新增受管理 iOS/iPadOS 裝置的應用程式設定原則
使用 Microsoft Intune 中的應用程式設定原則,為iOS/iPadOS 應用程式提供自定義組態設定。 這些組態設定可讓您根據應用程式供應商方向自定義應用程式。 您必須從應用程式的供應商取得這些組態設定 (金鑰和值) 。 若要設定應用程式,您可以將設定指定為索引鍵和值,或指定為包含索引鍵和值的 XML。
身為 Microsoft Intune 系統管理員,您可以控制要將哪些用戶帳戶新增至受管理裝置上的 Microsoft 365 (Office) 應用程式。 您可以限制只能存取允許的組織用戶帳戶,並封鎖已註冊裝置上的個人帳戶。 支援的應用程式會處理應用程式設定,並移除和封鎖未核准的帳戶。 當應用程式檢查組態原則設定時,通常會在第一次執行時使用。
新增應用程式設定原則之後,您可以設定應用程式設定原則的指派。 當您設定原則的指派時,您可以選擇使用 篩選 條件,並包含和排除套用原則的使用者群組。 當您選擇包含一或多個群組時,可以選擇選取要包含或選取內建群組的特定群組。 內建群組包括 [所有使用者]、[所有裝置] 和 [所有使用者 + 所有裝置]。
注意事項
Intune 在控制台中提供預先建立的 [所有使用者] 和 [所有裝置] 群組,並提供內建優化以方便您使用。 強烈建議您使用這些群組以所有使用者和所有裝置為目標,而不是您自己建立的任何「所有使用者」或「所有裝置」群組。
為應用程式設定原則選取包含的群組之後,您也可以選擇要排除的特定群組。 如需詳細資訊,請參閱在 Microsoft Intune 中包含和排除應用程式指派。
提示
此原則類型目前僅適用於執行 iOS/iPadOS 8.0 和更新版本的裝置。 它支援下列應用程式安裝類型:
- 來自應用程式市集的Managed iOS/iPadOS 應用程式
- 適用於 iOS 的應用程式套件
如需應用程式安裝類型的詳細資訊,請參閱如何將應用程式新增至 Microsoft Intune。 如需將應用程式組態併入受控裝置的 .ipa 應用程式套件的詳細資訊,請參閱 iOS 開發人員檔中的受控 應用程式組態。
建立應用程式設定原則
選擇 [應用程式>] 設定原則>[新增>受控裝置]。 請注意,您可以在受 控裝置 和受 控應用程式之間進行選擇。 如需詳細資訊 ,請參閱支援應用程式設定的應用程式。
在 [ 基本] 頁面上,設定下列詳細數據:
- 名稱 - 出現在 Microsoft Intune 系統管理中心的設定檔名稱。
- 描述 - 出現在 Microsoft Intune 系統管理中心的配置檔描述。
- 裝置註冊類型 - 此設定設為受 控裝置。
選 取 [iOS/iPadOS ] 作為 [平臺]。
按兩下 [ 目標應用程式 ] 旁的 [選 取應用程式]。 [ 相關聯的應用程式] 窗格隨即顯示。
在 [ 目標應用程式] 窗格中,選擇要與設定原則相關聯的受控應用程式,然後按兩下 [ 確定]。
按一下 [下一步] 以顯示 [設定] 頁面。
在下拉式方塊中,選取 [ 組態設定] 格式。 選取下列其中一個方法來新增組態資訊:
- 使用設定設計工具
- 輸入 XML 數據
如需使用設定設計工具的詳細資訊,請 參閱使用設定設計工具。 如需輸入 XML 資料的詳細資訊,請 參閱輸入 XML 數據。
按一下 [下一步] 以顯示 [範圍標籤] 頁面。
[選擇性]您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
按 [下一步 ] 以顯示 [ 指派] 頁面。
在 [ 指派] 頁面上,選取 [ 新增群組]、[ 新增所有使用者] 或 [ 新增所有裝置 ] 來指派應用程式設定原則。 選取指派群組之後,您可以選取 篩選 條件,以在部署受控裝置的應用程式設定原則時精簡指派範圍。
在下拉式方塊中選取 [ 所有使用者 ]。
[選擇性]按兩下 [編輯篩選 ] 以新增 篩選 並精簡指派範圍。
按兩下 [選取要排除的群組] 以顯示相關窗格。
選擇您想要排除的群組,然後按兩下 [ 選取]。
注意事項
新增群組時,如果指定的指派類型已包含任何其他群組,則會預先選取該群組,而且對於其他 include 指派類型則無法變更。 因此,已使用的該群組不能當做排除的群組使用。
按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。
按兩下 [建立] 將應用程式設定原則新增至 Intune。
使用設定設計工具
Microsoft Intune 提供應用程式唯一的組態設定。 您可以針對已註冊或未在 Microsoft Intune 中註冊之裝置上的應用程式使用設定設計工具。 設計工具可讓您設定特定的組態索引鍵和值,以協助您建立基礎 XML。 您也必須為每個值指定資料類型。 這些設定會在安裝應用程式時自動提供給應用程式。
新增設定
- 針對組態中的每個索引鍵和值,設定:
- 組態金鑰 - 唯一識別特定設定組態的區分大小寫金鑰。
- 實值類型 - 組態值的數據類型。 類型包括 Integer、Real、String 或 Boolean。
- 組態值 - 組態的值。
- 選擇 [確定 ] 以設定組態設定。
刪除設定
- 選擇設定旁的省略號 (...) 。
- 選取 [刪除]。
{{ 和 }} 字元僅供令牌類型使用,不得用於其他用途。
只允許應用程式中已設定的組織帳戶
身為 Microsoft Intune 系統管理員,您可以控制哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織用戶帳戶,並在已註冊的裝置上支援) ,封鎖應用程式 (內的個人帳戶。 針對 iOS/iPadOS 裝置,請在受控裝置應用程式設定原則中使用下列機碼/值組:
機碼 | 值 |
---|---|
IntuneMAMAllowedAccountsOnly |
|
IntuneMAMUPN |
|
注意事項
下列應用程式會處理上述應用程式設定,且只允許組織帳戶:
- 適用於 iOS (28.1.420324001 和更新版本的 Copilot)
- 適用於 iOS (44.8.7 和更新版本的 Edge)
- Office、Word、Excel、PowerPoint for iOS (2.41 和更新版本)
- 適用於 iOS (10.34 和更新版本的 OneDrive)
- 適用於 iOS (2.41 和更新版本的 OneNote)
- iOS 版 Outlook (2.99.0 和更新版本)
- 適用於 iOS (2.0.15 和更新版本的 Teams)
需要在應用程式中設定組織帳戶
在已註冊的裝置上,組織可以要求公司或學校帳戶已登入受控 Microsoft 應用程式,才能接收來自其他受控應用程式的組織數據。 例如,假設使用者的附件包含在原生 iOS 郵件用戶端的 Managed 電子郵件設置檔內的電子郵件訊息中。 如果用戶嘗試將附件傳輸至在裝置上管理且已套用這些密鑰的 Microsoft 應用程式,例如 Office,則此設定會將傳輸的附件視為組織數據,要求公司或學校帳戶必須登入並強制執行應用程式保護原則設定。
針對 iOS/iPadOS 裝置,請在每個 Microsoft 應用程式的受控裝置應用程式設定原則中使用下列機碼/值組:
機碼 | 值 |
---|---|
IntuneMAMRequireAccounts |
|
IntuneMAMUPN |
|
注意事項
應用程式必須 Intune 適用於 iOS 12.3.3 版或更新版本的 APP SDK,並在要求登入公司或學校帳戶時,以 Intune 應用程式保護原則作為目標。 在應用程式保護原則中,[接收來自其他應用程式的數據] 必須設定為 [具有傳入組織數據的所有應用程式]。
目前,只有當目標應用程式有傳入組織數據時,才需要應用程式登入。
輸入 XML 數據
您可以輸入或貼上 XML 屬性清單,其中包含在 Intune 中註冊之裝置的應用程式組態設定。 XML 屬性清單的格式會根據您要設定的應用程式而有所不同。 如需要使用之確切格式的詳細資訊,請連絡應用程式的供應商。
Intune 驗證 XML 格式。 不過,Intune 不會檢查 PList (XML 屬性清單) 是否適用於目標應用程式。
若要深入瞭解 XML 屬性清單:
應用程式組態 XML 檔案的範例格式
當您建立應用程式群組態檔時,可以使用此格式指定下列一或多個值:
<dict>
<key>userprincipalname</key>
<string>{{userprincipalname}}</string>
<key>mail</key>
<string>{{mail}}</string>
<key>partialupn</key>
<string>{{partialupn}}</string>
<key>accountid</key>
<string>{{accountid}}</string>
<key>deviceid</key>
<string>{{deviceid}}</string>
<key>userid</key>
<string>{{userid}}</string>
<key>username</key>
<string>{{username}}</string>
<key>serialnumber</key>
<string>{{serialnumber}}</string>
<key>serialnumberlast4digits</key>
<string>{{serialnumberlast4digits}}</string>
<key>udidlast4digits</key>
<string>{{udidlast4digits}}</string>
<key>aaddeviceid</key>
<string>{{aaddeviceid}}</string>
<key>IsSupervised</key>
<string>{{IsSupervised}}</string>
</dict>
支援的 XML PList 資料類型
Intune 在屬性清單中支援下列資料類型:
- <整數>
- <真正>
- <字串>
- <陣 列>
- <dict>
- <true /> 或 <false />
屬性清單中使用的令牌
此外,Intune 在屬性清單中支援下列令牌類型:
- {{userprincipalname}}—例如, John@contoso.com
- {{mail}}—例如, John@contoso.com
- {{partialupn}}— 例如 John
- {{accountid}}—例如 fc0dc142-71d8-4b12-bbea-bae2a8514c81
- {{deviceid}}—例如 b9841cd9-9843-405f-be28-b2265c59ef97
- {{userid}}—例如 ,3ec2c00f-b125-4519-acf0-302ac3761822
- {{username}}—例如 John Doe
- {{serialnumber}}—例如, iOS /iPadOS 裝置的F4KN99ZUG5V2 ()
- {{serialnumberlast4digits}}—例如,適用於 iOS/iPadOS 裝置的 G5V2 ()
- {{aaddeviceid}}—例如 ab0dc123-45d6-7e89-aabb-cde0a1234b56
- {{受監督}}—例如,iOS/iPadOS 裝置的 True ()
設定 公司入口網站 應用程式以支援使用自動裝置註冊註冊的 iOS 和 iPadOS 裝置
根據預設,Apple 的自動裝置註冊與 公司入口網站 應用程式的應用程式市集版本不相容。 不過,即使使用者已使用下列步驟從 App Store 下載 公司入口網站,您也可以將 公司入口網站 應用程式設定為支援 iOS/iPadOS ADE 裝置。
在 Microsoft Intune 系統管理中心,移至 [應用程式>][所有應用程式>] [新增>iOS 市集應用程式],以新增尚未新增的 Intune 公司入口網站 應用程式。
移至 [應用程式>應用程式設定原則],為 公司入口網站 應用程式建立應用程式設定原則。
使用下列 XML 建立應用程式設定原則。 如需如何建立應用程式設定原則並輸入 XML 資料的詳細資訊,請參閱 為受控 iOS/iPadOS 裝置新增應用程式設定原則。
在使用使用者親和性註冊的自動裝置註冊 (ADE) 裝置上使用 公司入口網站:
注意事項
當註冊配置檔將 [安裝 公司入口網站] 設定為 [是] 時,Intune 會在初始註冊程式中自動推送下列應用程式設定原則。 此設定不應手動部署至使用者或裝置,因為這會導致與註冊期間已傳送的承載發生衝突,導致使用者在登入 公司入口網站 (之後,要求他們下載新的管理配置檔,因為這些裝置上已安裝管理配置檔) 。
<dict> <key>IntuneCompanyPortalEnrollmentAfterUDA</key> <dict> <key>IntuneDeviceId</key> <string>{{deviceid}}</string> <key>UserId</key> <string>{{userid}}</string> </dict> </dict>
在未註冊用戶親和性的 ADE 裝置上使用 公司入口網站 (也稱為裝置預備) :
注意事項
登入 公司入口網站 的用戶會設定為裝置的主要使用者。
<dict> <key>IntuneUDAUserlessDevice</key> <string>{{SIGNEDDEVICEID}}</string> </dict>
使用以所需群組為目標的應用程式設定原則,將 公司入口網站 部署至裝置。 請務必將原則部署至已註冊 ADE 的裝置群組。
告知使用者在應用程式自動安裝時登入 公司入口網站 應用程式。
注意事項
當您新增應用程式群組態以允許在不具使用者親和性的 ADE 裝置上 公司入口網站 應用程式時,您可能會遇到 STATE Policy Error
。 不同於其他應用程式組態,這種情況並不會在每次裝置簽入時套用。 相反地,此應用程式組態是一次性的作業,可讓在使用者登入 公司入口網站 時,在沒有使用者親和性的情況下註冊的現有裝置達到使用者親和性。 成功套用此應用程式設定之後,就會從背景的原則中移除。 原則指派將會存在,但一旦在背景中移除應用程式設定,則不會回報「成功」。 應用程式設定原則套用至裝置之後,您就可以取消指派原則。
監視每個裝置的 iOS/iPadOS 應用程式設定狀態
指派設定原則之後,您可以監視每個受管理裝置的 iOS/iPadOS 應用程式設定狀態。 從 Microsoft Intune系統管理中心的 [Microsoft Intune],選取 [所有>裝置]。 從受控裝置清單中,選取特定裝置以顯示裝置的窗格。 在裝置窗格上,選取 [ 應用程式設定]。
其他資訊
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應