为托管iOS/iPadOS 设备添加应用配置策略
使用 Microsoft Intune 中的应用配置策略为 iOS/iPadOS 应用提供自定义配置设置。 这些配置设置允许根据应用供应商的方向自定义应用。 必须从应用的供应商那里获取这些配置设置 (密钥和值) 。 若要配置应用,请将设置指定为键和值,或指定为包含键和值的 XML。
作为Microsoft Intune管理员,你可以控制在托管设备上将哪些用户帐户添加到 Microsoft 365 (Office) 应用程序。 可以将访问权限限制为仅允许的组织用户帐户,并在已注册的设备上阻止个人帐户。 支持应用程序处理应用配置,并删除和阻止未经批准的帐户。 配置策略设置在应用检查时使用,通常是首次运行时。
添加应用配置策略后,可以设置应用配置策略的分配。 设置策略分配时,可以选择使用 筛选器 ,并包括和排除应用策略的用户组。 选择包含一个或多个组时,可以选择要包含的特定组或选择内置组。 内置组包括 所有用户、 所有设备 和 所有用户 + 所有设备。
注意
为方便起见,Intune 在具有内置优化的控制台中提供了预先创建的“所有用户”和“所有设备”组。 强烈建议使用这些组来面向所有用户和所有设备,而不是你自己创建的任何“所有用户”或“所有设备”组。
为应用程序配置策略选择包含的组后,还可以选择要排除的特定组。 有关详细信息,请参阅在Microsoft Intune中包含和排除应用分配。
提示
此策略类型目前仅适用于运行 iOS/iPadOS 8.0 及更高版本的设备。 它支持以下应用安装类型:
- 应用商店中的托管 iOS/iPadOS 应用
- 适用于 iOS 的应用包
有关应用安装类型的详细信息,请参阅如何将应用添加到Microsoft Intune。 有关将应用配置合并到托管设备的 .ipa 应用包的详细信息,请参阅 iOS 开发人员文档中的托管应用程序配置。
创建应用配置策略
选择 “应用应用>”配置策略>“”添加>托管设备”。 请注意,可以在托管设备和托管应用之间进行选择。 有关详细信息 ,请参阅支持应用配置的应用。
在 “基本信息 ”页上,设置以下详细信息:
- 名称 - Microsoft Intune管理中心中显示的配置文件的名称。
- 说明 - Microsoft Intune管理中心中显示的配置文件的说明。
- 设备注册类型 - 此设置设置为 “托管设备”。
选择 “iOS/iPadOS ”作为 “平台”。
单击“目标应用”旁边的“选择应用”。 将显示 “关联应用 ”窗格。
在“ 目标应用 ”窗格中,选择要与配置策略关联的托管应用,然后单击“ 确定”。
单击“下一步”以显示“设置”页面。
在下拉框中,选择“ 配置设置”格式。 选择以下方法之一以添加配置信息:
单击“下一步”以显示“作用域标记”页面。
[可选]可以为应用配置策略配置范围标记。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
单击“ 下一步 ”以显示 “分配” 页。
在“分配”页上,选择“添加组”、“添加所有用户”或“添加所有设备”以分配应用配置策略。 选择分配组后,可以在为托管设备部署应用配置策略时选择 筛选器 来优化分配范围。
在下拉框中选择 “所有用户 ”。
[可选]单击 “编辑筛选器 ”以添加 筛选器 并优化分配范围。
单击“ 选择要排除的组 ”以显示相关窗格。
选择要排除的组,然后单击“ 选择”。
注意
添加组时,如果已为给定的工作分配类型包括任何其他组,则对于其他包含分配类型,该组是预先选择的且不可更改。 因此,已使用的组不能用作排除的组。
单击“下一步”以显示“查看 + 创建”页。
单击“创建”将应用配置策略添加到Intune。
使用配置设计器
Microsoft Intune提供对应用唯一的配置设置。 可以在已注册或未在 Microsoft Intune 中注册的设备上使用应用配置设计器。 设计器允许配置特定的配置键和值,以帮助创建基础 XML。 还必须为每个值指定数据类型。 安装应用时,这些设置会自动提供给应用。
添加设置
- 对于配置中的每个键和值,请设置:
- 配置键 - 唯一标识特定设置配置的区分大小写的键。
- 值类型 - 配置值的数据类型。 类型包括 Integer、Real、String 或布尔值。
- 配置值 - 配置的值。
- 选择 “确定” 以设置配置设置。
删除设置
- 选择设置旁边的省略号 (...) 。
- 选择“删除”。
{{ 和 }} 字符仅由令牌类型使用,不得用于其他目的。
仅允许在应用中配置的组织帐户
作为Microsoft Intune管理员,你可以控制哪些工作或学校帐户添加到托管设备上的 Microsoft 应用。 如果注册设备上支持) ,可以将访问权限限制为仅允许的组织用户帐户,并阻止应用内的个人帐户 (。 对于 iOS/iPadOS 设备,请在托管设备应用配置策略中使用以下键/值对:
| 键 | 值 |
|---|---|
| IntuneMAMAllowedAccountsOnly |
|
| IntuneMAMUPN |
|
注意
以下应用会处理上述应用配置,并且仅允许组织帐户:
- 适用于 iOS 的 Copilot (28.1.420324001 及更高版本)
- 适用于 iOS (44.8.7 及更高版本的 Edge)
- Office、Word、Excel、PowerPoint for iOS (2.41 及更高版本)
- OneDrive for iOS (10.34 及更高版本)
- OneNote for iOS (2.41 及更高版本)
- Outlook for iOS (2.99.0 及更高版本)
- 适用于 iOS (2.0.15 及更高版本的 Teams)
要求在应用中配置组织帐户
在已注册的设备上,组织可以要求将工作或学校帐户登录到托管的 Microsoft 应用,以便从其他托管应用接收组织数据。 例如,假设用户在本机 iOS 邮件客户端的托管电子邮件配置文件中包含的电子邮件中包含附件。 如果用户尝试将附件传输到在设备上托管并应用了这些密钥的 Microsoft 应用(如 Office),则此配置会将传输的附件视为组织数据,要求登录工作或学校帐户并强制实施应用保护策略设置。
对于 iOS/iPadOS 设备,请在托管设备应用配置策略中为每个 Microsoft 应用使用以下键/值对:
| 键 | 值 |
|---|---|
| IntuneMAMRequireAccounts |
|
| IntuneMAMUPN |
|
注意
应用必须具有Intune适用于 iOS 版本 12.3.3 或更高版本的 APP SDK,并且当需要登录到工作或学校帐户时,应用必须具有Intune应用保护策略的目标。 在应用保护策略中,必须将“从其他应用接收数据”设置为“包含传入组织数据的所有应用”。
目前,仅当目标应用存在传入组织数据时,才需要应用登录。
输入 XML 数据
可以键入或粘贴 XML 属性列表,其中包含在 Intune 中注册的设备的应用配置设置。 XML 属性列表的格式因要配置的应用而异。 有关要使用的确切格式的详细信息,请联系应用的供应商。
Intune验证 XML 格式。 但是,Intune不检查 XML 属性列表 (PList) 适用于目标应用。
若要详细了解 XML 属性列表,请:
- 请参阅了解 iOS 开发人员库中的 XML 属性Lists。
应用配置 XML 文件的示例格式
创建应用配置文件时,可以使用此格式指定以下一个或多个值:
<dict>
<key>userprincipalname</key>
<string>{{userprincipalname}}</string>
<key>mail</key>
<string>{{mail}}</string>
<key>partialupn</key>
<string>{{partialupn}}</string>
<key>accountid</key>
<string>{{accountid}}</string>
<key>deviceid</key>
<string>{{deviceid}}</string>
<key>userid</key>
<string>{{userid}}</string>
<key>username</key>
<string>{{username}}</string>
<key>serialnumber</key>
<string>{{serialnumber}}</string>
<key>serialnumberlast4digits</key>
<string>{{serialnumberlast4digits}}</string>
<key>udidlast4digits</key>
<string>{{udidlast4digits}}</string>
<key>aaddeviceid</key>
<string>{{aaddeviceid}}</string>
<key>IsSupervised</key>
<string>{{IsSupervised}}</string>
</dict>
支持的 XML PList 数据类型
Intune支持属性列表中的以下数据类型:
- <整数>
- <真正>
- <字符串>
- <阵 列>
- <dict>
- <true /> 或 <false />
在属性列表中使用的令牌
此外,Intune支持属性列表中的以下标记类型:
- {{userprincipalname}},例如, John@contoso.com
- {{mail}},例如 John@contoso.com
- {{partialupn}},例如 John
- {{accountid}}—例如, fc0dc142-71d8-4b12-bbea-bae2a8514c81
- {{deviceid}}—例如, b9841cd9-9843-405f-be28-b2265c59ef97
- {{userid}}—例如 ,3ec2c00f-b125-4519-acf0-302ac3761822
- {{username}},例如 John Doe
- {{serialnumber}}—例如,适用于 iOS/iPadOS 设备的 F4KN99ZUG5V2 ()
- {{serialnumberlast4digits}},例如,适用于 iOS/iPadOS 设备的 G5V2 ()
- {{aaddeviceid}}—例如, ab0dc123-45d6-7e89-aabb-cde0a1234b56
- {{issupervised}}-例如,iOS/iPadOS 设备 的真实 ()
配置 公司门户 应用以支持使用自动设备注册注册的 iOS 和 iPadOS 设备
默认情况下,Apple 的自动设备注册与 公司门户 应用的应用商店版本不兼容。 但是,即使用户已使用以下步骤从App Store下载了公司门户,也可以将 公司门户 应用配置为支持 iOS/iPadOS ADE 设备。
在 Microsoft Intune 管理中心,转到“所有>>应用添加iOS 应用商店应用”,>添加Intune 公司门户应用(如果尚未添加)。
转到“应用”>“应用配置策略”,为公司门户应用创建应用配置策略。
使用以下 XML 创建应用配置策略。 有关如何创建应用配置策略和输入 XML 数据的详细信息,请参阅 为托管 iOS/iPadOS 设备添加应用配置策略。
在使用用户相关性注册的自动设备注册 (ADE) 设备上使用公司门户:
注意
当注册配置文件将“安装公司门户”设置为“是”时,Intune会在初始注册过程中自动推送以下应用程序配置策略。 不应手动将此配置部署到用户或设备,因为这将导致与注册期间已发送的有效负载冲突,导致最终用户在登录公司门户 (后被要求下载新的管理配置文件,而他们不应该这样做,因为这些设备上已安装管理配置文件) 。
<dict> <key>IntuneCompanyPortalEnrollmentAfterUDA</key> <dict> <key>IntuneDeviceId</key> <string>{{deviceid}}</string> <key>UserId</key> <string>{{userid}}</string> </dict> </dict>在没有用户关联的情况下注册的 ADE 设备上使用公司门户 (也称为设备暂存) :
注意
登录到 公司门户 的用户设置为设备的主要用户。
<dict> <key>IntuneUDAUserlessDevice</key> <string>{{SIGNEDDEVICEID}}</string> </dict>
将公司门户部署到具有面向所需组的应用配置策略的设备。 请确保仅将策略部署到已注册 ADE 的设备组。
指示最终用户在自动安装公司门户应用时登录它。
注意
添加应用配置以允许在没有用户相关性的 ADE 设备上公司门户应用时,可能会遇到 STATE Policy Error。 与其他应用配置不同,这种情况不会在每次设备签入时都适用。 相反,此应用配置旨在成为一次性操作,以便在用户登录公司门户时启用注册且没有用户相关性的现有设备获得用户相关性。 成功应用后,此应用配置将从后台的策略中删除。 策略分配将存在,但在后台删除应用配置后,不会报告“成功”。 应用配置策略应用到设备后,可以取消分配策略。
监视每个设备的 iOS/iPadOS 应用配置状态
分配配置策略后,可以监视每个托管设备的 iOS/iPadOS 应用配置状态。 在Microsoft Intune管理中心的Microsoft Intune中,选择“设备>所有设备”。 从托管设备列表中,选择特定设备以显示设备的窗格。 在设备窗格中,选择“ 应用配置”。
其他信息
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈