Zasady dotyczące konfiguracji aplikacji dla usługi Microsoft Intune

Zasady konfiguracji aplikacji mogą pomóc w wyeliminowaniu problemów z konfiguracją aplikacji, umożliwiając przypisanie ustawień konfiguracji do zasad przypisanych do użytkowników końcowych przed uruchomieniem aplikacji. Ustawienia są następnie dostarczane automatycznie, gdy aplikacja jest skonfigurowana na urządzeniu użytkowników końcowych, a użytkownicy końcowi nie muszą podejmować działań. Ustawienia konfiguracji są unikatowe dla każdej aplikacji.

Zasady konfiguracji aplikacji można tworzyć i używać do zapewniania ustawień konfiguracji zarówno dla aplikacji systemu iOS/iPadOS, jak i Android. Te ustawienia konfiguracji umożliwiają dostosowywanie aplikacji przy użyciu konfiguracji aplikacji i zarządzania nią. Ustawienia zasad konfiguracji są używane podczas sprawdzania tych ustawień przez aplikację, zazwyczaj przy pierwszym uruchomieniu aplikacji.

Na przykład ustawienie konfiguracji aplikacji może wymagać określenia dowolnej z następujących szczegółów:

• Niestandardowy numer portu
• Ustawienia języka
• Ustawienia zabezpieczeń
• Ustawienia znakowania, takie jak logo firmy

Jeśli zamiast tego użytkownicy końcowi mają wprowadzić te ustawienia, mogą to zrobić niepoprawnie. Zasady konfiguracji aplikacji mogą pomóc zapewnić spójność w przedsiębiorstwie i zmniejszyć liczbę wywołań pomocy technicznej od użytkowników końcowych próbujących samodzielnie skonfigurować ustawienia. Dzięki zasadom konfiguracji aplikacji wdrażanie nowych aplikacji może być łatwiejsze i szybsze.

O dostępnych parametrach konfiguracji i implementacji parametrów konfiguracji decydują deweloperzy aplikacji. Dokumentacja dostawcy aplikacji powinna zostać przejrzana, aby zobaczyć, jakie konfiguracje są dostępne i jak konfiguracje wpływają na zachowanie aplikacji. W przypadku niektórych aplikacji usługa Intune wypełni dostępne ustawienia konfiguracji.

Uwaga

W zarządzanym sklepie Google Play aplikacje obsługujące konfigurację zostaną oznaczone jako takie:

Aplikacje z zarządzanego sklepu Google Play, a nie ze sklepu Google Play, będą widoczne tylko w przypadku korzystania z urządzeń zarządzanych jako typu rejestracji dla urządzeń z systemem Android.

Zasady konfiguracji aplikacji można przypisać do grupy użytkowników końcowych i urządzeń przy użyciu kombinacji przypisań dołączania i wykluczania. W ramach procesu dodawania lub aktualizowania zasad konfiguracji aplikacji można ustawić przypisania dla zasad konfiguracji aplikacji. Po ustawieniu przypisań dla zasad można uwzględnić i wykluczyć grupy użytkowników końcowych, dla których mają zastosowanie zasady. Jeśli zdecydujesz się dołączyć co najmniej jedną grupę, możesz wybrać określone grupy do uwzględnienia lub wybrać grupy wbudowane. Wbudowane grupy obejmują wszystkich użytkowników, wszystkie urządzenia i wszystkich użytkowników i wszystkie urządzenia.

Filtry umożliwiają również uściślanie zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemami iOS i Android. Najpierw należy utworzyć filtr przy użyciu dowolnej z dostępnych właściwości dla systemów iOS i Android. Następnie w centrum administracyjnym Microsoft Intune można przypisać zasady konfiguracji aplikacji zarządzanej, wybierając pozycjęZasady> konfiguracji aplikacji Aplikacje>Dodaj>zarządzane urządzenia i przejdź do strony przypisania. Po wybraniu grupy można uściślić zastosowanie zasad, wybierając filtr i decydując się na jego użycie w trybie Dołączanie lub Wykluczanie .

Obciążenie zasad konfiguracji aplikacji zawiera listę zasad konfiguracji aplikacji, które zostały utworzone dla dzierżawy. Ta lista zawiera szczegółowe informacje, takie jak Nazwa, Platforma, Zaktualizowano, Typ rejestracji i Tagi zakresu. Aby uzyskać dodatkowe informacje o określonych zasadach konfiguracji aplikacji, wybierz zasady. W okienku Przegląd zasad można zobaczyć konkretne szczegóły, takie jak stan zasad na podstawie urządzenia i użytkownika, a także to, czy zasady zostały przypisane.

Aplikacje obsługujące konfigurację aplikacji

Konfigurację aplikacji można dostarczać za pośrednictwem kanału zarządzania urządzeniami przenośnymi (MDM) na zarejestrowanych urządzeniach (zarządzany kanał App Configuration dla systemu iOS lub Android w kanale Enterprise dla systemu Android) lub za pośrednictwem kanału zarządzania aplikacjami mobilnymi (MAM).

Usługa Intune reprezentuje następujące kanały zasad konfiguracji aplikacji jako:

• Urządzenia zarządzane — urządzenie jest zarządzane przez usługę Intune jako ujednolicony dostawca zarządzania punktami końcowymi. Aplikacja musi zostać przypięta do profilu zarządzania w systemie iOS/iPadOS lub wdrożona za pośrednictwem zarządzanego sklepu Google Play na urządzeniach z systemem Android. Ponadto aplikacja obsługuje żądaną konfigurację aplikacji.
• Aplikacje zarządzane — aplikacja, która zintegrowała zestaw SDK aplikacji usługi Intune lub została opakowana przy użyciu narzędzia opakowującego usługi Intune i obsługuje zasady ochrony aplikacji (APP). W tej konfiguracji nie ma znaczenia ani stan rejestracji urządzenia, ani sposób dostarczania aplikacji do urządzenia. Aplikacja obsługuje żądaną konfigurację aplikacji.

Aplikacje mogą obsługiwać ustawienia zasad konfiguracji aplikacji inaczej w odniesieniu do preferencji użytkownika. Na przykład w przypadku programu Outlook dla systemów iOS i Android ustawienie konfiguracji aplikacji Focused Inbox będzie uwzględniać ustawienie użytkownika, dzięki czemu użytkownik może zastąpić intencję administratora. Inne ustawienia mogą umożliwiać kontrolowanie, czy użytkownik może lub nie może zmienić ustawienia na podstawie intencji administratora.

Uwaga

Usługa Intune wymaga systemu Android 8.x lub nowszego w przypadku scenariuszy rejestracji urządzeń i konfiguracji aplikacji dostarczanych za pośrednictwem zasad konfiguracji aplikacji urządzeń zarządzanych. To wymaganie nie ma zastosowania do urządzeń z systemem Android w usłudze Microsoft Teams , ponieważ te urządzenia będą nadal obsługiwane.

W przypadku zasad ochrony aplikacji i konfiguracji aplikacji usługi Intune dostarczanych za pośrednictwem zasad konfiguracji aplikacji zarządzanych usługa Intune wymaga systemu Android 9.0 lub nowszego.

Urządzenia zarządzane

Wybranie pozycji Urządzenia zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji wdrożonych przez usługę Intune na zarejestrowanym urządzeniu i dlatego są zarządzane przez usługę Intune jako dostawca rejestracji.

Aby obsługiwać konfigurację aplikacji wdrożonych za pośrednictwem usługi Intune na zarejestrowanych urządzeniach, aplikacje muszą być zapisywane w celu obsługi konfiguracji aplikacji zdefiniowanych przez system operacyjny. Skontaktuj się z dostawcą aplikacji, aby uzyskać szczegółowe informacje na temat kluczy konfiguracji aplikacji, które obsługują do dostarczania za pośrednictwem kanału systemu operacyjnego MDM. Ogólnie istnieją cztery scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału systemu operacyjnego MDM:

• Zezwalaj tylko na konta służbowe
• Ustawienia konfiguracji konfiguracji konta
• Ogólne ustawienia konfiguracji aplikacji
• Ustawienia konfiguracji S/MIME

Aplikacje zarządzane

Wybranie pozycji Aplikacje zarządzane jako typ rejestracji urządzenia odnosi się w szczególności do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji usługi Intune na urządzeniach niezależnie od stanu rejestracji.

Aby obsługiwać konfigurację aplikacji za pośrednictwem kanału MAM, aplikacja musi być zintegrowana z zestawem SDK aplikacji usługi Intune. Aplikacje biznesowe mogą integrować zestaw SDK aplikacji usługi Intune lub korzystać z App Wrapping Tool usługi Intune. Aby zapoznać się z porównaniem zestawu SDK aplikacji usługi Intune i App Wrapping Tool usługi Intune, zobacz Przygotowywanie aplikacji biznesowych na potrzeby zasad ochrony aplikacji.

Dostarczanie konfiguracji aplikacji za pośrednictwem kanału MAM nie wymaga zarejestrowania urządzenia ani zarządzania aplikacją ani dostarczania jej za pośrednictwem ujednoliconego rozwiązania do zarządzania punktami końcowymi. Istnieją trzy scenariusze dostarczania konfiguracji aplikacji przy użyciu kanału MAM:

• Ogólne ustawienia konfiguracji aplikacji
• Ustawienia konfiguracji S/MIME
• Zaawansowane ustawienia ochrony danych aplikacji, które rozszerzają możliwości oferowane przez zasady ochrony aplikacji

Uwaga

Aplikacje zarządzane przez usługę Intune będą zaewidencjonowywały stan zasad App Configuration usługi Intune z interwałem 30 minut, gdy zostaną wdrożone w połączeniu z zasadami ochrony aplikacji usługi Intune. Jeśli zasady ochrony aplikacji usługi Intune nie są przypisane do użytkownika, interwał ewidencjonowania zasad App Configuration usługi Intune jest ustawiony na 720 minut.

Aby uzyskać informacje o tym, które aplikacje obsługują konfigurację aplikacji za pośrednictwem kanału MAM, zobacz Microsoft Intune chronione aplikacje.

Zasady konfiguracji aplikacji systemu Android Enterprise

W przypadku zasad konfiguracji aplikacji systemu Android Enterprise można wybrać typ rejestracji urządzenia przed utworzeniem profilu konfiguracji aplikacji. Możesz uwzględnić profile certyfikatów oparte na typie rejestracji.

Typ rejestracji może być jednym z następujących:

• Wszystkie typy profilów: jeśli zostanie utworzony nowy profil i wybrano opcję Wszystkie typy profilów dla typu rejestracji urządzenia, nie będzie można skojarzyć profilu certyfikatu z zasadami konfiguracji aplikacji. Ta opcja obsługuje uwierzytelnianie nazwy użytkownika i hasła. Jeśli używasz uwierzytelniania opartego na certyfikatach, nie używaj tej opcji.
• W pełni zarządzane, dedykowane i Corporate-Owned tylko profil służbowy: jeśli zostanie utworzony nowy profil i wybrano w pełni zarządzane, dedykowane i Corporate-Owned tylko profil służbowy, można korzystać z zasad certyfikatów w pełni zarządzanych, dedykowanych i Corporate-Owned profilu służbowegoutworzonychw obszarzeKonfiguracja urządzeń>. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła. W pełni zarządzane odnosi się do w pełni zarządzanych urządzeń z systemem Android Enterprise (COBO). Dedykowane dotyczy dedykowanych urządzeń z systemem Android Enterprise (COSU). Profil służbowy należący do firmy odnosi się do firmowego profilu służbowego systemu Android Enterprise (COPE).
• Tylko profil służbowy należący do użytkownika: jeśli zostanie utworzony nowy profil i wybrano tylko profil służbowy należący do użytkownika, można użyć zasad certyfikatu profilu służbowego utworzonychw obszarzeKonfiguracja urządzeń>. Ta opcja obsługuje uwierzytelnianie oparte na certyfikatach oraz uwierzytelnianie nazwy użytkownika i hasła.

Uwaga

Wdrożenie profilu konfiguracji Gmail lub Nine w dedykowanym profilu służbowym urządzenia z systemem Android Enterprise, który nie obejmuje użytkownika, zakończy się niepowodzeniem, ponieważ usługa Intune nie może rozpoznać użytkownika.

Ważna

Istniejące zasady utworzone przed wydaniem tej funkcji (wersja z kwietnia 2020 r. — 2004 r.), które nie mają żadnych profilów certyfikatów skojarzonych z zasadami, domyślnie mają wartość Wszystkie typy profilów dla typu rejestracji urządzenia. Ponadto istniejące zasady utworzone przed wydaniem tej funkcji, które mają skojarzone z nimi profile certyfikatów, domyślnie mają tylko profil służbowy.

Istniejące zasady nie korygują ani nie wystawiają nowych certyfikatów.

Weryfikowanie zastosowanych zasad konfiguracji aplikacji

Zasady konfiguracji aplikacji można zweryfikować przy użyciu następujących trzech metod:

1. Sprawdź zasady konfiguracji aplikacji w widoczny sposób na urządzeniu. Upewnij się, że aplikacja docelowa wykazuje zachowanie stosowane w zasadach konfiguracji aplikacji.

2. Sprawdź za pośrednictwem dzienników diagnostycznych (zobacz sekcję Dzienniki diagnostyczne poniżej).

3. Sprawdź w centrum administracyjnym Microsoft Intune. W centrum administracyjnym Microsoft Intune wybierz pozycję Aplikacje>Wszystkie aplikacje>wybierz powiązaną aplikację*. Następnie w sekcji Monitorowanie wybierz pozycję Stan instalacji urządzenia: Raport o stanie instalacji urządzenia monitoruje najnowsze ewidencjonowania dla wszystkich urządzeń, do których zostały skierowane zasady konfiguracji.

   Ponadto w centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Wszystkie urządzenia>wybierz konfigurację aplikacji urządzenia>. W okienku konfiguracji aplikacji** zostaną wyświetlone wszystkie przypisane zasady i ich stan:

   

Dzienniki diagnostyczne

Konfiguracja systemu iOS/iPadOS na urządzeniach niezarządzanych

Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego usługi Intune dla ustawień wdrożonych za pośrednictwem zasad konfiguracji aplikacji zarządzanych. Oprócz poniższych kroków możesz uzyskać dostęp do dzienników zarządzanych aplikacji przy użyciu przeglądarki Microsoft Edge. Aby uzyskać więcej informacji, zobacz Używanie przeglądarki Microsoft Edge dla systemów iOS i Android do uzyskiwania dostępu do dzienników zarządzanych aplikacji.

1. Jeśli urządzenie nie zostało jeszcze zainstalowane, pobierz i zainstaluj przeglądarkę Microsoft Edge z App Store. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje.

2. Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.

3. Kliknij pozycję Rozpocznij.

4. Kliknij pozycję Udostępnij dzienniki.

5. Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.

6. Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.

7. Wyszukaj ciąg ApplicationConfiguration. Wyniki będą wyglądać następująco:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

Szczegóły konfiguracji aplikacji powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.

Konfiguracja systemu iOS/iPadOS na urządzeniach zarządzanych

Konfigurację systemu iOS/iPadOS można zweryfikować za pomocą dziennika diagnostycznego usługi Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.

1. Jeśli urządzenie nie zostało jeszcze zainstalowane, pobierz i zainstaluj przeglądarkę Microsoft Edge z App Store. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje.
2. Uruchom przeglądarkę Microsoft Edge i wprowadź ciąg about:intunehelp w polu adresu.
3. Kliknij pozycję Rozpocznij.
4. Kliknij pozycję Udostępnij dzienniki.
5. Użyj wybranej aplikacji poczty, aby wysłać dziennik do siebie, aby można go było wyświetlić na komputerze.
6. Przejrzyj IntuneMAMDiagnostics.txt w przeglądarce plików tekstowych.
7. Wyszukaj ciąg AppConfig. Wyniki powinny odpowiadać zasadom konfiguracji aplikacji skonfigurowanym dla dzierżawy.

Konfiguracja systemu Android na urządzeniach zarządzanych

Konfigurację systemu Android można zweryfikować za pomocą dziennika diagnostycznego usługi Intune na zarządzanych urządzeniach na potrzeby konfiguracji aplikacji zarządzanej.

Aby zbierać dzienniki z urządzenia z systemem Android, Użytkownik lub użytkownik końcowy musi pobrać dzienniki z urządzenia za pośrednictwem połączenia USB (lub Eksplorator plików równoważnego na urządzeniu). W tym celu należy wykonać następujące czynności:

1. Podłącz urządzenie z systemem Android do komputera za pomocą kabla USB.

2. Na komputerze poszukaj katalogu o nazwie urządzenia. W tym katalogu znajdź .Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal

3. W folderze com.microsoft.windowsintune.companyportal otwórz folder Pliki i otwórz plik OMADMLog_0.

4. Wyszukaj komunikaty AppConfigHelper dotyczące konfiguracji aplikacji. Wyniki będą wyglądać podobnie do następującego bloku danych:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

interfejs Graph API obsługę konfiguracji aplikacji

Za pomocą interfejs Graph API można wykonywać zadania konfiguracji aplikacji. Aby uzyskać szczegółowe informacje, zobacz interfejs Graph API Reference MAM Targeted Config (Dokumentacja konfiguracji docelowej zarządzania aplikacjami mobilnymi). Aby uzyskać więcej informacji na temat usługi Intune i programu Graph, zobacz Praca z usługą Intune w programie Microsoft Graph.

Rozwiązywanie problemów

Wyświetlanie parametru konfiguracji przy użyciu dzienników

Gdy dzienniki pokazują parametr konfiguracji, który jest potwierdzony do zastosowania, ale wydaje się, że nie działa, może wystąpić problem z implementacją konfiguracji przez dewelopera aplikacji. Skontaktowanie się z deweloperem aplikacji lub sprawdzenie ich baza wiedzy może zapisać połączenie pomocy technicznej z firmą Microsoft. Jeśli problem dotyczy sposobu obsługi konfiguracji w aplikacji, należy rozwiązać ten problem w przyszłej zaktualizowanej wersji tej aplikacji.

Następne kroki

Urządzenia zarządzane

• Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem iOS/iPadOS. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.
• Dowiedz się, jak używać konfiguracji aplikacji z urządzeniami z systemem Android. Zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android.

Aplikacje zarządzane

• Dowiedz się, jak używać konfiguracji aplikacji z aplikacjami zarządzanymi. Zobacz Dodawanie zasad konfiguracji aplikacji dla aplikacji zarządzanych bez rejestracji urządzeń.