Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS/iPadOS-Geräte

  • Artikel

Verwenden Sie App-Konfigurationsrichtlinien in Microsoft Intune, um benutzerdefinierte Konfigurationseinstellungen für eine iOS-/iPadOS-App bereitzustellen. Mit diesen Konfigurationseinstellungen kann eine App basierend auf der Richtung der App-Lieferanten angepasst werden. Sie müssen diese Konfigurationseinstellungen (Schlüssel und Werte) vom Anbieter der App abrufen. Zum Konfigurieren der App geben Sie die Einstellungen als Schlüssel und Werte oder als XML mit den Schlüsseln und Werten an.

Als Microsoft Intune-Administrator können Sie steuern, welche Benutzerkonten microsoft 365 (Office)-Anwendungen auf verwalteten Geräten hinzugefügt werden. Sie können den Zugriff auf nur zulässige organization Benutzerkonten beschränken und persönliche Konten auf registrierten Geräten blockieren. Die unterstützenden Anwendungen verarbeiten die App-Konfiguration und entfernen und blockieren nicht genehmigte Konten. Die Einstellungen für die Konfigurationsrichtlinie werden verwendet, wenn die App sie überprüft, in der Regel bei ihrer ersten Ausführung.

Nachdem Sie eine App-Konfigurationsrichtlinie hinzugefügt haben, können Sie die Zuweisungen für die App-Konfigurationsrichtlinie festlegen. Wenn Sie die Zuweisungen für die Richtlinie festlegen, können Sie einen Filter verwenden und die Benutzergruppen, für die die Richtlinie gilt, einschließen und ausschließen. Wenn Sie eine oder mehrere Gruppen einschließen möchten, können Sie bestimmte Gruppen auswählen, die eingeschlossen werden sollen, oder sie können integrierte Gruppen auswählen. Zu den integrierten Gruppen gehören "Alle Benutzer", "Alle Geräte" und "Alle Benutzer" + "Alle Geräte".

Hinweis

Intune bietet die vorab erstellten Gruppen Alle Benutzer und Alle Geräte in der Konsole zur Vereinfachung mit integrierten Optimierungen an. Es wird dringend empfohlen, diese Gruppen zu verwenden, um alle Benutzer und alle Geräte anstelle von "Alle Benutzer" oder "Alle Geräte"-Gruppen zu verwenden, die Sie möglicherweise selbst erstellt haben.

Nachdem Sie die enthaltenen Gruppen für Ihre Anwendungskonfigurationsrichtlinie ausgewählt haben, können Sie auch die spezifischen Gruppen auswählen, die ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Einschließen und Ausschließen von App-Zuweisungen in Microsoft Intune.

Tipp

Dieser Richtlinientyp ist derzeit nur für Geräte mit iOS/iPadOS 8.0 und höher verfügbar. Es unterstützt die folgenden App-Installationstypen:

  • Verwaltete iOS-/iPadOS-App aus dem App Store
  • App-Paket für iOS

Weitere Informationen zu App-Installationstypen finden Sie unter Hinzufügen einer App zu Microsoft Intune. Weitere Informationen zum Integrieren der App-Konfiguration in Ihr IPA-App-Paket für verwaltete Geräte finden Sie unter Verwaltete App Configuration in der iOS-Entwicklerdokumentation.

Erstellen einer Konfigurationsrichtlinie für Apps

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie dieApp-Konfigurationsrichtlinien>>Verwaltete Gerätehinzufügen> aus. Beachten Sie, dass Sie zwischen verwalteten Geräten und verwalteten Apps wählen können. Weitere Informationen finden Sie unter Apps, die die App-Konfiguration unterstützen.

  3. Legen Sie auf der Seite Grundlagen die folgenden Details fest:

    • Name: Der Name des Profils, das im Microsoft Intune Admin Center angezeigt wird.
    • Beschreibung: Die Beschreibung des Profils, das im Microsoft Intune Admin Center angezeigt wird.
    • Geräteregistrierungstyp : Diese Einstellung ist auf Verwaltete Geräte festgelegt.

  4. Wählen Sie iOS/iPadOS als Plattform aus.

  5. Klicken Sie neben Ziel-App auf App auswählen. Der Bereich Zugeordnete App wird angezeigt.

  6. Wählen Sie im Bereich Ziel-App die verwaltete App aus, die der Konfigurationsrichtlinie zugeordnet werden soll, und klicken Sie auf OK.

  7. Klicken Sie auf Weiter, um die Seite Einstellungen anzuzeigen.

  8. Wählen Sie im Dropdownfeld das Format Konfigurationseinstellungen aus. Wählen Sie eine der folgenden Methoden aus, um Konfigurationsinformationen hinzuzufügen:

  9. Klicken Sie auf Weiter, um die Seite Bereichsmarkierungen anzuzeigen.

  10. [Optional] Sie können Bereichstags für Ihre App-Konfigurationsrichtlinie konfigurieren. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

  11. Klicken Sie auf Weiter , um die Seite Zuweisungen anzuzeigen.

  12. Wählen Sie auf der Seite Zuweisungen entweder Gruppen hinzufügen, Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus, um die App-Konfigurationsrichtlinie zuzuweisen. Nachdem Sie eine Zuweisungsgruppe ausgewählt haben, können Sie einen Filter auswählen, um den Zuweisungsbereich beim Bereitstellen von App-Konfigurationsrichtlinien für verwaltete Geräte zu verfeinern.

    Screenshot der Seite

  13. Wählen Sie im Dropdownfeld Alle Benutzer aus.

    Screenshot der Dropdownoption

  14. [Optional] Klicken Sie auf Filter bearbeiten , um einen Filter hinzuzufügen und den Zuweisungsbereich zu verfeinern.

    Screenshot: Richtlinienzuweisungen – Filter bearbeiten

  15. Klicken Sie auf Auszuschließende Gruppen auswählen , um den zugehörigen Bereich anzuzeigen.

  16. Wählen Sie die Gruppen aus, die Sie ausschließen möchten, und klicken Sie dann auf Auswählen.

    Hinweis

    Wenn beim Hinzufügen einer Gruppe bereits eine andere Gruppe für einen bestimmten Zuweisungstyp eingeschlossen wurde, ist sie vorab ausgewählt und kann für andere Includezuweisungstypen nicht geändert werden. Daher kann die verwendete Gruppe nicht als ausgeschlossene Gruppe verwendet werden.

  17. Klicken Sie auf Weiter, um die Seite Überprüfen + erstellen anzuzeigen.

  18. Klicken Sie auf Erstellen, um die App-Konfigurationsrichtlinie Intune hinzuzufügen.

Verwenden des Konfigurations-Designers

Microsoft Intune stellt Konfigurationseinstellungen bereit, die für eine App eindeutig sind. Sie können den Konfigurations-Designer für Apps auf Geräten verwenden, die bei Microsoft Intune registriert oder nicht registriert sind. Mit dem Designer können Sie bestimmte Konfigurationsschlüssel und -werte konfigurieren, die Ihnen beim Erstellen des zugrunde liegenden XML-Codes helfen. Sie müssen auch den Datentyp für jeden Wert angeben. Diese Einstellungen werden apps automatisch bereitgestellt, wenn die Apps installiert werden.

Hinzufügen einer Einstellung

  1. Legen Sie für jeden Schlüssel und Wert in der Konfiguration Folgendes fest:
    • Konfigurationsschlüssel : Der Schlüssel, bei dem groß-/kleinschreibung beachtet wird, der die spezifische Einstellungskonfiguration eindeutig identifiziert.
    • Werttyp : Der Datentyp des Konfigurationswerts. Zu den Typen gehören Integer, Real, String oder Boolean.
    • Konfigurationswert : Der Wert für die Konfiguration.
  2. Wählen Sie OK aus, um Ihre Konfigurationseinstellungen festzulegen.

Löschen einer Einstellung

  1. Wählen Sie die Auslassungspunkte (...) neben der Einstellung aus.
  2. Klicken Sie auf Löschen.

Die Zeichen {{ und }} werden nur von Tokentypen verwendet und dürfen nicht für andere Zwecke verwendet werden.

Nur konfigurierte organization-Konten in Apps zulassen

Als Microsoft Intune Administrator können Sie steuern, welche Geschäfts-, Schul- oder Unikonten microsoft-Apps auf verwalteten Geräten hinzugefügt werden. Sie können den Zugriff auf nur zulässige organization Benutzerkonten beschränken und persönliche Konten innerhalb der Apps (sofern unterstützt) auf registrierten Geräten blockieren. Verwenden Sie für iOS-/iPadOS-Geräte die folgenden Schlüssel-Wert-Paare in einer App-Konfigurationsrichtlinie für verwaltete Geräte:

Key Werte
IntuneMAMAllowedAccountsOnly
  • Aktiviert: Das einzige zulässige Konto ist das verwaltete Benutzerkonto, das durch den IntuneMAMUPN-Schlüssel definiert wird.
  • Deaktiviert (oder jeder Wert, bei dem die Groß-/Kleinschreibung nicht beachtet wird, entspricht Aktiviert): Jedes Konto ist zulässig.
IntuneMAMUPN
  • UPN des Kontos, das zur Anmeldung bei der App berechtigt ist.
  • Bei Intune registrierten Geräten kann das {{userprincipalname}} Token verwendet werden, um das registrierte Benutzerkonto darzustellen.

Hinweis

Die folgenden Apps verarbeiten die oben genannte App-Konfiguration und lassen nur organization Konten zu:

  • Copilot für iOS (28.1.420324001 und höher)
  • Edge für iOS (44.8.7 und höher)
  • Office, Word, Excel, PowerPoint für iOS (2.41 und höher)
  • OneDrive für iOS (10.34 und höher)
  • OneNote für iOS (2.41 und höher)
  • Outlook für iOS (2.99.0 und höher)
  • Teams für iOS (2.0.15 und höher)

Erfordern konfigurierter organization-Konten in Apps

Auf registrierten Geräten können Organisationen verlangen, dass das Geschäfts-, Schul- oder Unikonto bei verwalteten Microsoft-Apps angemeldet ist, um Organisationsdaten von anderen verwalteten Apps zu erhalten. Betrachten Sie beispielsweise das Szenario, in dem der Benutzer Anlagen in E-Mail-Nachrichten enthält, die im verwalteten E-Mail-Profil im nativen iOS-E-Mail-Client enthalten sind. Wenn der Benutzer versucht, die Anlagen an eine Microsoft-App wie Office zu übertragen, die auf dem Gerät verwaltet wird und auf die diese Schlüssel angewendet werden, behandelt diese Konfiguration die übertragene Anlage als Organisationsdaten, sodass das Geschäfts-, Schul- oder Unikonto angemeldet sein muss und die Einstellungen der App-Schutzrichtlinie erzwungen werden.

Verwenden Sie für iOS-/iPadOS-Geräte die folgenden Schlüssel-Wert-Paare in einer App-Konfigurationsrichtlinie für verwaltete Geräte für jede Microsoft-App:

Key Werte
IntuneMAMRequireAccounts
  • Aktiviert: Die App erfordert, dass sich der Benutzer bei dem verwalteten Benutzerkonto anmeldet, das durch den IntuneMAMUPN-Schlüssel definiert wird, um Organisationsdaten zu empfangen.
  • Deaktiviert (oder ein Beliebiger Wert, bei dem die Groß-/Kleinschreibung nicht beachtet wird, entspricht Aktiviert): Es ist keine Kontoanmeldung erforderlich.
IntuneMAMUPN
  • UPN des Kontos, das zur Anmeldung bei der App berechtigt ist.
  • Bei Intune registrierten Geräten kann das {{userprincipalname}} Token verwendet werden, um das registrierte Benutzerkonto darzustellen.

Hinweis

Apps müssen über Intune APP SDK für iOS Version 12.3.3 oder höher verfügen und auf eine Intune App-Schutzrichtlinie ausgerichtet sein, wenn eine Anmeldung beim Geschäfts-, Schul- oder Unikonto erforderlich ist. Innerhalb der App-Schutzrichtlinie muss "Daten von anderen Apps empfangen" auf "Alle Apps mit eingehenden Organisationsdaten" festgelegt werden.

Derzeit ist die App-Anmeldung nur erforderlich, wenn eingehende Organisationsdaten zu einer Ziel-App vorhanden sind.

Xml-Daten eingeben

Sie können eine XML-Eigenschaftenliste eingeben oder einfügen, die die App-Konfigurationseinstellungen für Geräte enthält, die bei Intune registriert sind. Das Format der XML-Eigenschaftenliste hängt von der App ab, die Sie konfigurieren. Wenden Sie sich an den Anbieter der App, um Details zum genauen Zu verwendenden Format zu erhalten.

Intune überprüft das XML-Format. Intune überprüft jedoch nicht, ob die XML-Eigenschaftenliste (PList) mit der Ziel-App funktioniert.

Weitere Informationen zu XML-Eigenschaftenlisten:

Beispielformat für eine APP-Konfigurations-XML-Datei

Wenn Sie eine App-Konfigurationsdatei erstellen, können Sie mithilfe dieses Formats einen oder mehrere der folgenden Werte angeben:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Unterstützte XML-PList-Datentypen

Intune unterstützt die folgenden Datentypen in einer Eigenschaftenliste:

  • <Ganzzahl>
  • <Real>
  • <Schnur>
  • <Array>
  • <dict>
  • <true /> oder <false />

In der Eigenschaftenliste verwendete Token

Darüber hinaus unterstützt Intune die folgenden Tokentypen in der Eigenschaftenliste:

  • {{userprincipalname}} – z. B. John@contoso.com
  • {{mail}} – z. B. John@contoso.com
  • {{partialupn}} – z. B. John
  • {{accountid}} – z. B. fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} – z. B. b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}} – z. B. 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}} – z. B. John Doe
  • {{serialnumber}} – z. B. F4KN99ZUG5V2 (für iOS-/iPadOS-Geräte)
  • {{serialnumberlast4digits}} – z. B. G5V2 (für iOS-/iPadOS-Geräte)
  • {{aaddeviceid}} – z. B. ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} – z. B. True (für iOS-/iPadOS-Geräte)

Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-Geräten, die bei der automatisierten Geräteregistrierung registriert sind

Die automatisierten Geräteregistrierungen von Apple sind standardmäßig nicht mit der App Store-Version der Unternehmensportal App kompatibel. Sie können die Unternehmensportal-App jedoch so konfigurieren, dass sie iOS-/iPadOS-ADE-Geräte unterstützt, auch wenn Benutzer die Unternehmensportal aus dem App Store heruntergeladen haben, indem Sie die folgenden Schritte ausführen.

  1. Fügen Sie Microsoft Intune Admin Center die Intune-Unternehmensportal-App hinzu, falls sie noch nicht hinzugefügt wurde, indem Sie zu Apps>Alle Apps>iOS Store-Apphinzufügen> wechseln.

  2. Wechseln Sie zu Apps>App-Konfigurationsrichtlinien, um eine App-Konfigurationsrichtlinie für die Unternehmensportal App zu erstellen.

  3. Erstellen Sie eine App-Konfigurationsrichtlinie mit dem folgenden XML-Code. Weitere Informationen zum Erstellen einer App-Konfigurationsrichtlinie und zum Eingeben von XML-Daten finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte.

    • Verwenden Sie die Unternehmensportal auf einem ADE-Gerät (Automated Device Enrollment), das mit Benutzeraffinität registriert ist:

      Hinweis

      Wenn für das Registrierungsprofil "Unternehmensportal installieren" auf Ja festgelegt ist, pusht Intune die nachstehende Anwendungskonfigurationsrichtlinie automatisch als Teil des anfänglichen Registrierungsprozesses. Diese Konfiguration sollte nicht manuell für Benutzer oder Geräte bereitgestellt werden, da dies zu einem Konflikt mit der nutzlast führt, die bereits während der Registrierung gesendet wurde. Dies führt dazu, dass Endbenutzer nach der Anmeldung bei Unternehmensportal aufgefordert werden, ein neues Verwaltungsprofil herunterzuladen (wenn dies nicht der Fall ist, da auf diesen Geräten bereits ein Verwaltungsprofil installiert ist).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Verwenden Sie die Unternehmensportal auf einem ADE-Gerät, das ohne Benutzeraffinität registriert ist (auch als Device Staging bezeichnet):

      Hinweis

      Der Benutzer, der sich bei Unternehmensportal anmeldet, wird als primärer Benutzer des Geräts festgelegt.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Stellen Sie die Unternehmensportal auf Geräten bereit, deren App-Konfigurationsrichtlinie auf die gewünschten Gruppen ausgerichtet ist. Stellen Sie sicher, dass Sie die Richtlinie nur für Gruppen von Geräten bereitstellen, die bereits ADE registriert sind.

  5. Weisen Sie Endbenutzer an, sich bei der Unternehmensportal-App anzumelden, wenn sie automatisch installiert wird.

Hinweis

Wenn Sie eine App-Konfiguration hinzufügen, um die Unternehmensportal App auf ADE-Geräten ohne Benutzeraffinität zuzulassen, tritt möglicherweise ein aufSTATE Policy Error. Im Gegensatz zu anderen App-Konfigurationen gilt diese Situation nicht jedes Mal, wenn das Gerät eingecheckt wird. Stattdessen soll diese App-Konfiguration ein einmaliger Vorgang sein, um vorhandenen Geräten, die ohne Benutzeraffinität registriert sind, die Benutzeraffinität zu ermöglichen, wenn sich ein Benutzer beim Unternehmensportal anmeldet. Diese App-Konfiguration wird aus der Richtlinie im Hintergrund entfernt, nachdem sie erfolgreich angewendet wurde. Die Richtlinienzuweisung ist vorhanden, meldet jedoch keinen Erfolg, nachdem die App-Konfiguration im Hintergrund entfernt wurde. Nachdem die App-Konfigurationsrichtlinie auf das Gerät angewendet wurde, können Sie die Zuweisung der Richtlinie aufheben.

Überwachen der iOS-/iPadOS-App-Konfiguration status pro Gerät

Nachdem eine Konfigurationsrichtlinie zugewiesen wurde, können Sie die iOS-/iPadOS-App-Konfiguration status für jedes verwaltete Gerät überwachen. Wählen Sie Microsoft Intune im Microsoft Intune Admin CenterGeräte>Alle Geräte aus. Wählen Sie in der Liste der verwalteten Geräte ein bestimmtes Gerät aus, um einen Bereich für das Gerät anzuzeigen. Wählen Sie im Gerätebereich App-Konfiguration aus.

Weitere Informationen

Nächste Schritte

Fahren Sie mit dem Zuweisen und Überwachen der App fort.