Adicionar políticas de configuração do aplicativo para dispositivos iOS gerenciados

  • Artigo

Use políticas de configuração de aplicativo no Microsoft Intune para fornecer configurações personalizadas para um aplicativo iOS/iPadOS. Essas configurações permitem que um aplicativo seja personalizado com base na direção dos fornecedores de aplicativo. Você deve obter essas configurações (chaves e valores) do fornecedor do aplicativo. Para configurar o aplicativo, especifique as configurações como chaves e valores ou como XML contendo as chaves e os valores.

Como administrador Microsoft Intune, você pode controlar quais contas de usuário são adicionadas aos aplicativos do Microsoft 365 (Office) em dispositivos gerenciados. Você pode limitar o acesso a somente contas de usuário da organização permitidas e bloquear contas pessoais em dispositivos registrados. Os aplicativos de suporte processam a configuração do aplicativo e removem e bloqueiam contas não aprovadas. As configurações da política de configuração são usadas quando o aplicativo verifica se elas são executadas normalmente na primeira vez que ela é executada.

Depois de adicionar uma política de configuração de aplicativo, você pode definir as atribuições para a política de configuração do aplicativo. Ao definir as atribuições para a política, você pode optar por usar um filtro e incluir e excluir os grupos de usuários para os quais a política se aplica. Ao optar por incluir um ou mais grupos, você pode optar por selecionar grupos específicos para incluir ou selecionar grupos internos. Os grupos integrados incluem Todos os Usuários, Todos os Dispositivos e Todos os Usuários + Todos os Dispositivos.

Observação

O Intune fornece os grupos Todos os Usuários e Todos os Dispositivos pré-criados no console, com otimizações internas para sua conveniência. É altamente recomendável que você use esses grupos para direcionar todos os usuários e todos os dispositivos em vez de todos os grupos "Todos os usuários" ou "Todos os dispositivos" que você mesmo possa ter criado.

Depois de selecionar os grupos incluídos para sua política de configuração de aplicativo, você também pode escolher os grupos específicos a serem excluídos. Para obter mais informações, consulte Incluir e excluir atribuições de aplicativo no Microsoft Intune.

Dica

Atualmente, esse tipo de política está disponível apenas para dispositivos que executam o iOS/iPadOS 8.0 e posteriores. Ele dá suporte aos seguintes tipos de instalação de aplicativo:

  • Aplicativo iOS/iPadOS gerenciado da loja de aplicativos
  • Pacote de aplicativos para iOS

Para obter mais informações sobre tipos de instalação de aplicativos, consulte Como adicionar um aplicativo a Microsoft Intune. Para obter mais informações sobre como incorporar a configuração do aplicativo ao pacote do aplicativo .ipa para dispositivos gerenciados, consulte Configuração de Aplicativos gerenciado na documentação do desenvolvedor do iOS.

Criar uma política de configuração de aplicativo

  1. Entre no Centro de administração do Microsoft Intune.

  2. Escolha aspolíticas> de configuração do Aplicativo de Aplicativos>Adicionar>Dispositivos Gerenciados. Observe que você pode escolher entre dispositivos gerenciados e aplicativos gerenciados. Para obter mais informações, consulte Aplicativos que dão suporte à configuração do aplicativo.

  3. Na página Noções básicas , defina os seguintes detalhes:

    • Nome – o nome do perfil que aparece no centro de administração Microsoft Intune.
    • Descrição – A descrição do perfil que aparece no centro de administração Microsoft Intune.
    • Tipo de registro de dispositivo – essa configuração é definida como Dispositivos Gerenciados.

  4. Selecione iOS/iPadOS como a Plataforma.

  5. Clique em Selecionar aplicativo ao lado do aplicativo Targeted. O painel de aplicativo associado é exibido.

  6. No painel Aplicativo direcionado , escolha o aplicativo gerenciado para associar à política de configuração e clique em OK.

  7. Clique em Avançar para exibir a página Configurações.

  8. Na caixa suspensa, selecione o formato Configuração de configuração. Selecione um dos seguintes métodos para adicionar informações de configuração:

  9. Clique em Avançar para exibir a página Marcas de escopo.

  10. [Opcional] Você pode configurar marcas de escopo para sua política de configuração de aplicativo. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

  11. Clique em Avançar para exibir a página Atribuições .

  12. Na página Atribuições , selecione Adicionar grupos, Adicionar todos os usuários ou Adicionar todos os dispositivos para atribuir a política de configuração do aplicativo. Depois de selecionar um grupo de atribuições, você pode selecionar um filtro para refinar o escopo de atribuição ao implantar políticas de configuração de aplicativo para dispositivos gerenciados.

    Captura de tela da página atribuições de política de configuração

  13. Selecione Todos os usuários na caixa suspensa.

    Captura de tela das atribuições de política – opção suspensa Todos os usuários

  14. [Opcional] Clique em Editar filtro para adicionar um filtro e refinar o escopo de atribuição.

    Captura de tela das atribuições de política – Editar filtro

  15. Clique em Selecionar grupos para excluir para exibir o painel relacionado.

  16. Escolha os grupos que você deseja excluir e clique em Selecionar.

    Observação

    Ao adicionar um grupo, se qualquer outro grupo já tiver sido incluído para um determinado tipo de atribuição, ele será pré-selecionado e inalterado para outros tipos de atribuição. Portanto, esse grupo que foi usado não pode ser usado como um grupo excluído.

  17. Clique em Avançar para exibir a página Revisar + criar.

  18. Clique em Criar para adicionar a política de configuração do aplicativo ao Intune.

Usar designer de configuração

Microsoft Intune fornece configurações exclusivas para um aplicativo. Você pode usar o designer de configuração para aplicativos em dispositivos registrados ou não registrados em Microsoft Intune. O designer permite configurar chaves de configuração e valores específicos que ajudam você a criar o XML subjacente. Você também deve especificar o tipo de dados para cada valor. Essas configurações são fornecidas aos aplicativos automaticamente quando os aplicativos são instalados.

Adicionar uma configuração

  1. Para cada chave e valor na configuração, defina:
    • Chave de configuração – A chave sensível ao caso que identifica exclusivamente a configuração de configuração específica.
    • Tipo de valor – O tipo de dados do valor de configuração. Os tipos incluem Inteiro, Real, Cadeia de Caracteres ou Booleano.
    • Valor de configuração – O valor da configuração.
  2. Escolha OK para definir suas configurações.

Excluir uma configuração

  1. Escolha as reticências (...) ao lado da configuração.
  2. Selecione Excluir.

Os caracteres {{ e }} são usados apenas por tipos de token e não devem ser usados para outras finalidades.

Permitir somente contas de organização configuradas em aplicativos

Como administrador do Microsoft Intune, você pode controlar quais contas de trabalho ou de estudante são adicionadas aos aplicativos da Microsoft em dispositivos gerenciados. Você pode limitar o acesso a somente contas de usuário da organização permitidas e bloquear contas pessoais nos aplicativos (se houver suporte) em dispositivos registrados. Para dispositivos iOS/iPadOS, use os seguintes pares de chave/valor em uma política de configuração do aplicativo Dispositivos Gerenciados:

Chave Values
IntuneMAMAllowedAccountsOnly
  • Habilitado: a única conta permitida é a conta de usuário gerenciada definida pela chave IntuneMAMUPN .
  • Desabilitado (ou qualquer valor que não seja uma correspondência insensível de caso ao Habilitado): qualquer conta é permitida.
IntuneMAMUPN
  • UPN da conta com permissão para entrar no aplicativo.
  • Para Intune dispositivos registrados, o {{userprincipalname}} token pode ser usado para representar a conta de usuário registrada.

Observação

Os aplicativos a seguir processam a configuração de aplicativo acima e permitem apenas contas da organização:

  • Copiloto para iOS (28.1.420324001 e posterior)
  • Borda para iOS (44.8.7 e posterior)
  • Office, Word, Excel, PowerPoint para iOS (2.41 e posterior)
  • OneDrive para iOS (10.34 e posterior)
  • OneNote para iOS (2.41 e posterior)
  • Outlook para iOS (2.99.0 e posterior)
  • Teams para iOS (2.0.15 e posterior)

Exigir contas de organização configuradas em aplicativos

Em dispositivos registrados, as organizações podem exigir que a conta corporativa ou escolar seja inserida em aplicativos gerenciados da Microsoft para receber dados da Organização de outros aplicativos gerenciados. Por exemplo, considere o cenário em que o usuário tem anexos incluídos em mensagens de email contidas no perfil de email gerenciado localizado no cliente de email nativo do iOS. Se o usuário tentar transferir os anexos para um aplicativo da Microsoft, como o Office, que é gerenciado no dispositivo e tiver essas chaves aplicadas, essa configuração tratará o anexo transferido como dados da Organização, exigindo que a conta corporativa ou escolar seja inserida e impondo as configurações da política de proteção do aplicativo.

Para dispositivos iOS/iPadOS, use os seguintes pares de chave/valor em uma política de configuração de aplicativo dispositivos gerenciados para cada aplicativo microsoft:

Chave Values
IntuneMAMRequireAccounts
  • Habilitado: o aplicativo exige que o usuário entre na conta de usuário gerenciada definida pela chave IntuneMAMUPN para receber dados da Organização.
  • Desabilitado (ou qualquer valor que não seja uma correspondência insensível de caso ao Habilitado): nenhuma entrada da conta é necessária
IntuneMAMUPN
  • UPN da conta com permissão para entrar no aplicativo.
  • Para Intune dispositivos registrados, o {{userprincipalname}} token pode ser usado para representar a conta de usuário registrada.

Observação

Os aplicativos devem ter Intune SDK do APLICATIVO para iOS versão 12.3.3 ou posterior e ser direcionados com uma política de proteção de aplicativo Intune ao exigir a entrada na conta corporativa ou escolar. Dentro da política de proteção de aplicativo, o "Receber dados de outros aplicativos" deve ser definido como "Todos os aplicativos com dados da Organização de entrada".

Neste momento, a entrada do aplicativo só é necessária quando há dados da Organização de entrada em um aplicativo de destino.

Inserir dados XML

Você pode digitar ou colar uma lista de propriedades XML que contém as configurações de configuração do aplicativo para dispositivos registrados em Intune. O formato da lista de propriedades XML varia dependendo do aplicativo que você está configurando. Para obter detalhes sobre o formato exato a ser usado, entre em contato com o fornecedor do aplicativo.

Intune valida o formato XML. No entanto, Intune não marcar que a lista de propriedades XML (PList) funcione com o aplicativo de destino.

Para saber mais sobre listas de propriedades XML:

Formato de exemplo para um arquivo XML de configuração de aplicativo

Ao criar um arquivo de configuração de aplicativo, você pode especificar um ou mais dos seguintes valores usando este formato:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Tipos de dados de PList XML com suporte

Intune dá suporte aos seguintes tipos de dados em uma lista de propriedades:

  • <Inteiro>
  • <Real>
  • <String>
  • <Matriz>
  • <dict>
  • <true /> ou <false />

Tokens usados na lista de propriedades

Além disso, Intune dá suporte aos seguintes tipos de token na lista de propriedades:

  • {{userprincipalname}}— por exemplo, John@contoso.com
  • {{mail}}— por exemplo, John@contoso.com
  • {{partialupn}}— por exemplo, John
  • {{accountid}}— por exemplo, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}— por exemplo, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}— por exemplo, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}— por exemplo, John Doe
  • {{serialnumber}}— por exemplo, F4KN99ZUG5V2 (para dispositivos iOS/iPadOS)
  • {{serialnumberlast4digits}}— por exemplo, G5V2 (para dispositivos iOS/iPadOS)
  • {{aaddeviceid}}— por exemplo, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}— por exemplo, True (para dispositivos iOS/iPadOS)

Configurar o aplicativo Portal da Empresa para dar suporte a dispositivos iOS e iPadOS registrados com registro automatizado de dispositivo

Os Registros automatizados de dispositivos da Apple não são compatíveis com a versão da loja de aplicativos do aplicativo Portal da Empresa por padrão. No entanto, você pode configurar o aplicativo Portal da Empresa para dar suporte a dispositivos ADE iOS/iPadOS mesmo quando os usuários baixaram o Portal da Empresa do App Store usando as etapas a seguir.

  1. Em Microsoft Intune centro de administração, adicione o aplicativo Portal da Empresa do Intune se ele ainda não tiver sido adicionado,acessandoAplicativos>Todos os aplicativos> Adicionar >aplicativo da Loja do iOS.

  2. AcessePolíticas de configuração de aplicativo de aplicativos> para criar uma política de configuração de aplicativo para o aplicativo Portal da Empresa.

  3. Crie uma política de configuração de aplicativo com o XML abaixo. Mais informações sobre como criar uma política de configuração de aplicativo e inserir dados XML podem ser encontradas em Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados.

    • Use o Portal da Empresa em um dispositivo ADE (Registro automatizado de dispositivo) registrado com afinidade de usuário:

      Observação

      Quando o perfil de registro tiver "Instalar Portal da Empresa" definido como sim, Intune empurra a política de configuração do aplicativo abaixo automaticamente como parte do processo de registro inicial. Essa configuração não deve ser implantada manualmente para usuários ou dispositivos, pois isso causará um conflito com a carga já enviada durante o registro, resultando em usuários finais sendo solicitados a baixar um novo perfil de gerenciamento depois de entrar em Portal da Empresa (quando não deveriam, porque há um perfil de gerenciamento já instalado nesses dispositivos).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Use o Portal da Empresa em um dispositivo ADE registrado sem afinidade de usuário (também conhecido como Preparo de Dispositivo):

      Observação

      O usuário que entra no Portal da Empresa é definido como o usuário principal do dispositivo.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Implante o Portal da Empresa em dispositivos com a política de configuração do aplicativo direcionada a grupos desejados. Certifique-se de implantar apenas a política em grupos de dispositivos que já estão registrados no ADE.

  5. Diga aos usuários finais para entrarem no aplicativo Portal da Empresa quando ele for instalado automaticamente.

Observação

Quando você adiciona uma configuração de aplicativo para permitir o aplicativo Portal da Empresa em dispositivos ADE sem afinidade de usuário, você pode experimentar um STATE Policy Error. Ao contrário de outras configurações de aplicativo, essa situação não se aplica sempre que o dispositivo faz check-in. Em vez disso, essa configuração de aplicativo deve ser uma operação única para permitir que dispositivos existentes registrados sem afinidade de usuário alcancem afinidade de usuário quando um usuário entra no Portal da Empresa. Essa configuração de aplicativo é removida da política em segundo plano depois de ter sido aplicada com êxito. A atribuição de política existirá, mas não relatará "êxito" depois que a configuração do aplicativo for removida em segundo plano. Depois que a política de configuração do aplicativo for aplicada ao dispositivo, você poderá desatribuir a política.

Monitorar status de configuração de aplicativo iOS/iPadOS por dispositivo

Depois que uma política de configuração tiver sido atribuída, você poderá monitorar status de configuração de aplicativo iOS/iPadOS para cada dispositivo gerenciado. No Microsoft Intune no centro de administração Microsoft Intune, selecione Dispositivos>Todos os dispositivos. Na lista de dispositivos gerenciados, selecione um dispositivo específico para exibir um painel para o dispositivo. No painel do dispositivo, selecione Configuração do aplicativo.

Informações adicionais

Próximas etapas

Continue atribuindo e monitorando o aplicativo.