mail}}—例如， John@contoso.com
• {{partialupn}}— 例如 John
• {{accountid}}—例如 fc0dc142-71d8-4b12-bbea-bae2a8514c81
• {{deviceid}}—例如 b9841cd9-9843-405f-be28-b2265c59ef97
• {{userid}}—例如 ，3ec2c00f-b125-4519-acf0-302ac3761822
• {{username}}—例如 John Doe
• {{serialnumber}}—例如， iOS /iPadOS 裝置的F4KN99ZUG5V2 ()
• {{serialnumberlast4digits}}—例如，適用於 iOS/iPadOS 裝置的 G5V2 ()
• {{aaddeviceid}}—例如 ab0dc123-45d6-7e89-aabb-cde0a1234b56
• {{受監督}}—例如，iOS/iPadOS 裝置的 True ()

設定 公司入口網站 應用程式以支援使用自動裝置註冊註冊的 iOS 和 iPadOS 裝置

根據預設，Apple 的自動裝置註冊與 公司入口網站 應用程式的應用程式市集版本不相容。 不過，即使使用者已使用下列步驟從 App Store 下載 公司入口網站，您也可以將 公司入口網站 應用程式設定為支援 iOS/iPadOS ADE 裝置。

1. 在 Microsoft Intune 系統管理中心，移至 [應用程式>][所有應用程式>] [新增>iOS 市集應用程式]，以新增尚未新增的 Intune 公司入口網站 應用程式。

2. 移至 [應用程式>應用程式設定原則]，為 公司入口網站 應用程式建立應用程式設定原則。

3. 使用下列 XML 建立應用程式設定原則。 如需如何建立應用程式設定原則並輸入 XML 資料的詳細資訊，請參閱 為受控 iOS/iPadOS 裝置新增應用程式設定原則。

   • 在使用使用者親和性註冊的自動裝置註冊 (ADE) 裝置上使用 公司入口網站：

     注意事項

     當註冊配置檔將 [安裝 公司入口網站] 設定為 [是] 時，Intune 會在初始註冊程式中自動推送下列應用程式設定原則。 此設定不應手動部署至使用者或裝置，因為這會導致與註冊期間已傳送的承載發生衝突，導致使用者在登入 公司入口網站 (之後，要求他們下載新的管理配置檔，因為這些裝置上已安裝管理配置檔) 。

     <dict>
         <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
         <dict>
             <key>IntuneDeviceId</key>
             <string>{{deviceid}}</string>
             <key>UserId</key>
             <string>{{userid}}</string>
         </dict>
     </dict>
     

   • 在未註冊用戶親和性的 ADE 裝置上使用 公司入口網站 (也稱為裝置預備) ：

     注意事項

     登入 公司入口網站 的用戶會設定為裝置的主要使用者。

     <dict>
         <key>IntuneUDAUserlessDevice</key>
         <string>{{SIGNEDDEVICEID}}</string>
     </dict>
     

4. 使用以所需群組為目標的應用程式設定原則，將 公司入口網站 部署至裝置。 請務必將原則部署至已註冊 ADE 的裝置群組。

5. 告知使用者在應用程式自動安裝時登入 公司入口網站 應用程式。

注意事項

當您新增應用程式群組態以允許在不具使用者親和性的 ADE 裝置上 公司入口網站 應用程式時，您可能會遇到 STATE Policy Error。 不同於其他應用程式組態，這種情況並不會在每次裝置簽入時套用。 相反地，此應用程式組態是一次性的作業，可讓在使用者登入 公司入口網站 時，在沒有使用者親和性的情況下註冊的現有裝置達到使用者親和性。 成功套用此應用程式設定之後，就會從背景的原則中移除。 原則指派將會存在，但一旦在背景中移除應用程式設定，則不會回報「成功」。 應用程式設定原則套用至裝置之後，您就可以取消指派原則。

監視每個裝置的 iOS/iPadOS 應用程式設定狀態

指派設定原則之後，您可以監視每個受管理裝置的 iOS/iPadOS 應用程式設定狀態。 從 Microsoft Intune系統管理中心的 [Microsoft Intune]，選取 [所有>裝置]。 從受控裝置清單中，選取特定裝置以顯示裝置的窗格。 在裝置窗格上，選取 [ 應用程式設定]。

其他資訊

• 部署 iOS/iPadOS 版 Outlook 和 Android 應用程式組態設定

後續步驟

繼續 指派 和 監視 應用程式。