为托管 Android Enterprise 设备添加应用配置策略

  • 项目

Microsoft Intune中的应用配置策略向托管 Android Enterprise 设备上的托管 Google Play 应用提供设置。 应用开发人员公开 Android 托管的应用配置设置。 Intune 使用这些公开的设置,让管理员为应用配置功能。 应用配置策略将分配给用户组。 策略设置在应用检查时使用,通常是应用首次运行时。

并非每个应用都支持应用配置。 请与应用开发人员联系,了解其应用是否支持应用配置策略。

注意

对于通过托管设备应用配置策略提供的设备注册方案和应用配置,Intune 需要 Android 8.x 或更高版本。 此要求不适用于 Microsoft Teams Android 设备,因为将这些设备将继续受支持。

对于通过托管应用应用配置策略提供的 Intune 应用保护策略和应用配置,Intune 需要 Android 9.0 或更高版本。

电子邮件应用

Android Enterprise 具有多种注册方法。 注册类型取决于在设备上配置电子邮件的方式:

  • 在 Android Enterprise 完全托管、专用和企业拥有的工作配置文件上,使用应用配置策略和本文中的步骤。 应用配置策略支持 Gmail 和 Nine Work 电子邮件应用。
  • 在具有工作配置文件的 Android Enterprise 个人拥有设备上,创建 Android Enterprise 电子邮件设备配置文件。 创建配置文件时,可以为支持应用配置策略的电子邮件客户端配置设置。 使用配置设计器时,Intune 包括特定于 Gmail 和 Nine Work 应用的电子邮件设置。

创建应用配置策略

  1. 登录到Microsoft Intune管理中心

  2. 选择 “应用应用>”配置策略>“”添加>托管设备”。 请注意,可以在托管设备和托管应用之间进行选择。 有关详细信息 ,请参阅支持应用配置的应用

  3. “基本信息 ”页上,设置以下详细信息:

    • 名称 - 门户中显示的配置文件的名称。
    • 说明 - 门户中出现的配置文件的说明。
    • 设备注册类型 - 此设置设置为 “托管设备”。

  4. 选择 “Android Enterprise ”作为 “平台”。

  5. 单击“目标应用”旁边的“选择应用”。 将显示 “关联应用 ”窗格。

  6. “关联的应用 ”窗格中,选择要与配置策略关联的托管应用,然后单击“ 确定”。

  7. 单击“下一步”以显示“设置”页面。

  8. 单击“ 添加 ”以显示“ 添加权限 ”窗格。

  9. 单击要替代的权限。 授予的权限将覆盖所选应用的“默认应用权限”策略。

  10. 设置每个 权限的权限状态 。 可以从“提示”、“自动授予”或“自动拒绝”中进行选择。

  11. 如果托管应用支持配置设置,则“ 配置设置格式 ”下拉框可见。 选择以下方法之一以添加配置信息:

    • 使用配置设计器
    • 输入 JSON 数据

    有关使用配置设计器的详细信息,请参阅 使用配置设计器。 有关输入 XML 数据的详细信息,请参阅 输入 JSON 数据

  12. 如果需要让用户跨工作和个人配置文件连接目标应用,请选择“连接的应用”旁边的“启用”。

    配置策略的屏幕截图 - 设置

    注意

    此设置仅适用于个人拥有的工作配置文件和企业拥有的工作配置文件设备。

    “连接的应用” 设置更改为 “未配置” 不会从设备中删除配置策略。 若要从设备中删除 “连接的应用” 功能,必须取消分配相关的配置策略。

  13. 单击“下一步”以显示“作用域标记”页面。

  14. [可选]可以为应用配置策略配置范围标记。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

  15. 单击“ 下一步 ”以显示 “分配” 页。

  16. “分配到”旁边的下拉框中,选择“添加组”、“添加所有用户”或“添加所有设备”以分配应用配置策略。 选择分配组后,可以在为托管设备部署应用配置策略时选择 筛选器 来优化分配范围。

    策略分配的屏幕截图 - 分配

  17. 在下拉框中选择 “所有用户 ”。

    策略分配 - 所有用户下拉列表选项的屏幕截图

  18. [可选]单击 “编辑筛选器 ”以添加 筛选器 并优化分配范围。

    策略分配的屏幕截图 - 编辑筛选器

  19. 单击“ 选择要排除的组 ”以显示相关窗格。

  20. 选择要排除的组,然后单击“ 选择”。

    注意

    添加组时,如果已为给定的工作分配类型包括任何其他组,则对于其他包含分配类型,该组是预先选择的且不可更改。 因此,已使用的组不能用作排除的组。

  21. 单击“下一步”以显示“查看 + 创建”页。

  22. 单击“ 创建 ”将应用配置策略添加到 Intune。

使用配置设计器

当应用设计为支持配置设置时,可以使用托管 Google Play 应用的配置设计器。 配置适用于在 Intune 中注册的设备。 设计器允许你为应用公开的设置配置特定配置值。

  1. 选择“添加”。 选择要为应用输入的配置设置列表。

    如果你使用的是 Gmail 或 Nine Work 电子邮件应用, 则用于配置电子邮件的 Android Enterprise 设备设置 包含有关这些特定设置的详细信息。

  2. 对于配置中的每个键和值,请设置:

    • 值类型:配置值的数据类型。 对于“字符串值类型”,可以选择变量或证书配置文件作为值类型。
    • 配置值:配置的值。 如果为 “值”类型选择变量或证书,请从变量或证书配置文件列表中进行选择。 如果选择证书,则会在运行时填充部署到设备的证书的证书别名。

配置值支持的变量

如果选择变量作为值类型,则可以选择以下选项:

选项 示例
Microsoft Entra设备 ID dc0dc142-11d8-4b12-bfea-cae2a8514c82
帐户 ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune 设备 ID b9841cd9-9843-405f-be28-b2265c59ef97
Domain contoso.com
邮件 john@contoso.com
部分 UPN 约翰
用户 ID 3ec2c00f-b125-4519-acf0-302ac3761822
用户名 无名氏
用户主体名称 john@contoso.com

仅允许在应用中配置的组织帐户

作为Microsoft Intune管理员,你可以控制哪些工作或学校帐户添加到托管设备上的 Microsoft 应用。 可以将访问权限限制为仅允许的组织用户帐户,并在已注册的设备上阻止个人帐户。 对于 Android 设备,请在托管设备应用配置策略中使用以下键/值对:

com.microsoft.intune.mam.AllowedAccountUPNs
  • 一个或多个 ; 带分隔符的 UPN。
  • 仅允许的账户是此密钥定义的托管用户账户。
  • 对于 Intune 注册的设备, {{userprincipalname}} 令牌可用于表示已注册的用户帐户。

注意

以下应用会处理上述应用配置,并且仅允许组织帐户:

  • 适用于 Android 的 Edge (42.0.4.4048 及更高版本)
  • Office、Word、Excel PowerPoint for Android (16.0.9327.1000 及更高版本)
  • OneDrive for Android (5.28 及更高版本)
  • OneNote for Android (16.0.13231.20222 或更高版本)
  • Outlook for Android (2.2.222 及更高版本)
  • 适用于 Android 的 Teams(1416/1.0.0.2020073101 及更高版本)

输入 JSON 数据

应用 (上的某些配置设置(例如具有捆绑类型) 的应用)无法使用配置设计器进行配置。 对这些值使用 JSON 编辑器。 安装应用时,将自动向应用提供设置。

  1. 对于 “配置设置格式”,请选择“ 输入 JSON 编辑器”。
  2. 在编辑器中,可以为配置设置定义 JSON 值。 可以选择 “下载 JSON 模板” 来下载一个示例文件,然后可以配置该文件。
  3. 选择 “确定”,然后选择“ 添加”。

策略已创建并显示在列表中。

当分配的应用在设备上运行时,它将使用你在应用配置策略中配置的设置运行。

启用连接的应用

应用于:
Android 11+

个人拥有的工作配置文件用户必须具有公司门户版本 5.0.5291.0 或更高版本。 公司拥有的工作配置文件用户不需要特定版本的 Microsoft Intune 应用来支持。

你可以允许用户使用 Android 个人拥有和公司拥有的工作配置文件为受支持的应用启用连接应用体验。 此应用配置设置使应用能够跨工作和个人应用实例连接和集成应用数据。

要使应用提供此体验,应用需要与 Google 的连接应用 SDK 集成,因此只有有限的应用支持它。 可以主动打开连接应用设置,当应用添加支持时,用户将能够启用连接的应用体验。

“连接的应用” 设置更改为 “未配置” 不会从设备中删除配置策略。 若要从设备中删除 “连接的应用” 功能,必须取消分配相关的配置策略。

警告

如果为应用启用连接应用功能,个人应用中的工作数据将不受应用保护策略的保护。

此外,无论连接的应用配置如何,某些 OEM 都可能会自动连接某些应用,或者可能能够请求用户批准来连接未配置的应用。 在这种情况下,应用的一个示例可能是 OEM 的键盘应用。

启用连接应用设置后,用户可以通过两种方式连接工作和个人应用:

  1. 受支持的应用可以选择提示用户批准跨配置文件进行连接。
  2. 用户可以打开“设置”应用并转到“已连接的工作 & 个人应用”部分,其中将列出所有受支持的应用。

重要

如果为面向同一设备的同一应用分配了多个应用配置策略,而其中一个策略将“连接应用Enabled”设置为 ,而另一个策略未将“连接应用”设置为 ,则应用配置将报告冲突,并且设备上应用的结果行为将禁止连接的应用。

预配置应用的权限授予状态

还可以预配置应用权限以访问 Android 设备功能。 默认情况下,需要设备权限(例如访问位置或设备相机)的 Android 应用会提示用户接受或拒绝权限。

例如,应用使用设备的麦克风。 系统会提示用户授予应用使用麦克风的权限。

  1. Microsoft Intune管理中心,选择“应用>”“应用配置策略>”“添加>托管设备”。
  2. 添加以下属性:
    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的策略名称是 适用于整个公司的 Android Enterprise 提示权限应用策略
    • 说明。 输入配置文件的说明。 此设置是可选的,但建议进行。
    • 设备注册类型:此设置设置为 “托管设备”。
    • 平台:选择“Android Enterprise”。
  3. 选择 “配置文件类型”:
  4. 选择 “目标应用”。 选择要与配置策略关联的应用。 从已批准并与 Intune 同步的 Android Enterprise 完全托管工作配置文件应用列表中选择。
  5. 选择“添加权限>”。 从列表中,选择可用的应用权限 >“确定”。
  6. 为每个要使用此策略授予的权限选择一个选项:
    • 提示。 提示用户接受或拒绝。
    • 自动授予。 自动批准,无需通知用户。
    • 自动拒绝。 在不通知用户的情况下自动拒绝。
  7. 若要分配应用配置策略,请选择应用配置策略 >“分配>选择组”。 选择要分配 >“选择”的用户组。
  8. 选择 “保存” 以分配策略。

其他信息

后续步骤

继续 分配监视 应用。