Добавление политик конфигурации приложений для управляемых устройств с iOS и iPadOS

Используйте политики конфигурации приложений в Microsoft Intune, чтобы предоставить настраиваемые параметры конфигурации для приложения iOS/iPadOS. Эти параметры конфигурации позволяют настраивать приложение в зависимости от направления поставщиков приложений. Необходимо получить эти параметры конфигурации (ключи и значения) от поставщика приложения. Чтобы настроить приложение, необходимо указать параметры в качестве ключей и значений или XML, содержащих ключи и значения.

Как администратор Microsoft Intune, вы можете управлять, какие учетные записи пользователей добавляются в Microsoft Office приложения на управляемых устройствах. Вы можете ограничить доступ только к разрешенным учетным записям пользователей организации и блокировать личные учетные записи на зарегистрированных устройствах. Поддерживающие приложения обработать конфигурацию приложения и удалить и заблокировать неодобренные учетные записи. Параметры политики конфигурации используются при проверке приложения для них, как правило, при первом запуске.

После добавления политики конфигурации приложения можно установить назначения для политики конфигурации приложения. При наборе назначений для политики можно включить и исключить группы пользователей, для которых применяется политика. Если вы решите включить одну или несколько групп, вы можете выбрать определенные группы, чтобы включить или выбрать встроенные группы. Встроенные группы включают все пользователи, все устройства и все пользователи и все устройства.

Примечание

В консоли Intune для вашего удобства доступны предварительно созданные группы Все пользователи и Все устройства со встроенной оптимизацией. Настоятельно рекомендуется использовать эти группы для ориентации на всех пользователей и все устройства, а не на группы "Все пользователи" или "Все устройства", которые вы, возможно, создали самостоятельно.

После выбора включенных групп для политики конфигурации приложений можно также выбрать определенные группы, которые необходимо исключить. Дополнительные сведения см. в приложении Include and exclude assignments in Microsoft Intune.

Совет

В настоящее время этот тип политики доступен только для устройств под управлением iOS/iPadOS 8.0 и более поздней стадии. Поддерживает следующие типы установки приложений:

  • Управляемое приложение iOS/iPadOS из магазина приложений
  • Пакет приложений для iOS

Дополнительные сведения о типах установки приложений см. в примере Как добавить приложение в Microsoft Intune. Дополнительные сведения об включении конфигурирования приложений в пакет приложений .ipa для управляемых устройств см. в Конфигурация приложений документации разработчика iOS.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите политики конфигурации > AppsAppAddManaged > > . Обратите внимание, что вы можете выбирать между управляемыми устройствами и управляемыми приложениями. Дополнительные сведения см. в приложениях, поддерживаюх конфигурацию приложений.

  3. На странице Basics установите следующие сведения:

    • Name — имя профиля, который отображается в центре Microsoft Endpoint Manager администратора.
    • Описание . Описание профиля, который отображается в центре администрирования Microsoft Endpoint Manager центра администрирования.
    • Тип регистрации устройств . Этот параметр заданной для управляемых устройств.
  4. В качестве платформы выберите iOS/iPadOS**.**

  5. Щелкните Выберите приложение рядом с целевым приложением. Отображается области связанных приложений.

  6. На области целевого приложения выберите управляемое приложение для связи с политикой конфигурации и нажмите кнопку ОК.

  7. Нажмите Далее, чтобы отобразить страницу Параметры.

  8. В поле отсев выберите формат параметров конфигурации. Выберите один из следующих способов добавления сведений о конфигурации:

  9. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .

  10. В поле dropdown рядом с Назначением выберите выбранные группы, все пользователи, все устройства или все пользователи и все разработчики, чтобы назначить политику конфигурации приложения.

    Снимок экрана назначения политики Включить вкладку

  11. Выберите всех пользователей в поле отсев.

    Снимок экрана назначений политики — все пользователи могут отказаться от выполнения

  12. Щелкните Выберите группы, чтобы исключить для отображения связанной области.

    Снимок экрана назначений политики . Выберите группы, чтобы исключить области

  13. Выберите группы, которые необходимо исключить, и нажмите кнопку Выберите.

    Примечание

    При добавлении группы, если другая группа уже включена для данного типа назначения, она предварительно выбрана и не изменяется для других типов назначений. Поэтому эта группа, которая была использована, не может использоваться в качестве исключенной группы.

  14. Выберите Далее, чтобы перейти на страницу Просмотр и создание.

  15. Щелкните Создать, чтобы добавить политику конфигурации приложения в Intune.

Использование конструктора конфигурации

Microsoft Intune настройки, уникальные для приложения. Конструктор конфигурации можно использовать для приложений на устройствах, которые зарегистрированы или не зарегистрированы в Microsoft Intune. Дизайнер позволяет настраивать определенные клавиши конфигурации и значения, которые помогают создавать ключевых XML. Необходимо также указать тип данных для каждого значения. Эти параметры автоматически поставляются приложениям при установке приложений.

Добавление параметра

  1. Для каждого ключа и значения в конфигурации установите:
    • Ключ конфигурации — конфиденциальный ключ для дела, который однозначно определяет определенную конфигурацию настройки.
    • Тип значения — тип данных значения конфигурации. Типы включают integer, Real, String или Boolean.
    • Значение конфигурации — значение для конфигурации.
  2. Выберите ОК , чтобы установить параметры конфигурации.

Удаление параметра

  1. Выберите ellipsis (...) рядом с параметром.
  2. Нажмите Удалить.

Символы {{ }} и символы используются только типами маркеров и не должны использоваться для других целей.

Разрешить только настроенные учетные записи организации в приложениях

Как администратор Microsoft Intune вы можете контролировать, какие учетные записи для работы или школы добавляются в приложения Майкрософт на управляемых устройствах. Вы можете ограничить доступ только к разрешенным учетным записям пользователей организации и блокировать личные учетные записи в приложениях (при поддержке) на зарегистрированных устройствах. Для устройств iOS/iPadOS используйте следующие пары ключей и значений в политике конфигурации приложений управляемых устройств:

Ключ Значения
IntuneMAMAllowedAccountsOnly
  • Включено. Разрешена только учетная запись управляемого пользователя, определяемая ключом IntuneMAMUPN .
  • Отключено (или любое значение, которое не является нечувствительным совпадением с включенной): Любая учетная запись разрешена.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для Intune зарегистрированных устройств маркер {{userprincipalname}} может использоваться для представления учетной записи зарегистрированных пользователей.

Примечание

Следующие приложения обработать выше конфигурацию приложения и разрешить только учетные записи организации:

  • Edge для iOS (44.8.7 и более поздней)
  • Office, Word, Excel, PowerPoint для iOS (2.41 и более поздней)
  • OneDrive для iOS (10.34 и более поздней)
  • OneNote для iOS (2.41 и более поздней)
  • Outlook для iOS (2.99.0 и более поздней)
  • Teams для iOS (2.0.15 и более поздней)

Требуется настроить учетные записи организации в приложениях

На зарегистрированных устройствах организациям может потребоваться, чтобы работа или учетная запись школы была подписана в управляемые приложения Майкрософт для получения данных орг из других управляемых приложений. Например, рассмотрим сценарий, в котором у пользователя есть вложения, включенные в сообщения электронной почты, содержащиеся в управляемом профиле электронной почты, расположенном в родном почтовом клиенте iOS. Если пользователь пытается передать вложения в приложение Майкрософт, например Office, управляемое на устройстве и применяющее эти клавиши, то эта конфигурация будет рассматривать переданное вложение как данные Org, требуя, чтобы работа или учетная запись школы была подписана и соблюдались параметры политики защиты приложений.

Для устройств iOS/iPadOS используйте следующие пары ключей и значений в политике конфигурации приложений управляемых устройств для каждого приложения Майкрософт:

Ключ Значения
IntuneMAMRequireAccounts
  • Включено. Приложение требует от пользователя входа в учетную запись управляемого пользователя, определяемую ключом IntuneMAMUPN для получения данных Org.
  • Отключено (или любое значение, которое не является нечувствительным совпадением с включенной): вход в учетную запись не требуется.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для Intune зарегистрированных устройств маркер {{userprincipalname}} может использоваться для представления учетной записи зарегистрированных пользователей.

Примечание

Приложения должны иметь Intune SDK для iOS версии 12.3.3 или более поздней версии, а также быть нацелены на политику защиты Intune приложений, когда требуется вход на работу или учетную запись школы. В политике защиты приложений "Получение данных из других приложений" должно быть задано "Все приложения с входящие данными орг".

В настоящее время вход в приложение требуется только при входящих данных орг в целевое приложение.

Ввод XML-данных

Вы можете ввести или ввести список свойств XML, содержащий параметры конфигурации приложения для устройств, зарегистрированных в Intune. Формат списка свойств XML зависит от настраиваемого приложения. Сведения о точном формате использования обратитесь к поставщику приложения.

Intune проверяет формат XML. Однако Intune не проверяет, работает ли список свойств XML (PList) с целевым приложением.

Дополнительные информацию о списках свойств XML:

Пример формата XML-файла конфигурации приложения

При создании файла конфигурации приложения можно указать одно или несколько следующих значений с помощью этого формата:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Поддерживаемые типы данных XML PList

Intune поддерживает следующие типы данных в списке свойств:

  • <integer>
  • <real>
  • <строка>
  • <массив>
  • <dict>
  • <true /> или <false />

Маркеры, используемые в списке свойств

Кроме того, Intune поддерживает следующие типы маркеров в списке свойств:

  • {{userprincipalname}}— например, John@ contoso.com
  • {{почта}}, например , Джон@ contoso.com
  • {{partialupn}}, например, John
  • {{accountid}}, например , fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}- например, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}— например, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{имя пользователя}}, например, John Doe
  • {{serialnumber}}— например, F4KN99ZUG5V2 (для устройств iOS/iPadOS)
  • {{serialnumberlast4digits}}— например, G5V2 (для устройств iOS/iPadOS)
  • {{aaddeviceid}}, например, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}, например , True (для устройств iOS/iPadOS)

Настройка приложения Корпоративный портал для поддержки устройств iOS и iPadOS, зарегистрированных с помощью автоматической регистрации устройств

Автоматические регистрации устройств Apple по умолчанию не совместимы с версией магазина приложений Корпоративный портал приложения. Однако вы можете настроить приложение Корпоративный портал для поддержки устройств DEP iOS/iPadOS, даже если пользователи скачали Корпоративный портал из App Store с помощью следующих действий.

  1. В Microsoft Endpoint Manager центре администрирования добавьте приложение Корпоративный портал Intune, если оно еще не добавлено, переехав в appsAdd AppsAll > > .

  2. Перейдите к политикам конфигурации AppsApp > , чтобы создать политику конфигурации приложения для Корпоративный портал приложения.

  3. Создайте политику конфигурации приложений с помощью XML ниже. Дополнительные сведения о том, как создать политику конфигурации приложений и ввести XML-данные, можно найти в приложении Add policies configuration policies for managed iOS/iPadOS devices.

    • Используйте Корпоративный портал на устройстве автоматической регистрации устройств (ADE), зарегистрированном с сродством пользователя:

      Примечание

      Этот процесс не требуется для устройств iOS/iPadOS, регистрющихся с помощью ADE через помощник установки с современной проверкой подлинности. Кроме того, это не требуется для устройств, зарегистрированных с ADE с сродством пользователя, если маркер VPP используется для отправки Корпоративный портал приложения на устройство.

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • Используйте Корпоративный портал устройства DEP, зарегистрированного без сродства пользователя (также известного как постановка устройства):

      Примечание

      Пользователь, во время Корпоративный портал, устанавливается в качестве основного пользователя устройства.

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. Развертывание Корпоративный портал на устройствах с политикой конфигурации приложений, нацеленной на нужные группы. Не забудьте развернуть политику только для групп устройств, которые уже зарегистрированы в DEP.

  5. Скажите конечным пользователям, чтобы они Корпоративный портал приложение при автоматической установке.

Примечание

При добавлении конфигурации приложения для Корпоративный портал приложения на устройствах DEP без сродства пользователя может STATE Policy Errorвозникнуть . В отличие от других конфигураций приложений, эта ситуация применяется не каждый раз, когда устройство проверяется. Вместо этого эта конфигурация приложения должна быть разовой операцией, чтобы позволить существующим устройствам, зарегистрированным без сродства пользователя, достичь сродства пользователя, когда пользователь вошел в Корпоративный портал. Эта конфигурация приложения удаляется из политики в фоновом режиме после ее успешного приложения. Назначение политики будет существовать, но после удаления конфигурации приложения в фоновом режиме оно не будет сообщать о "успехе". После того как политика конфигурации приложения применена к устройству, можно отогнать политику.

Мониторинг состояния конфигурации приложений iOS/iPadOS на устройстве

После присвоения политики конфигурации можно отслеживать состояние конфигурации приложений iOS/iPadOS для каждого управляемого устройства. Из Microsoft Intune центра администрирования Microsoft Endpoint Manager выберите устройства DevicesAll > . Из списка управляемых устройств выберите определенное устройство для отображения области для устройства. На области устройства выберите конфигурацию приложения.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначать и отслеживать приложение.