新增受控 Android Enterprise 裝置的應用程式設定原則

  • 發行項

中的應用程式設定原則 Microsoft Intune 提供受控 Android Enterprise 裝置上受控 Google Play 應用程式的設定。 應用程式開發人員會公開Android管理的應用程式組態設定。 Intune 會使用這些公開設定,讓系統管理員設定應用程式的功能。 應用程式設定原則會指派給您的使用者群組。 原則設定會在應用程式檢查時使用,通常是應用程式第一次執行時。

並非每個應用程式都支援應用程式設定。 請與應用程式開發人員確認其應用程式是否支援應用程式設定原則。

注意事項

針對裝置註冊案例和透過受管理裝置應用程式組態原則傳遞的應用程式組態,Intune 需要 Android 8.x 或更新版本。 此需求不適用於 Microsoft Teams Android 裝置 ,因為這些裝置將繼續受到支援。

針對透過受控應用程式應用程式設定原則傳遞的 Intune 應用程式保護原則和應用程式設定,Intune 需要 Android 9.0 或更新版本。

電子郵件應用程式

Android Enterprise 有數種註冊方法。 註冊類型取決於在裝置上設定電子郵件的方式:

  • 在 Android Enterprise 完全受控、專用和公司擁有的工作配置檔上,使用應用程式設定原則和本文中的步驟。 應用程式設定原則支援 Gmail 和 Nine Work 電子郵件應用程式。
  • 在具有工作配置檔的 Android Enterprise 個人擁有裝置上,建立 Android Enterprise 電子郵件裝置組態配置檔。 當您建立設定檔時,可以設定支援應用程式設定原則之電子郵件客戶端的設定。 使用設定設計工具時,Intune 會包含 Gmail 和 Nine Work 應用程式專屬的電子郵件設置。

建立應用程式設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 選擇 [應用程式>] 設定原則>[新增>受控裝置]。 請注意,您可以在受 控裝置 和受 控應用程式之間進行選擇。 如需詳細資訊 ,請參閱支援應用程式設定的應用程式

  3. 在 [ 基本] 頁面上,設定下列詳細數據:

    • 名稱 - 出現在入口網站中的設定檔名稱。
    • 描述 - 顯示在入口網站中的設定檔描述。
    • 裝置註冊類型 - 此設定設為受 控裝置

  4. 選取 [Android Enterprise ] 作為 [平臺]

  5. 按兩下 [ 目標應用程式 ] 旁的 [選 取應用程式]。 [ 相關聯的應用程式] 窗格隨即顯示。

  6. 在 [ 相關聯的應用程式] 窗格中,選擇要與設定原則相關聯的受控應用程式,然後按兩下 [ 確定]

  7. 按一下 [下一步] 以顯示 [設定] 頁面。

  8. 單擊 [新增 ] 以顯示 [ 新增許可權] 窗格。

  9. 按兩下您要覆寫的許可權。 授與的許可權將會覆寫所選應用程式的「預設應用程式許可權」原則。

  10. 設定每個 許可權 的許可權狀態。 您可以從 [提示]、[ 自動授與] 或 [ 自動拒絕] 中選擇。

  11. 如果受控應用程式支援組態設定,則會顯示 [組態 設定格式 ] 下拉式方塊。 選取下列其中一個方法來新增組態資訊:

    • 使用設定設計工具
    • 輸入 JSON 數據

    如需使用設定設計工具的詳細資訊,請 參閱使用設定設計工具。 如需輸入 XML 資料的詳細資訊,請 參閱輸入 JSON 數據

  12. 如果您需要讓使用者跨工作和個人配置檔連接目標應用程式,請選取 [連線應用程式] 旁的 [啟用]。

    設定原則的螢幕快照 - 設定

    注意事項

    此設定僅適用於個人擁有的工作配置檔和公司擁有的工作配置檔裝置。

    [已連線的應用程式 ] 設定變更為 [未設定] 不會從裝置移除設定原則。 若要從裝置移除 連線的應用程式 功能,您必須取消指派相關的設定原則。

  13. 按一下 [下一步] 以顯示 [範圍標籤] 頁面。

  14. [選擇性]您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

  15. [下一步 ] 以顯示 [ 指派] 頁面。

  16. 在 [ 指派給] 旁的下拉式方塊中,選取 [ 新增群組]、[ 新增所有使用者] 或 [ 新增所有裝置 ] 以指派應用程式設定原則。 選取指派群組之後,您可以選取 篩選 條件,以在部署受控裝置的應用程式設定原則時精簡指派範圍。

    原則指派的螢幕快照 - 指派

  17. 在下拉式方塊中選取 [ 所有使用者 ]。

    原則指派的螢幕快照 - [所有使用者] 下拉式清單選項

  18. [選擇性]按兩下 [編輯篩選 ] 以新增 篩選 並精簡指派範圍。

    原則指派的螢幕快照 - 編輯篩選

  19. 按兩下 [選取要排除的群組] 以顯示相關窗格。

  20. 選擇您想要排除的群組,然後按兩下 [ 選取]

    注意事項

    新增群組時,如果指定的指派類型已包含任何其他群組,則會預先選取該群組,而且對於其他 include 指派類型則無法變更。 因此,已使用的該群組不能當做排除的群組使用。

  21. 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。

  22. 按兩下 [建立 ] 將應用程式設定原則新增至 Intune。

使用設定設計工具

當應用程式設計成支援組態設定時,您可以使用受控 Google Play 應用程式的設定設計工具。 設定適用於在 Intune 中註冊的裝置。 設計工具可讓您為應用程式公開的設定設定特定組態值。

  1. 選取 新增。 選擇您要為應用程式輸入的組態設定清單。

    如果您使用 Gmail 或 Nine Work 電子郵件應用程式, 設定電子郵件的 Android Enterprise 裝置設定 會有這些特定設定的詳細資訊。

  2. 針對組態中的每個索引鍵和值,設定:

    • 值類型:組態值的數據類型。 針對字串實值類型,您可以選擇選擇變數或憑證配置檔作為實值類型。
    • 組態值:組態的值。 如果您選取 [ 值] 類型的變數或憑證,請從變數或憑證配置檔清單中選擇。 如果您選擇憑證,則會在運行時間填入部署至裝置之憑證的憑證別名。

組態值支援的變數

如果您選擇變數作為實值類型,您可以選擇下列選項:

選項 範例
Microsoft Entra 裝置標識碼 dc0dc142-11d8-4b12-bfea-cae2a8514c82
帳戶識別碼 fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune 裝置標識碼 b9841cd9-9843-405f-be28-b2265c59ef97
網域 contoso.com
郵件 john@contoso.com
部分 UPN 約翰
使用者識別碼 3ec2c00f-b125-4519-acf0-302ac3761822
使用者名稱 無名氏
使用者主體名稱 john@contoso.com

只允許應用程式中已設定的組織帳戶

身為 Microsoft Intune 系統管理員,您可以控制哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織用戶帳戶,並封鎖已註冊裝置上的個人帳戶。 針對 Android 裝置,請在受控裝置應用程式設定原則中使用下列機碼/值組:

機碼 com.microsoft.intune.mam.AllowedAccountUPNs
  • 一或多個 ; 分隔的UPN。
  • 唯一允許的帳戶是由此機碼所定義的受管使用者帳戶。
  • 針對已註冊 Intune 的裝置, {{userprincipalname}} 可以使用令牌來代表已註冊的用戶帳戶。

注意事項

下列應用程式會處理上述應用程式設定,且只允許組織帳戶:

  • Android 版 Edge (42.0.4.4048 和更新版本)
  • Office、Word、Excel、Android 版 PowerPoint (16.0.9327.1000 和更新版本)
  • OneDrive for Android (5.28 和更新版本)
  • Android 版 OneNote (16.0.13231.20222 或更新版本)
  • Android 版 Outlook (2.2.222 和更新版本)
  • Android 版 Teams (1416/1.0.0.2020073101 和更新版本)

輸入 JSON 數據

(應用程式上的某些元件設定,例如) 套件組合類型的應用程式,無法使用設定設計工具進行設定。 針對這些值使用 JSON 編輯器。 安裝應用程式時,系統會自動將設定提供給應用程式。

  1. 針對 [組態設定格式],選 取 [輸入 JSON 編輯器]
  2. 在編輯器中,您可以定義組態設定的 JSON 值。 您可以選擇 [下載 JSON 範本 ] 來下載範例檔案,然後再進行設定。
  3. 選擇 [確定],然後選擇 [ 新增]

原則會建立並顯示在清單中。

當指派的應用程式在裝置上執行時,它會以您在應用程式設定原則中設定的設定執行。

啟用已連線的應用程式

適用於:
Android 11+

個人擁有的工作配置檔用戶必須 公司入口網站 5.0.5291.0 版或更新版本。 公司擁有的工作配置檔使用者不需要特定版本的 Microsoft Intune 應用程式來提供支援。

您可以允許使用者使用 Android 個人擁有和公司擁有的工作設定檔,為支援的應用程式開啟連線的應用程式體驗。 此應用程式組態設定可讓應用程式跨工作和個人應用程式實例連線及整合應用程式數據。

若要讓應用程式提供此體驗,應用程式必須與Google的連線應用程式 SDK 整合,因此只有有限的應用程式支援它。 您可以主動開啟連線的應用程式設定,而當應用程式新增支援時,使用者將能夠啟用連線的應用程式體驗。

[已連線的應用程式 ] 設定變更為 [未設定] 不會從裝置移除設定原則。 若要從裝置移除 連線的應用程式 功能,您必須取消指派相關的設定原則。

警告

如果您啟用應用程式的連線應用程式功能,個人應用程式中的工作數據將不會受到應用程式保護原則的保護。

此外,不論連線的應用程式設定為何,某些 OEM 可能會自動連線特定應用程式,或是能夠要求使用者核准來連線您未設定的應用程式。 在此案例中,應用程式的範例可能是 OEM 的鍵盤應用程式。

在您啟用已連線的應用程式設定之後,使用者有兩種方式可以連線到公司和個人應用程式:

  1. 支援的應用程式可以選擇提示使用者核准跨配置檔進行連線。
  2. 用戶可以開啟 [設定] 應用程式,並移至 [已連線的工作 & 個人應用程式] 區段,他們會看到列出所有支持的應用程式。

重要事項

如果針對以相同裝置為目標的相同應用程式指派多個應用程式設定原則,而其中一個原則將 [已連線的應用程式Enabled] 設定為 ,而另一個原則則不會,則應用程式組態會報告衝突,而在裝置上套用的結果行為將會是不允許連線的應用程式。

預先設定應用程式的許可權授與狀態

您也可以預先設定應用程式許可權,以存取 Android 裝置功能。 根據預設,需要裝置許可權的 Android 應用程式,例如位置或裝置相機的存取權,會提示使用者接受或拒絕許可權。

例如,應用程式會使用裝置的麥克風。 系統會提示使用者授與應用程式使用麥克風的許可權。

  1. [Microsoft Intune 系統管理中心] 中,選取 [應用程式>應用程式設定原則>][新增>受控裝置]
  2. 新增下列屬性:
    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 整個公司的 Android Enterprise 提示許可權應用程式原則
    • 描述。 輸入配置檔的描述。 這是選擇性設定,但建議進行。
    • 裝置註冊類型:此設定設為受 控裝置
    • 平台:選取 [Android Enterprise]
  3. 取 [設定檔類型]
  4. 取 [目標應用程式]。 選擇您要與設定原則建立關聯的應用程式。 從您已核准並與 Intune 同步處理的 Android Enterprise 完全受控工作設定檔應用程式清單中選取。
  5. 取 [許可權>新增]。 從清單中,選取可用的>應用程式許可權 [確定]
  6. 針對要使用此原則授與的每個許可權選取一個選項:
    • 提示。 提示使用者接受或拒絕。
    • 自動授與。 自動核准而不通知使用者。
    • 自動拒絕。 自動拒絕而不通知使用者。
  7. 若要指派應用程式設定原則,請選取應用程式設定原則 >[指派>][選取群組]。 選擇要指派>的使用者群組 [選取]
  8. 選擇 [儲存 ] 以指派原則。

其他資訊

後續步驟

繼續 指派監視 應用程式。