Добавление политик конфигурации приложений для управляемых устройств Android Enterprise

  • Статья

Политики конфигурации приложений в Microsoft Intune предоставляют параметры для управляемых приложений Google Play на управляемых устройствах Android Enterprise. Разработчик приложения предоставляет параметры конфигурации приложения, управляемого Android. Intune использует эти доступные параметры, чтобы разрешить администратору настраивать функции для приложения. Политика конфигурации приложений назначается группам пользователей. Параметры политики используются, когда приложение проверяет их, как правило, при первом запуске приложения.

Не все приложения поддерживают конфигурацию приложений. Обратитесь к разработчику приложений, чтобы узнать, поддерживает ли его приложение политики конфигурации приложений.

Примечание.

Для сценариев регистрации устройств и конфигурации приложений, выполняемых с помощью политик конфигурации приложения на управляемых устройствах Intune требует Android 8.x или более новую версию. Это требование не применяется к устройствам Android с Microsoft Teams , поскольку эти устройства по-прежнему будут поддерживаться.

Для политик защиты приложений Intune и конфигурации приложений с помощью политик конфигурации управляемых приложений, Intune требует Android 9.0 или более новую версию.

Приложения электронной почты

Android Enterprise имеет несколько методов регистрации. Тип регистрации зависит от того, как настроена электронная почта на устройстве:

  • В полностью управляемых, выделенных и корпоративных рабочих профилях Android Enterprise используйте политику конфигурации приложений и действия, описанные в этой статье. Политики конфигурации приложений поддерживают почтовые приложения Gmail и Nine Work.
  • На личных устройствах Android Enterprise с рабочим профилем создайте профиль конфигурации устройства электронной почты Android Enterprise. При создании профиля можно настроить параметры для клиентов электронной почты, поддерживающих политики конфигурации приложений. При использовании конструктора конфигураций Intune включает параметры электронной почты, характерные для приложений Gmail и Nine Work.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Политики >конфигурации приложений>Добавление>управляемых устройств. Обратите внимание, что вы можете выбрать между управляемыми устройствами и управляемыми приложениями. Дополнительные сведения см. в разделе Приложения, поддерживающие конфигурацию приложений.

  3. На странице Основные сведения задайте следующие сведения:

    • Имя — имя профиля, отображаемого на портале.
    • Описание — описание профиля, отображаемого на портале.
    • Тип регистрации устройств . Для этого параметра задано значение Управляемые устройства.

  4. Выберите Android Enterprise в качестве платформы.

  5. Щелкните Выбрать приложение рядом с полем Целевое приложение. Откроется панель Связанное приложение .

  6. В области Связанное приложение выберите управляемое приложение, которое будет связано с политикой конфигурации, и нажмите кнопку ОК.

  7. Нажмите Далее, чтобы отобразить страницу Параметры.

  8. Нажмите кнопку Добавить , чтобы открыть панель Добавить разрешения .

  9. Щелкните разрешения, которые нужно переопределить. Предоставленные разрешения переопределяют политику "Разрешения приложений по умолчанию" для выбранных приложений.

  10. Задайте состояние Разрешения для каждого разрешения. Вы можете выбрать запрос, Автоматическое предоставление или Автоматическое запрещение.

  11. Если управляемое приложение поддерживает параметры конфигурации, отображается раскрывающийся список Формат параметров конфигурации . Выберите один из следующих методов, чтобы добавить сведения о конфигурации:

    • Использование конструктора конфигураций
    • Ввод данных JSON

    Дополнительные сведения об использовании конструктора конфигураций см. в разделе Использование конструктора конфигураций. Дополнительные сведения о вводе XML-данных см . в разделе Ввод данных JSON.

  12. Если необходимо разрешить пользователям подключать целевое приложение как к рабочему, так и к личному профилям, выберите Включено рядом с пунктом Подключенные приложения.

    Снимок экрана: политика конфигурации — параметры

    Примечание.

    Этот параметр работает только для устройств с личным рабочим профилем и корпоративным рабочим профилем.

    Изменение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

  13. Нажмите Далее, чтобы отобразить страницу Теги области.

  14. [Необязательно] Вы можете настроить теги область для политики конфигурации приложений. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  15. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .

  16. В раскрывающемся списке рядом с пунктом Назначить выберите Добавить группы, Добавить всех пользователей или Добавить все устройства для назначения политики конфигурации приложений. Выбрав группу назначений, можно выбрать фильтр для уточнения область назначения при развертывании политик конфигурации приложений для управляемых устройств.

    Снимок экрана: назначения политик

  17. Выберите Все пользователи в раскрывающемся списке.

    Снимок экрана: назначение политик — раскрывающийся список

  18. [Необязательно] Щелкните Изменить фильтр, чтобы добавить фильтр и уточнить область назначения.

    Снимок экрана: назначения политик — изменение фильтра

  19. Щелкните Выбрать группы, чтобы исключить , чтобы отобразить связанную панель.

  20. Выберите группы, которые нужно исключить, и нажмите кнопку Выбрать.

    Примечание.

    При добавлении группы, если любая другая группа уже была включена для данного типа назначения, она предварительно выбрана и неизменяема для других типов назначений. Таким образом, эта группа, которая была использована, не может использоваться в качестве исключенной группы.

  21. Выберите Далее, чтобы перейти на страницу Просмотр и создание.

  22. Нажмите кнопку Создать , чтобы добавить политику конфигурации приложений в Intune.

Использование конструктора конфигураций

Конструктор конфигураций можно использовать для управляемых приложений Google Play, если приложение предназначено для поддержки параметров конфигурации. Конфигурация применяется к устройствам, зарегистрированным в Intune. Конструктор позволяет настроить определенные значения конфигурации для параметров, предоставляемых приложением.

  1. Нажмите Добавить. Выберите список параметров конфигурации, которые нужно ввести для приложения.

    Если вы используете приложения электронной почты Gmail или Nine Work, параметры устройства Android Enterprise для настройки электронной почты содержат дополнительные сведения об этих параметрах.

  2. Для каждого ключа и значения в конфигурации задайте:

    • Тип значения: тип данных значения конфигурации. Для строковых типов значений можно при необходимости выбрать переменную или профиль сертификата в качестве типа значения.
    • Значение конфигурации: значение конфигурации. Если для типа значения выбрана переменная или сертификат, выберите из списка переменных или профилей сертификатов. При выборе сертификата псевдоним сертификата, развернутого на устройстве, заполняется во время выполнения.

Поддерживаемые переменные для значений конфигурации

Если в качестве типа значения выбрана переменная, можно выбрать следующие параметры:

Вариант Пример
Microsoft Entra идентификатор устройства dc0dc142-11d8-4b12-bfea-cae2a8514c82
ID счета fc0dc142-71d8-4b12-bbea-bae2a8514c81
Идентификатор устройства Intune b9841cd9-9843-405f-be28-b2265c59ef97
Домен contoso.com
Почта john@contoso.com
Частичное имя участника-пользователя Джон
Идентификатор пользователя 3ec2c00f-b125-4519-acf0-302ac3761822
Имя пользователя Джон Доу
"User Principal Name" (Имя участника-пользователя); john@contoso.com

Разрешить только настроенные учетные записи организации в приложениях

Администратор Microsoft Intune может контролировать, какие рабочие или учебные учетные записи добавляются в приложения Майкрософт на управляемых устройствах. Вы можете ограничить доступ только разрешенными учетными записями пользователей организации и заблокировать личные учетные записи на зарегистрированных устройствах. Для устройств Android используйте следующие пары "ключ-значение" в политике конфигурации приложения "Управляемые устройства":

Ключ com.microsoft.intune.mam.AllowedAccountUPNs
Значения
  • Одно или несколько ; разделенных имен участника-пользователей.
  • Разрешены только управляемые учетные записи пользователей, определенные этим ключом.
  • Для зарегистрированных устройств {{userprincipalname}} Intune маркер может использоваться для представления зарегистрированной учетной записи пользователя.

Примечание.

Следующие приложения обрабатывают описанную выше конфигурацию приложений и разрешают только учетные записи организации:

  • Edge для Android (42.0.4.4048 и более поздние версии)
  • Office, Word, Excel, PowerPoint для Android (16.0.9327.1000 и более поздние версии)
  • OneDrive для Android (5.28 и более поздних версий)
  • OneNote для Android (16.0.13231.20222 или более поздней версии)
  • Outlook для Android (2.2.222 и более поздние версии)
  • Teams для Android (1416/1.0.0.2020073101 и более поздние версии)

Ввод данных JSON

Некоторые параметры конфигурации в приложениях (например, приложения с типами пакетов) нельзя настроить с помощью конструктора конфигураций. Используйте редактор JSON для этих значений. Параметры предоставляются приложениям автоматически при установке приложения.

  1. В поле Формат параметров конфигурации выберите Ввести редактор JSON.
  2. В редакторе можно определить значения JSON для параметров конфигурации. Вы можете выбрать Скачать шаблон JSON , чтобы скачать пример файла, который затем можно настроить.
  3. Нажмите кнопку ОК, а затем нажмите кнопку Добавить.

Политика создается и отображается в списке.

Когда назначенное приложение запускается на устройстве, оно запускается с параметрами, настроенными в политике конфигурации приложений.

Включение подключенных приложений

Применимо к:
Android 11 и более поздних версий

Пользователи личного рабочего профиля должны иметь Корпоративный портал версии 5.0.5291.0 или более поздней. Пользователям корпоративного рабочего профиля для поддержки не требуется определенная версия приложения Microsoft Intune.

Вы можете разрешить пользователям, использующим личные и корпоративные рабочие профили Android, включать возможности подключенных приложений для поддерживаемых приложений. Этот параметр конфигурации приложения позволяет приложениям подключать и интегрировать данные приложений в рабочих и личных экземплярах приложений.

Чтобы приложение предоставило такой интерфейс, приложение должно интегрироваться с пакетом SDK для подключенных приложений Google, поэтому его поддерживают только ограниченные приложения. Параметр подключенных приложений можно включить заранее, и при добавлении поддержки приложения пользователи смогут включить интерфейс подключенных приложений.

Изменение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

Предупреждение

Если включить функцию подключенных приложений для приложения, рабочие данные в личных приложениях не будут защищены политикой защиты приложений.

Кроме того, независимо от конфигурации подключенных приложений некоторые изготовители оборудования могут автоматически подключать определенные приложения или запрашивать утверждение пользователя для подключения приложений, которые вы не настроили. Примером приложения в этом случае может быть приложение клавиатуры изготовителя оборудования.

Пользователи могут подключать рабочие и личные приложения двумя способами после включения параметра подключенных приложений:

  1. Поддерживаемое приложение может предложить пользователю утвердить подключение между профилями.
  2. Пользователи могут открыть приложение Параметры и перейти в раздел Подключенные рабочие & личные приложения, где они увидят все поддерживаемые приложения.

Важно!

Если для одного приложения, ориентированного на одно и то же устройство, назначено несколько политик конфигурации приложений, а для одной политики задано значение Connected AppsEnabled , а для другой политики — нет, конфигурация приложения сообщит о конфликте, и в результате на устройстве будет запрещено использование подключенных приложений.

Предварительная настройка состояния предоставления разрешений для приложений

Вы также можете предварительно настроить разрешения приложения для доступа к функциям устройств Android. По умолчанию приложения Android, которым требуются разрешения устройства, например доступ к расположению или камере устройства, запрашивают или запрещают разрешения.

Например, приложение использует микрофон устройства. Пользователю будет предложено предоставить приложению разрешение на использование микрофона.

  1. В Центре администрирования Microsoft Intune выберите Приложения>Политики конфигурации приложений>Добавить>управляемые устройства.
  2. Добавьте следующие свойства:
    • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Политика приложений с запросом на запрос Android Enterprise для всей компании.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
    • Тип регистрации устройств. Этот параметр имеет значение Управляемые устройства.
    • Платформа: выберите Android Enterprise.
  3. Выберите Тип профиля:
  4. Выберите Целевое приложение. Выберите приложение, с которым нужно связать политику конфигурации. Выберите из списка полностью управляемых приложений рабочего профиля Android Enterprise, которые вы утвердили и синхронизировали с Intune.
  5. Выберите Разрешения>Добавить. В списке выберите доступные разрешения > приложения ОК.
  6. Выберите параметр для каждого разрешения, предоставляемого с помощью этой политики:
    • Запрос. Предложите пользователю принять или отклонить его.
    • Автоматическое предоставление. Автоматическое утверждение без уведомления пользователя.
    • Автоматическое запрещение. Автоматически отклонить, не уведомляя пользователя.
  7. Чтобы назначить политику конфигурации приложений, выберите назначение> политики конфигурации приложений >Выберите группы. Выберите группы пользователей для назначения >Select.
  8. Нажмите кнопку Сохранить , чтобы назначить политику.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначать и отслеживать приложение.