Appkonfigurationsprinciper för Microsoft Intune

  • Artikel
  • 8 minuter för att läsa

Appkonfigurationsprinciper kan hjälpa dig att förhindra problem med konfiguration av appar eftersom du kan tilldela konfigurationsinställningar till en princip som tilldelas till slutanvändare innan de kör appen. Inställningarna anges sedan automatiskt när appen konfigureras på slutanvändarnas enheter, och slutanvändarna behöver då inte vidta några åtgärder. Konfigurationsinställningarna är unika för varje app.

Du kan skapa och använda appkonfigurationsprinciper för att ge konfigurationsinställningar för både iOS/iPadOS-appar och Android-appar. Med dessa konfigurationsinställningar kan en app anpassas med hjälp av konfiguration och hantering av appar. Inställningarna för konfigurationsprincipen används när appen söker efter inställningarna, oftast första gången appen körs.

Till exempel kan en appkonfigurationsinställning kräva att du anger några av de följande uppgifterna:

  • Ett anpassat portnummer
  • Språkinställningar
  • Säkerhetsinställningar
  • Anpassade inställningar, t.ex. en företagslogotyp

Om slutanvändarna skulle ange inställningarna i stället kan de göra detta felaktigt. Appkonfigurationsprinciper kan bidra till enhetlighet i ett företag och minska samtal till supporten från slutanvändare som försöker konfigurera inställningar på egen hand. Med hjälp av appkonfigurationsprinciper kan införandet av nya appar bli enklare och snabbare.

De tillgängliga konfigurationsparametrarna och implementeringen av konfigurationsparametrarna bestäms av programmets utvecklare. Dokumentationen från programleverantören bör granskas för att se vilka konfigurationer som är tillgängliga och hur konfigurationerna påverkar programmets beteende. För vissa program fyller Intune i de tillgängliga konfigurationsinställningarna.

Anteckning

I den hanterade Google Play Store markeras appar som stöder konfiguration därefter:

Skärmbild av en konfigurerad app

Du ser bara appar från hanterad Google Play Store, inte Google Play Store, när du använder hanterade enheter som registreringstyp för Android-enheter. Hanterad Google Play Store, som även kallas Android for Work (AfW) och Android Enterprise, är de appar i arbetsprofilen som innehåller de appversioner som stöder appkonfiguration.

Du kan tilldela en appkonfigurationsprincip till en grupp med slutanvändare och enheter med hjälp av en kombination av tilldelningar som inkluderar och exkluderar. När du lägger till en appkonfigurationsprincip kan du ange tilldelningar för den. När du anger tilldelningar för principen kan du välja att inkludera och exkludera de grupper av slutanvändare som principen gäller för. När du väljer att inkludera en eller flera grupper kan du välja att utse specifika grupper att inkludera eller välja inbyggda grupper. Inbyggda grupper innefattar Alla användare, Alla enheter samt Alla användare + alla enheter.

Du har två alternativ vad gäller användning av appkonfigurationsprinciper med Intune:

  • Hanterade enheter – enheten hanteras av Intune som MDM-leverantör (hantering av mobila enheter). Appen måste vara utformad för att stödja appkonfigurationen.

  • Hanterade appar – en app som har utvecklats för att integrera Intune App SDK. Detta kallas hantering av mobilprogram utan registrering (MAM-WE). Du kan även omsluta en app för att implementera och stödja Intune App SDK. Mer information om omslutning av en app finns i Förbereda verksamhetsspecifika appar för appskyddsprinciper.

    Anteckning

    Intune-hanterade appar checkar in med ett intervall på 30 minuter för status för Intune-appkonfigurationsprincip när de distribueras tillsammans med en Intune-appskyddsprincip. Om en Intune-appskyddsprincip inte är tilldelad till användaren är incheckningsintervallet för Intune-appkonfigurationsprincip angett till 720 minuter.

Appar som stöder appkonfiguration

Hanterade enheter

Du kan använda appkonfigurationsprinciper för appar som stöder det. För att stödja appkonfiguration i Intune måste appar ha skrivits för att stödja användningen av appkonfigurationer enligt definitionen från operativsystemet. Kontakta appleverantören för information om vilka appkonfigurationsnycklar som stöds.

Hanterade appar

Du kan förbereda dina verksamhetsspecifika appar genom att antingen integrera Intune App SDK i appen eller genom att omsluta appen när den har utvecklats med hjälp av Intune-verktyget för omslutning av appar. Intune App SDK syftar till att minimera den mängd kodändringar i programmet som apputvecklare behöver göra. Mer information finns i Översikt över Intune App SDK. En jämförelse mellan Intune App SDK och Intune-verktyget för omslutning av appar finns i Förbereda verksamhetsspecifika appar för appskyddsprinciper.

Val av Hanterade appar som Enhetsregistreringstyp syftar specifikt på appar som konfigureras av Intune-konfigurationsprinciper på en enhet som inte är registrerad i enhetshantering, medan Hanterade enheter gäller för appar som distribueras via MDM-kanalen och därmed hanteras av Intune. Välj lämpligt alternativ baserat på dessa beskrivningar.

Enhetsregistreringstyp

Anteckning

För appar med flera identiteter, till exempel Microsoft Outlook, kan användarinställningar beaktas. Prioriterad inkorg, till exempel, respekterar användarinställningen och ändrar inte konfigurationen. Andra parametrar gör det möjligt att kontrollera huruvida en användare kan ändra inställningen. Mer information finns i Distribuera appkonfigurationsinställningar för Outlook för iOS/iPadOS och Android.

Konfigurationsprinciper för Android-appar

För konfigurationsprinciper för Android-appar kan du välja typ av enhetsregistrering innan du skapar en konfigurationsprofil för appar. Du kan redovisa certifikatprofiler som baseras på registreringstypen.

Registreringstypen kan vara något av följande värden:

  • Alla profiltyper: Om du skapar en ny profil och väljer Alla profiltyper som enhetsregistreringstyp kan du inte associera en certifikatprofil med appkonfigurationsprincipen. Det här alternativet stöder autentisering med användarnamn och lösenord. Använd inte det här alternativet om du använder certifikatbaserad autentisering.
  • Endast fullständigt hanterade, dedikerade och företagsägda arbetsprofilenheter: Om du skapar en ny profil och väljer Endast fullständigt hanterade, dedikerade och företagsägda arbetsprofilenheter kan du använda certifikatprinciperna Fullständigt hanterad, Dedikerad och Företagsägd arbetsprofil som skapas under Enhet > Konfigurationsprofiler. Det här alternativet har stöd för certifikatbaserad autentisering och autentisering med användarnamn och lösenord. Fullständigt hanterad avser fullständigt hanterade Android Enterprise-enheter (COBO). Dedikerad avser dedikerade Android Enterprise-enheter (COSU). Företagsägd arbetsprofil avser Android Enterprise-enheter med företagsägd arbetsprofil (COPE).
  • Endast personligt ägd arbetsprofil: Om en ny profil skapas och du väljer Endast personligt ägd arbetsprofil kan du använda de certifikatprinciper för arbetsprofiler som skapas under Enhet > Konfigurationsprofiler. Det här alternativet har stöd för certifikatbaserad autentisering och autentisering med användarnamn och lösenord.

Anteckning

Om du distribuerar en konfigurationsprofil för Gmail eller Nine till en dedikerad Android Enterprise-enhet med en arbetsprofil som inte involverar en användare misslyckas det eftersom Intune inte kan matcha användaren.

Viktigt

För befintliga principer som skapats före lanseringen av den här funktionen (april 2020, version 2004) och inte har några associerade certifikatprofiler används Alla profiltyper som standard som enhetsregistreringstyp. Även för de befintliga principer som skapats före lanseringen av den här funktionen och som har associerade certifikatprofiler, används som standard endast arbetsprofil.

Befintliga principer kan inte åtgärda eller utfärda nya certifikat.

Verifiera den tillämpade appkonfigurationsprincipen

Du kan verifiera appkonfigurationsprincipen med följande tre metoder:

  1. Verifiera att appkonfigurationsprincipen syns på enheten. Bekräfta att den aktuella appen uppvisar beteendet som anges i appkonfigurationsprincipen.

  2. Verifiera via diagnostikloggar (läs mer i avsnittet Diagnostikloggar nedan).

  3. Verifiera i administrationscentret för Microsoft Endpoint Manager. I administrationscentret för Microsoft Endpoint Manager väljer du Appar > Alla appar > den aktuella appen. Under avsnittet Övervaka väljer du sedan antingen Installationsstatus för enhet eller Installationsstatus för användare:

    Första skärmbilden av enhetens installationsstatus

    Andra skärmbilden av enhetens installationsstatus

    I administrationscentret för Microsoft Endpoint Manager väljer du dessutom Enheter > Alla enheter > välj en enhet > Appkonfiguration. Du ser alla tilldelade policyer och deras tillstånd i fönstret Appkonfiguration**:

    Skärmbild av appkonfiguration

Diagnostikloggar

iOS/iPadOS-konfiguration på ohanterade enheter

Du kan verifiera iOS/iPadOS-konfigurationen med Intune-diagnostikloggen på ohanterade enheter för konfiguration av hanterade appar. Förutom stegen nedan så kan du få åtkomst till hanterade apploggar med hjälp av Microsoft Edge. Mer information finns i Använda Edge för iOS och Android till att komma åt loggar för hanterade appar.

  1. Om den inte redan är installerad på enheten laddar du ned och installerar Microsoft Edge från App Store. Mer information finns i Microsoft Intune-skyddade appar.

  2. Starta Microsoft Edge och välj Om > intunejälp i navigeringsfältet.

  3. Klicka på Kom igång.

  4. Klicka på Dela loggar.

  5. Använd valfri e-postapp för att skicka loggen till dig själv så att den kan visas på din dator.

  6. Granska IntuneMAMDiagnostics.txt i ditt visningsprogram för textfiler.

  7. Sök efter ApplicationConfiguration. Resultatet ser ut så här:

        {
        (
            {
                Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                Value = "https://www.aol.com";
            },
            {
                Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
            }
        );
    },
    {
        ApplicationConfiguration =             
        (
            {
            Name = IntuneMAMUPN;
            Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
            },
            {
            Name = "com.microsoft.outlook.Mail.NotificationsEnabled";
            Value = false;
            }
        );
    }

Informationen om programkonfigurationen bör överensstämma med de programkonfigurationsprinciper som konfigurerats för din klient.

Konfiguration av riktade appar

iOS/iPadOS-konfiguration på hanterade enheter

Du kan verifiera iOS/iPadOS-konfigurationen med Intune-diagnostikloggen på hanterade enheter för konfiguration av hanterade appar.

  1. Om den inte redan är installerad på enheten laddar du ned och installerar Microsoft Edge från App Store. Mer information finns i Microsoft Intune-skyddade appar.
  2. Starta Microsoft Edge och välj Om > intunejälp i navigeringsfältet.
  3. Klicka på Kom igång.
  4. Klicka på Dela loggar.
  5. Använd valfri e-postapp för att skicka loggen till dig själv så att den kan visas på din dator.
  6. Granska IntuneMAMDiagnostics.txt i ditt visningsprogram för textfiler.
  7. Sök efter AppConfig. Resultatet bör överensstämma med de programkonfigurationsprinciper som konfigurerats för din klient.

Android-konfiguration på hanterade enheter

Du kan verifiera Android-konfigurationen med Intune-diagnostikloggen på hanterade enheter för konfiguration av hanterade appar.

Om du vill samla in loggar från en Android-enhet måste du eller slutanvändaren ladda ned loggarna från enheten via en USB-anslutning (eller motsvarigheten till Utforskaren på enheten). Här är stegen:

  1. Anslut Android-enheten till datorn med USB-kabeln.

  2. Leta efter en mapp med namnet på din enhet på datorn. I den katalogen söker du efter Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

  3. Öppna mappen Filer i mappen com.microsoft.windowsintune.companyportal och öppna OMADMLog_0.

  4. Sök efter AppConfigHelper för att leta upp meddelanden relaterade till appkonfigurationen. Resultatet ser ut ungefär så här:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API har stöd för appkonfiguration

Du kan använda Graph API för att utföra de här appkonfigurationsuppgifterna. Mer information finns i Graph API-referens för MAM-riktad konfiguration. Mer information om Intune och Graph finns i Arbeta med Intune i Microsoft Graph.

Felsökning

Använda loggar för att visa en konfigurationsparameter

När loggarna visar en konfigurationsparameter som har bekräftats tillämpas men inte verkar fungera kan det finnas ett problem med konfigurationens implementering av apputvecklaren. Om du kontaktar apputvecklaren först eller läser deras kunskapsbas kan du undvika att behöva ringa Microsofts support. Om det är problem med hur konfigurationen hanteras i en app måste det åtgärdas i en framtida uppdaterad version av den appen.

Nästa steg

Hanterade enheter

Hanterade appar