Ajouter des stratégies de configuration d’application pour les appareils Android Entreprise gérés

Les stratégies de configuration des applications dans Microsoft Intune fournissent des paramètres aux applications Google Play gérées sur les appareils Android Entreprise gérés. Le développeur d’applications expose les paramètres de configuration des applications gérées par Android. Intune utilise ces paramètres exposés pour permettre à l’administrateur de configurer les fonctionnalités de l’application. La stratégie de configuration d’application est affectée à vos groupes d’utilisateurs. Les paramètres de stratégie sont utilisés lorsque l’application les vérifie, généralement la première fois que l’application s’exécute.

Toutes les applications ne prennent pas en charge la configuration des applications. Contactez le développeur de l’application pour voir si son application prend en charge les stratégies de configuration d’application.

Remarque

Intune nécessite Android 8.x ou une version supérieure pour les scénarios d’inscription d’appareils et la configuration d’applications fournies via des Stratégies de configuration des applications des appareils gérés. Cette exigence ne s'applique pas aux Appareils Android Microsoft Teams, car ces appareils continuent d'être pris en charge.

Pour les stratégies de protection des applications Intune et la configuration d’applications fournies via les Stratégies de configuration des applications des applications gérées, Intune requiert Android 9.0 ou une version supérieure.

Applications de messagerie électronique

Android Enterprise a plusieurs méthodes d’inscription. Le type d’inscription dépend de la façon dont la messagerie est configurée sur l’appareil :

  • Sur les profils professionnels Android Entreprise entièrement managés, dédiés et appartenant à l’entreprise, utilisez une stratégie de configuration d’application et les étapes décrites dans cet article. Les stratégies de configuration des applications prennent en charge les applications de messagerie Gmail et Nine Work.
  • Sur les appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel, créez un profil de configuration d’appareil de messagerie Android Enterprise. Lorsque vous créez le profil, vous pouvez configurer les paramètres des clients de messagerie qui prennent en charge les stratégies de configuration d’application. Lorsque vous utilisez le concepteur de configuration, Intune inclut des paramètres de messagerie spécifiques aux applications Gmail et Nine Work.

Créer une stratégie de configuration des applications

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Choisissez les stratégies deconfiguration> des applications>Ajouter des>appareils gérés. Notez que vous pouvez choisir entre appareils gérés et applications gérées. Pour plus d’informations , consultez Applications qui prennent en charge la configuration des applications.

  3. Dans la page Informations de base , définissez les détails suivants :

    • Nom : nom du profil qui apparaît dans le portail.
    • Description : description du profil qui apparaît dans le portail.
    • Type d’inscription d’appareil : ce paramètre est défini sur Appareils gérés.
  4. Sélectionnez Android Enterprise comme plateforme.

  5. Cliquez sur Sélectionner une application en regard de Application ciblée. Le volet Application associée s’affiche.

  6. Dans le volet Application associée , choisissez l’application gérée à associer à la stratégie de configuration, puis cliquez sur OK.

  7. Cliquez sur Suivant pour afficher la page Paramètres.

  8. Cliquez sur Ajouter pour afficher le volet Ajouter des autorisations .

  9. Cliquez sur les autorisations que vous souhaitez remplacer. Les autorisations accordées remplacent la stratégie « Autorisations d’application par défaut » pour les applications sélectionnées.

  10. Définissez l’état d’autorisation pour chaque autorisation. Vous pouvez choisir entre Demander, Accorder automatiquement ou Refuser automatiquement.

  11. Si l’application gérée prend en charge les paramètres de configuration, la zone de liste déroulante Format des paramètres de configuration est visible. Sélectionnez l’une des méthodes suivantes pour ajouter des informations de configuration :

    • Utiliser le concepteur de configuration
    • Entrer des données JSON

    Pour plus d’informations sur l’utilisation du concepteur de configuration, consultez Utiliser le concepteur de configuration. Pour plus d’informations sur l’entrée de données XML, consultez Entrer des données JSON.

  12. Si vous devez autoriser les utilisateurs à connecter l’application ciblée sur les profils professionnels et personnels, sélectionnez Activé en regard de Applications connectées.

    Capture d’écran de la stratégie de configuration - Paramètres

    Remarque

    Ce paramètre fonctionne uniquement pour les appareils avec profil professionnel appartenant à l’utilisateur et les appareils avec profil professionnel appartenant à l’entreprise.

    La modification du paramètre Applications connectées sur Non configuré ne supprime pas la stratégie de configuration de l’appareil. Pour supprimer la fonctionnalité Applications connectées d’un appareil, vous devez annuler l’affectation de la stratégie de configuration associée.

  13. Cliquez sur Suivant pour afficher la page Balises d’étendue.

  14. [Facultatif] Vous pouvez configurer des balises d’étendue pour votre stratégie de configuration d’application. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

  15. Cliquez sur Suivant pour afficher la page Affectations .

  16. Dans la zone de liste déroulante en regard de Attribuer à, sélectionnez Ajouter des groupes, Ajouter tous les utilisateurs ou Ajouter tous les appareils pour affecter la stratégie de configuration d’application. Une fois que vous avez sélectionné un groupe d’affectations, vous pouvez sélectionner un filtre pour affiner l’étendue de l’affectation lors du déploiement de stratégies de configuration d’application pour les appareils gérés.

    Capture d’écran des affectations de stratégie - Affectations

  17. Sélectionnez Tous les utilisateurs dans la zone de liste déroulante.

    Capture d’écran de l’option de liste déroulante Affectations de stratégie - Tous les utilisateurs

  18. [Facultatif] Cliquez sur Modifier le filtre pour ajouter un filtre et affiner l’étendue de l’affectation.

    Capture d’écran des affectations de stratégie - Modifier le filtre

  19. Cliquez sur Sélectionner les groupes à exclure pour afficher le volet associé.

  20. Choisissez les groupes que vous souhaitez exclure, puis cliquez sur Sélectionner.

    Remarque

    Lors de l’ajout d’un groupe, si un autre groupe a déjà été inclus pour un type d’affectation donné, il est pré-sélectionné et immuable pour les autres types d’affectation include. Par conséquent, ce groupe qui a été utilisé ne peut pas être utilisé comme groupe exclu.

  21. Cliquez sur Suivant pour afficher la page Vérifier + créer.

  22. Cliquez sur Créer pour ajouter la stratégie de configuration d’application à Intune.

Utiliser le concepteur de configuration

Vous pouvez utiliser le concepteur de configuration pour les applications Google Play gérées lorsque l’application est conçue pour prendre en charge les paramètres de configuration. La configuration s’applique aux appareils inscrits dans Intune. Le concepteur vous permet de configurer des valeurs de configuration spécifiques pour les paramètres exposés par l’application.

  1. Sélectionnez Ajouter. Choisissez la liste des paramètres de configuration que vous souhaitez entrer pour l’application.

    Si vous utilisez des applications de messagerie Gmail ou Nine Work, les paramètres de l’appareil Android Entreprise pour configurer la messagerie disposent d’informations supplémentaires sur ces paramètres spécifiques.

  2. Pour chaque clé et valeur dans la configuration, définissez :

    • Type de valeur : type de données de la valeur de configuration. Pour les types valeur string, vous pouvez éventuellement choisir une variable ou un profil de certificat comme type de valeur.
    • Valeur de configuration : valeur de la configuration. Si vous sélectionnez une variable ou un certificat pour le type Valeur, choisissez dans une liste de variables ou de profils de certificat. Si vous choisissez un certificat, l’alias de certificat du certificat déployé sur l’appareil est rempli lors de l’exécution.

Variables prises en charge pour les valeurs de configuration

Vous pouvez choisir les options suivantes si vous choisissez variable comme type de valeur :

Option Exemple
ID d’appareil Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
ID d’appareil Intune b9841cd9-9843-405f-be28-b2265c59ef97
Domain contoso.com
Courrier john@contoso.com
UPN partiel John
ID utilisateur 3ec2c00f-b125-4519-acf0-302ac3761822
Nom d’utilisateur John Doe
Nom d’utilisateur principal john@contoso.com

Autoriser uniquement les comptes organization configurés dans les applications

En tant qu’administrateur Microsoft Intune, vous pouvez contrôler les comptes professionnels ou scolaires qui sont ajoutés aux applications Microsoft sur les appareils gérés. Vous pouvez limiter l’accès uniquement aux comptes d’utilisateur autorisés organization et bloquer les comptes personnels sur les appareils inscrits. Pour les appareils Android, utilisez les paires clé/valeur suivantes dans une stratégie de configuration d’application Appareils gérés :

Clé com.microsoft.intune.mam.AllowedAccountUPNs
Valeurs
  • Un ou plusieurs ; UPN délimités.
  • Seul le ou les comptes autorisés sont les comptes d’utilisateur gérés définis par cette clé.
  • Pour les appareils inscrits à Intune, le {{userprincipalname}} jeton peut être utilisé pour représenter le compte d’utilisateur inscrit.

Remarque

Les applications suivantes traitent la configuration d’application ci-dessus et autorisent uniquement les comptes organization :

  • Edge pour Android (42.0.4.4048 et versions ultérieures)
  • Office, Word, Excel, PowerPoint pour Android (16.0.9327.1000 et versions ultérieures)
  • OneDrive pour Android (5.28 et versions ultérieures)
  • OneNote pour Android (16.0.13231.20222 ou version ultérieure)
  • Outlook pour Android (2.2.222 et versions ultérieures)
  • Teams pour Android (1416/1.0.0.2020073101 et versions ultérieures)

Entrer des données JSON

Certains paramètres de configuration sur les applications (comme les applications avec des types d’offre groupée) ne peuvent pas être configurés avec le concepteur de configuration. Utilisez l’éditeur JSON pour ces valeurs. Les paramètres sont fournis automatiquement aux applications lorsque l’application est installée.

  1. Pour Format des paramètres de configuration, sélectionnez Entrer l’éditeur JSON.
  2. Dans l’éditeur, vous pouvez définir des valeurs JSON pour les paramètres de configuration. Vous pouvez choisir Télécharger le modèle JSON pour télécharger un exemple de fichier que vous pouvez ensuite configurer.
  3. Choisissez OK, puis Ajouter.

La stratégie est créée et affichée dans la liste.

Lorsque l’application affectée est exécutée sur un appareil, elle s’exécute avec les paramètres que vous avez configurés dans la stratégie de configuration d’application.

Activer les applications connectées

S’applique à :
Android 11+

Les utilisateurs de profil professionnel appartenant à l’utilisateur doivent avoir Portail d'entreprise version 5.0.5291.0 ou ultérieure. Les utilisateurs de profil professionnel appartenant à l’entreprise n’ont pas besoin d’une version spécifique de l’application Microsoft Intune pour le support.

Vous pouvez autoriser les utilisateurs qui utilisent des profils android personnels et professionnels appartenant à l’entreprise à activer les expériences des applications connectées pour les applications prises en charge. Ce paramètre de configuration d’application permet aux applications de se connecter et d’intégrer des données d’application dans les instances d’application professionnelles et personnelles.

Pour qu’une application offre cette expérience, l’application doit s’intégrer au Kit de développement logiciel (SDK) des applications connectées de Google. Par conséquent, seules des applications limitées la prennent en charge. Vous pouvez activer le paramètre d’applications connectées de manière proactive. Lorsque les applications ajoutent une prise en charge, les utilisateurs peuvent activer l’expérience des applications connectées.

La modification du paramètre Applications connectées sur Non configuré ne supprime pas la stratégie de configuration de l’appareil. Pour supprimer la fonctionnalité Applications connectées d’un appareil, vous devez annuler l’affectation de la stratégie de configuration associée.

Avertissement

Si vous activez la fonctionnalité des applications connectées pour une application, les données de travail dans les applications personnelles ne sont pas protégées par une stratégie de protection des applications.

En outre, quelle que soit la configuration de vos applications connectées, certains oem peuvent connecter automatiquement certaines applications ou peuvent être en mesure de demander l’approbation de l’utilisateur pour connecter des applications que vous n’avez pas configurées. Un exemple d’application dans ce cas peut être l’application clavier de l’OEM.

Il existe deux façons pour les utilisateurs de connecter des applications professionnelles et personnelles une fois que vous avez activé le paramètre d’applications connectées :

  1. Une application prise en charge peut choisir d’inviter un utilisateur à approuver sa connexion entre les profils.
  2. Les utilisateurs peuvent ouvrir l’application Paramètres et accéder à la section Travail connecté & applications personnelles, où ils verront toutes les applications prises en charge répertoriées.

Importante

Si plusieurs stratégies de configuration d’application sont attribuées pour la même application ciblant le même appareil et qu’une stratégie définit Applications Enabledconnectées sur alors que l’autre stratégie ne le fait pas, la configuration de l’application signale un conflit et le comportement qui en résulte appliqué sur l’appareil consiste à interdire les applications connectées.

Préconfigurer l’état d’octroi des autorisations pour les applications

Vous pouvez également préconfigurer des autorisations d’application pour accéder aux fonctionnalités des appareils Android. Par défaut, les applications Android qui nécessitent des autorisations d’appareil, telles que l’accès à l’emplacement ou à la caméra de l’appareil, invitent les utilisateurs à accepter ou refuser des autorisations.

Par exemple, une application utilise le microphone de l’appareil. L’utilisateur est invité à accorder à l’application l’autorisation d’utiliser le microphone.

  1. Dans le centre d’administration Microsoft Intune, sélectionnez Applications Stratégies> deconfiguration> d’applicationAjouter des>appareils gérés.
  2. Ajoutez les propriétés suivantes :
    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est La stratégie d’autorisation d’invite Android Entreprise pour l’ensemble de l’entreprise.
    • Description. Entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
    • Type d’inscription d’appareil : ce paramètre est défini sur Appareils gérés.
    • Plateforme : sélectionnez Android Entreprise.
  3. Sélectionnez Type de profil :
  4. Sélectionnez Application ciblée. Choisissez l’application à laquelle vous souhaitez associer une stratégie de configuration. Sélectionnez dans la liste des applications de profil professionnel Android Entreprise entièrement managées que vous avez approuvées et synchronisées avec Intune.
  5. Sélectionnez Autorisations>Ajouter. Dans la liste, sélectionnez les autorisations > d’application disponibles OK.
  6. Sélectionnez une option pour chaque autorisation à accorder avec cette stratégie :
    • Invite. Invitez l’utilisateur à accepter ou refuser.
    • Octroi automatique. Approuver automatiquement sans avertir l’utilisateur.
    • Refus automatique. Refuser automatiquement sans avertir l’utilisateur.
  7. Pour affecter la stratégie de configuration d’application, sélectionnez la stratégie de configuration >d’application Affectation>Sélectionner des groupes. Choisissez les groupes d’utilisateurs à affecter > à Sélectionner.
  8. Choisissez Enregistrer pour affecter la stratégie.

Informations supplémentaires

Prochaines étapes

Continuez à attribuer et à surveiller l’application.