Políticas de configuração do aplicativo para o Microsoft Intune

As políticas de configuração de aplicativo podem ajudá-lo a eliminar problemas de configuração de aplicativos, deixando que você atribua configurações a uma política atribuída aos usuários finais antes de executar o aplicativo. As configurações são então fornecidas automaticamente quando o aplicativo é configurado no dispositivo de usuários finais e os usuários finais não precisam tomar medidas. As configurações são exclusivas para cada aplicativo.

Você pode criar e usar políticas de configuração de aplicativos para fornecer configurações para aplicativos iOS/iPadOS ou Android. Essas configurações permitem que um aplicativo seja personalizado usando a configuração e o gerenciamento de aplicativos. As configurações da política são usadas quando o aplicativo verifica essas configurações, normalmente na primeira vez que o aplicativo é executado.

Uma configuração de aplicativo, por exemplo, pode exigir que você especifique qualquer um dos seguintes detalhes:

  • Um número de porta personalizado
  • Configurações de idioma
  • Configurações de segurança
  • Configurações de identidade visual, como um logotipo da empresa

Se os usuários finais inserirem essas configurações, eles poderão fazer isso incorretamente. As políticas de configuração de aplicativos podem ajudar a fornecer consistência em uma empresa e reduzir chamadas de assistência de usuários finais que tentam configurar as configurações por conta própria. Usando políticas de configuração de aplicativos, a adoção de novos aplicativos pode ser mais fácil e rápida.

Os parâmetros de configuração disponíveis e a implementação dos parâmetros de configuração são decididos pelos desenvolvedores do aplicativo. A documentação do fornecedor de aplicativos deve ser revisada para ver quais configurações estão disponíveis e como as configurações influenciam o comportamento do aplicativo. Para alguns aplicativos, o Intune preencherá as configurações disponíveis.

Observação

Na Google Play Store gerenciada, os aplicativos que suportam a configuração serão marcados como tal:

Captura de tela de um aplicativo configurado

Você só verá aplicativos da Google Play Storegerenciada , não da Google Play Store, ao usar Dispositivos Gerenciados como o Tipo de Registro para dispositivos Android. A Google Play Store gerenciada, que você também pode saber como Android for Work (AfW) e Android Enterprise, são os aplicativos no Perfil de Trabalho que contêm as versões do aplicativo que suportam a configuração do aplicativo.

Você pode atribuir uma política de configuração de aplicativo a um grupo de usuários finais e dispositivos usando uma combinação de atribuições de inclusão e exclusão. Depois de adicionar uma política de configuração de aplicativo, você pode definir as atribuições para a política de configuração do aplicativo. Ao definir as atribuições da política, você pode optar por incluir e excluir os grupos de usuários finais para os quais a política se aplica. Ao optar por incluir um ou mais grupos, você pode optar por selecionar grupos específicos para incluir ou selecionar grupos integrados. Os grupos integrados incluem Todos os Usuários, Todos os Dispositivos e Todos os Usuários + Todos os Dispositivos.

Você tem duas opções para usar políticas de configuração de aplicativo com o Intune:

  • Dispositivos gerenciados - O dispositivo é gerenciado pelo Intune como o provedor de gerenciamento de dispositivo móvel (MDM). O aplicativo deve ser projetado para dar suporte à configuração do aplicativo.

  • Aplicativos gerenciados - Um aplicativo que foi desenvolvido para integrar o SDK do Aplicativo do Intune. Isso é conhecido como Gerenciamento de Aplicativo Móvel sem registro (MAM-WE). Você também pode quebrar um aplicativo para implementar e dar suporte ao SDK do Aplicativo do Intune. Para obter mais informações sobre como encerrar um aplicativo, consulte Prepare line-of-business apps for app protection policies.

    Observação

    Os aplicativos gerenciados do Intune fazerão check-in com um intervalo de 30 minutos para o status da Política de Configuração de Aplicativo do Intune, quando implantados em conjunto com uma Política de Proteção de Aplicativos do Intune. Se uma Política de Proteção de Aplicativo do Intune não for atribuída ao usuário, o intervalo de check-in da Política de Configuração de Aplicativo do Intune será definido como 720 minutos.

Aplicativos que suportam a configuração do aplicativo

Dispositivos gerenciados

Você pode usar políticas de configuração de aplicativos para aplicativos que o suportam. Para dar suporte à configuração do aplicativo no Intune, os aplicativos devem ser gravados para dar suporte ao uso de configurações de aplicativos conforme definido pelo sistema operacional. Consulte o fornecedor do aplicativo para obter detalhes sobre quais teclas de configuração de aplicativo são suportadas.

Aplicativos gerenciado

Você pode preparar seus aplicativos de linha de negócios incorporando o SDK do Aplicativo do Intune ao aplicativo ou envolvendo o aplicativo depois que ele for desenvolvido usando o intune App Wrapping Tool. O SDK do Aplicativo do Intune se esforça para minimizar a quantidade de alterações de código necessárias do desenvolvedor do aplicativo. Para obter mais informações, consulte a visão geral do SDK do Aplicativo do Intune. Para uma comparação entre o SDK do Aplicativo do Intune e o App Wrapping Tool do Intune, consulte Prepare line-of-business apps for app protection policies.

Selecionar aplicativos gerenciados como o Tipo de Registro de Dispositivo refere-se especificamente a aplicativos configurados pelas políticas de configuração do Intune em um dispositivo que não está inscrito no gerenciamento de dispositivos, enquanto dispositivos gerenciados se aplica a aplicativos implantados por meio do canal MDM e, portanto, são gerenciados pelo Intune. Selecione a escolha apropriada com base nessas descrições.

Tipo de registro de dispositivo

Observação

Para aplicativos de várias identidades, como o Microsoft Outlook, as preferências do usuário podem ser consideradas. A Caixa de Entrada Focada, por exemplo, respeitará a configuração do usuário e não alterará a configuração. Outros parâmetros permitem controlar se um usuário pode ou não alterar a configuração. Para obter mais informações, consulte Deploying Outlook for iOS/iPadOS and Android app configuration settings.

Políticas de configuração de aplicativos Android

Para políticas de configuração de aplicativos Android, você pode selecionar o tipo de registro de dispositivo antes de criar um perfil de configuração de aplicativo. Você pode levar em conta perfis de certificado que se baseiam no tipo de registro.

O tipo de registro pode ser um dos seguintes:

  • Todos os Tipos de Perfil : se um novo perfil for criado e Todos os Tipos de Perfil forem selecionados para o tipo de registro de dispositivo, você não poderá associar um perfil de certificado à política de configuração do aplicativo. Essa opção dá suporte à autenticação de nome de usuário e senha. Se você usar autenticação baseada em certificado, não use essa opção.
  • Somente perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned : se um novo perfil for criado e Somente perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned estiver selecionado, políticas de certificado de Perfil de Trabalho Totalmente Gerenciados, Dedicados e Corporate-Owned criadas em perfis de Configuração de Dispositivo podem ser > usadas. Essa opção oferece suporte à autenticação baseada em certificado e autenticação de nome de usuário e senha. Totalmente Gerenciado relaciona-se a dispositivos totalmente gerenciados (COBO) do Android Enterprise. Dedicado se relaciona a dispositivos Enterprise Android dedicados (COSU). O Perfil de Trabalho de Propriedade Corporativa está relacionado ao perfil de trabalho Enterprise de propriedade corporativa (COPE).
  • Somente perfil de trabalho de propriedade pessoal : se um novo perfil for criado e Somente perfil de trabalho de propriedade pessoal estiver selecionado, as políticas de certificado de Perfil de Trabalho criadas em perfis de Configuração de Dispositivo poderão > ser usadas. Essa opção oferece suporte à autenticação baseada em certificado e autenticação de nome de usuário e senha.

Observação

Se você implantar um perfil de configuração do Gmail ou Nove em um perfil de trabalho de dispositivo Enterprise Android dedicado que não envolva um usuário, ele falhará porque o Intune não pode resolver o usuário.

Importante

As políticas existentes criadas antes da versão desse recurso (versão de abril de 2020 - 2004) que não têm perfis de certificado associados à política serão padrão para Todos os Tipos de Perfil para o tipo de registro de dispositivo. Além disso, as políticas existentes criadas antes da versão desse recurso que tenham perfis de certificado associados a eles serão padrão apenas para Perfil de Trabalho.

As políticas existentes não vão remediar ou emitir novos certificados.

Validar a política de configuração do aplicativo aplicado

Você pode validar a política de configuração do aplicativo usando os três métodos a seguir:

  1. Verifique a política de configuração do aplicativo visivelmente no dispositivo. Confirme se o aplicativo direcionado está exibindo o comportamento aplicado na política de configuração do aplicativo.

  2. Verifique por meio de Logs de Diagnóstico (consulte a seção Logs de Diagnóstico abaixo).

  3. Verifique no centro de Microsoft Endpoint Manager de administração. No centro Microsoft Endpoint Manager de administração,selecione Aplicativos > Todos os aplicativos > selecione o aplicativo relacionado*. Em seguida, na seção Monitor, selecione o status de instalação do dispositivo ou o status de instalação do usuário:

    Primeira captura de tela do status de instalação do dispositivo

    Segunda captura de tela do status de instalação do dispositivo

    Além disso, no centro de administração Microsoft Endpoint Manager,selecione Dispositivos Todos os > > Dispositivos selecione uma configuração de aplicativo de > dispositivo. O painel configuração do aplicativo** exibirá todas as políticas atribuídas e seu estado:

    Captura de tela da configuração do aplicativo

Logs de diagnóstico

Configuração do iOS/iPadOS em dispositivos não controlados

Você pode validar a configuração do iOS/iPadOS com o Log de Diagnóstico do Intune em dispositivos não gerenciados para configuração de aplicativo gerenciado. Além das etapas a seguir, você pode acessar logs de aplicativo gerenciados usando Microsoft Edge. Para obter mais informações, consulte Use Edge for iOS and Android to access managed app logs.

  1. Se ainda não estiver instalado no dispositivo, baixe e instale o Microsoft Edge na App Store. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos.

  2. Iniciar o Microsoft Edge e selecione sobre > o intunehelp na barra de navegação.

  3. Clique Introdução.

  4. Clique em Compartilhar Logs.

  5. Use o aplicativo de email de sua escolha para enviar o log para si mesmo para que eles possam ser exibidos em seu computador.

  6. Revise IntuneMAMDiagnostics.txt no visualizador de arquivo de texto.

  7. Pesquise ApplicationConfiguration por . Os resultados terão a seguinte aparência:

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.NotificationsEnabled";
                Value = false;
                }
            );
        }
    

Os detalhes de configuração do aplicativo devem corresponder às políticas de configuração do aplicativo configuradas para seu locatário.

Config de aplicativo direcionado

Configuração do iOS/iPadOS em dispositivos gerenciados

Você pode validar a configuração do iOS/iPadOS com o Log de Diagnóstico do Intune em dispositivos gerenciados para configuração de aplicativo gerenciado.

  1. Se ainda não estiver instalado no dispositivo, baixe e instale o Microsoft Edge na App Store. Para obter mais informações, consulte Microsoft Intune aplicativos protegidos.
  2. Iniciar Microsoft Edge e selecione sobre > o intunehelp na barra de navegação.
  3. Clique Introdução.
  4. Clique em Compartilhar Logs.
  5. Use o aplicativo de email de sua escolha para enviar o log para si mesmo para que eles possam ser exibidos em seu computador.
  6. Revise IntuneMAMDiagnostics.txt no visualizador de arquivo de texto.
  7. Pesquise AppConfig por . Seus resultados devem corresponder às políticas de configuração do aplicativo configuradas para seu locatário.

Configuração do Android em dispositivos gerenciados

Você pode validar a configuração do Android com o Log de Diagnóstico do Intune em dispositivos gerenciados para configuração de aplicativo gerenciado.

Para coletar logs de um dispositivo Android, você ou o usuário final deve baixar os logs do dispositivo por meio de uma conexão USB (ou o equivalente do Explorador de Arquivos no dispositivo). Estas são as etapas:

  1. Conexão o dispositivo Android no computador com o cabo USB.

  2. No computador, procure um diretório que tenha o nome do dispositivo. Nesse diretório, encontre Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal .

  3. Na com.microsoft.windowsintune.companyportal pasta, abra a pasta Arquivos e abra OMADMLog_0 .

  4. AppConfigHelperPesquise para encontrar mensagens relacionadas à configuração do aplicativo. Os resultados serão semelhantes ao seguinte bloco de dados:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph api para configuração de aplicativo

Você pode usar Graph API para realizar tarefas de configuração de aplicativo. Para obter detalhes, consulte Graph Api Reference MAM Targeted Config. Para obter mais informações sobre o Intune e Graph, consulte Working with Intune in Microsoft Graph.

Solução de problemas

Usando logs para mostrar um parâmetro de configuração

Quando os logs mostram um parâmetro de configuração confirmado para a aplicação, mas não parece funcionar, pode haver um problema com a implementação de configuração pelo desenvolvedor do aplicativo. Entrar primeiro no desenvolvedor de aplicativos ou verificar sua base de dados de conhecimento pode salvar uma chamada de suporte com a Microsoft. Se for um problema sobre como a configuração está sendo manipulada em um aplicativo, ela deve ser abordada em uma versão atualizada futura desse aplicativo.

Próximas etapas

Dispositivos gerenciados

Aplicativos gerenciado