Sdílet prostřednictvím


Zásady konfigurace aplikací pro Microsoft Intune

Zásady konfigurace aplikací vám můžou pomoct odstranit problémy s nastavením aplikace tím, že vám umožní přiřadit nastavení konfigurace k zásadám, které se přiřadí koncovým uživatelům před spuštěním aplikace. Nastavení se pak zadají automaticky, když je aplikace nakonfigurovaná na zařízení koncových uživatelů a koncoví uživatelé nemusí nic dělat. Nastavení konfigurace jsou pro každou aplikaci jedinečná.

Zásady konfigurace aplikací můžete vytvářet a používat k poskytování nastavení konfigurace pro aplikace pro iOS/iPadOS i Android. Tato nastavení konfigurace umožňují přizpůsobit aplikaci pomocí konfigurace a správy aplikací. Nastavení zásad konfigurace se používá při kontrole těchto nastavení aplikací, obvykle při prvním spuštění aplikace.

Nastavení konfigurace aplikace může například vyžadovat zadání některé z následujících podrobností:

  • Vlastní číslo portu
  • Nastavení jazyka
  • Nastavení zabezpečení
  • Nastavení brandingu, jako je logo společnosti

Pokud by koncoví uživatelé místo toho tato nastavení zadali, mohli by to udělat nesprávně. Zásady konfigurace aplikací můžou pomoct zajistit konzistenci v rámci podniku a omezit volání helpdesku od koncových uživatelů, kteří se sami pokoušejí nakonfigurovat nastavení. Používáním zásad konfigurace aplikací může být přijetí nových aplikací jednodušší a rychlejší.

O dostupných parametrech konfigurace a implementaci parametrů konfigurace rozhodují vývojáři aplikace. Dokumentace od dodavatele aplikace by měla být zkontrolována, abyste zjistili, jaké konfigurace jsou k dispozici a jak konfigurace ovlivňují chování aplikace. U některých aplikací Intune naplní dostupná nastavení konfigurace.

Poznámka

Ve spravovaném Obchodě Google Play budou aplikace, které podporují konfiguraci, označeny takto:

Snímek obrazovky s nakonfigurovanou aplikací

Pokud jako typ registrace pro zařízení s Androidem použijete Spravovaná zařízení, uvidíte jenom aplikace ze spravovaného obchodu Google Play, nikoli z obchodu Google Play.

Zásady konfigurace aplikací můžete přiřadit skupině koncových uživatelů a zařízení pomocí kombinace přiřazení zahrnutí a vyloučení. V rámci procesu přidání nebo aktualizace zásad konfigurace aplikace můžete nastavit přiřazení pro zásady konfigurace aplikace. Když nastavíte přiřazení pro zásadu, můžete zahrnout a vyloučit skupiny koncových uživatelů, pro které se zásada vztahuje. Pokud se rozhodnete zahrnout jednu nebo více skupin, můžete vybrat konkrétní skupiny, které chcete zahrnout, nebo vybrat předdefinované skupiny. Mezi předdefinované skupiny patří Všichni uživatelé, Všechna zařízenía Všichni uživatelé + Všechna zařízení.

Filtry můžete také použít k upřesnění oboru přiřazení při nasazování zásad konfigurace aplikací pro spravovaná zařízení s iOSem a Androidem. Nejdřív musíte vytvořit filtr s použitím kterékoli z dostupných vlastností pro iOS a Android. Potom v Centru pro správu Microsoft Intune můžete přiřadit zásady konfigurace spravovaných aplikací tak, že vybereteZásady> konfigurace aplikací>Přidat>spravovaná zařízení a přejdete na stránku přiřazení. Po výběru skupiny můžete upřesnit použitelnost zásad tak, že zvolíte filtr a rozhodnete se ho použít v režimu Zahrnout nebo Vyloučit .

Úloha zásad konfigurace aplikací poskytuje seznam zásad konfigurace aplikací, které byly vytvořeny pro vašeho tenanta. Tento seznam obsahuje podrobnosti, například Název, Platforma, Aktualizace, Typ registrace a Značky oboru. Pokud chcete získat další podrobnosti o konkrétních zásadách konfigurace aplikací, vyberte zásadu. V podokně přehledu zásad můžete zobrazit konkrétní podrobnosti, například stav zásad na základě zařízení a uživatele a také to, jestli byla zásada přiřazena.

Aplikace, které podporují konfiguraci aplikací

Konfiguraci aplikací je možné doručovat buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (spravovaný App Configuration kanál pro iOS nebo android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu MAM (Mobile Application Management).

Intune představuje tyto různé kanály zásad konfigurace aplikací:

  • Spravovaná zařízení – zařízení spravuje Intune jako sjednocený poskytovatel správy koncových bodů. Aplikace musí být připnutá k profilu správy v iOS/iPadOS nebo nasazená prostřednictvím spravovaného Google Play na zařízeních s Androidem. Aplikace navíc podporuje požadovanou konfiguraci aplikace.
  • Spravované aplikace – aplikace, která buď integrovala sadu Intune App SDK, nebo byla zabalena pomocí nástroje Intune Wrapping a podporuje zásady ochrany aplikací (APP). V této konfiguraci nezáleží na stavu registrace zařízení ani na způsobu doručení aplikace do zařízení. Aplikace podporuje požadovanou konfiguraci aplikace.

Typ registrace zařízení

Aplikace můžou nastavení zásad konfigurace aplikací zpracovávat odlišně s ohledem na preference uživatelů. Například v Outlooku pro iOS a Android bude nastavení konfigurace aplikace Prioritní doručená pošta respektovat nastavení uživatele a umožní uživateli přepsat záměr správce. Jiná nastavení vám můžou umožnit určit, jestli uživatel může nebo nemůže změnit nastavení na základě záměru správce.

Poznámka

Tento požadavek se nevztahuje na zařízení s Androidem v Microsoft Teams, protože tato zařízení budou i nadále podporována.

Pro zásady ochrany aplikací Intune a konfiguraci aplikací poskytované prostřednictvím zásad konfigurace aplikací spravovaných aplikací vyžaduje Intune Android 9.0 nebo novější.

Spravovaná zařízení

Výběr spravovaných zařízení jako typu registrace zařízení odkazuje konkrétně na aplikace nasazené Intune na zaregistrované zařízení, a proto je spravuje Intune jako poskytovatel registrace.

Aby bylo možné podporovat konfiguraci aplikací pro aplikace nasazené prostřednictvím Intune na zaregistrovaných zařízeních, musí být aplikace napsané tak, aby podporovaly použití konfigurací aplikací definovaných operačním systémem. Podrobnosti o tom, které konfigurační klíče aplikace podporují pro doručování prostřednictvím kanálu OS MDM, získáte od dodavatele aplikace. Obecně existují čtyři scénáře doručování konfigurace aplikací pomocí kanálu operačního systému MDM:

  • Povolit jenom pracovní nebo školní účty
  • Nastavení konfigurace nastavení účtu
  • Obecná nastavení konfigurace aplikací
  • Nastavení konfigurace S/MIME

Spravované aplikace

Výběr spravovaných aplikací jako typu registrace zařízení konkrétně odkazuje na aplikace nakonfigurované pomocí zásad ochrany aplikací Intune na zařízeních bez ohledu na stav registrace.

Pokud chcete podporovat konfiguraci aplikace prostřednictvím kanálu MAM, musí být aplikace integrovaná se sadou Intune App SDK. Obchodní aplikace můžou buď integrovat sadu Intune App SDK, nebo používat Intune App Wrapping Tool. Porovnání sady Intune App SDK a Intune App Wrapping Tool najdete v tématu Příprava obchodních aplikací na zásady ochrany aplikací.

Doručení konfigurace aplikace prostřednictvím kanálu MAM nevyžaduje registraci zařízení ani správu nebo doručování aplikace prostřednictvím sjednoceného řešení pro správu koncových bodů. Existují tři scénáře pro doručování konfigurace aplikací pomocí kanálu MAM:

  • Obecná nastavení konfigurace aplikací
  • Nastavení konfigurace S/MIME
  • Pokročilá nastavení ochrany dat aplikace, která rozšiřují možnosti nabízené zásadami ochrany aplikací

Poznámka

Intune spravované aplikace se po nasazení společně se zásadami ochrany aplikací Intune vrátí v intervalu 30 minut ke stavu Intune App Configuration Zásad. Pokud uživateli nejsou přiřazené zásady ochrany aplikací Intune, nastaví se interval vracení se změnami zásad Intune App Configuration na 720 minut.

Informace o tom, které aplikace podporují konfiguraci aplikací prostřednictvím kanálu MAM, najdete v tématu Microsoft Intune chráněných aplikací.

Zásady konfigurace aplikací pro Android Enterprise

V případě zásad konfigurace aplikací pro Android Enterprise můžete před vytvořením konfiguračního profilu aplikace vybrat typ registrace zařízení. Můžete počítat s profily certifikátů, které jsou založené na typu registrace.

Typ registrace může být jeden z následujících:

  • Všechny typy profilů: Pokud se vytvoří nový profil a jako typ registrace zařízení vyberete Všechny typy profilů , nebudete moct přidružit profil certifikátu k zásadám konfigurace aplikací. Tato možnost podporuje ověřování pomocí uživatelského jména a hesla. Pokud používáte ověřování na základě certifikátů, tuto možnost nepoužívejte.
  • Pouze plně spravovaný, vyhrazený a Corporate-Owned pracovní profil: Pokud se vytvoří nový profil a vybere se možnost Plně spravovaný, Vyhrazený a pouze pracovní profil Corporate-Owned, můžete použít zásady certifikátů plně spravovaného, vyhrazeného a Corporate-Owned pracovního profilu v části Správa> zařízeníKonfiguracezařízení>. Tato možnost podporuje ověřování na základě certifikátů a ověřování uživatelských jmen a hesel. Plně spravovaná se vztahuje k plně spravovaným zařízením s Androidem Enterprise (COBO). Dedicated se vztahuje k vyhrazeným zařízením Android Enterprise (COSU). Pracovní profil vlastněný společností se vztahuje k pracovnímu profilu Android Enterprise vlastněného společností (COPE).
  • Pouze pracovní profil v osobním vlastnictví: Pokud se vytvoří nový profil a vybere se jenom pracovní profil v osobním vlastnictví, dají se využít zásady certifikátu pracovního profilu vytvořené v části Konfigurace>zařízení Správa zařízení>. Tato možnost podporuje ověřování na základě certifikátů a ověřování uživatelských jmen a hesel.

Poznámka

Pokud nasadíte konfigurační profil Gmailu nebo Nine do vyhrazeného pracovního profilu zařízení s Androidem Enterprise, který nezahrnuje uživatele, selže, protože Intune nemůže uživatele přeložit.

Důležité

Stávající zásady vytvořené před vydáním této funkce (verze z dubna 2020 – 2004), které nemají přidružené žádné profily certifikátů k zásadám, budou ve výchozím nastavení všechny typy profilů pro typ registrace zařízení. Stávající zásady vytvořené před vydáním této funkce, ke kterým jsou přidružené profily certifikátů, budou ve výchozím nastavení jenom pracovní profil.

Stávající zásady nebudou opravovat ani nevystavovat nové certifikáty.

Ověření použitých zásad konfigurace aplikací

Zásady konfigurace aplikací můžete ověřit pomocí následujících tří metod:

  1. Ověřte zásadu konfigurace aplikace viditelně na zařízení. Ověřte, že cílová aplikace vykazuje chování použité v zásadách konfigurace aplikace.

  2. Ověření můžete ověřit prostřednictvím diagnostických protokolů (viz část Diagnostické protokoly níže).

  3. Ověřte to v Centru pro správu Microsoft Intune. V Centru pro správu Microsoft Intune vyberte Aplikace>Všechny aplikace>a vyberte související aplikaci*. Pak v části Monitorování vyberte Stav instalace zařízení: Sestava stavu instalace zařízení monitoruje nejnovější ohlášení u všech zařízení, na která zásady konfigurace cílí. První snímek obrazovky se stavem instalace zařízení

    Dále v Centru pro správu Microsoft Intune vyberte Zařízení>Všechna zařízení>a vybertekonfiguraci aplikace zařízení>. V podokně konfigurace aplikace** se zobrazí všechny přiřazené zásady a jejich stav:

    Snímek obrazovky s konfigurací aplikace

Diagnostické protokoly

Konfigurace iOS/iPadOS na nespravovaných zařízeních

Konfiguraci iOS/iPadOS můžete ověřit pomocí diagnostického protokolu Intune pro nastavení nasazená prostřednictvím zásad konfigurace spravovaných aplikací. Kromě následujících kroků můžete přistupovat k protokolům spravovaných aplikací pomocí Microsoft Edge. Další informace najdete v tématu Použití Microsoft Edge pro iOS a Android pro přístup k protokolům spravovaných aplikací.

  1. Pokud ještě není na zařízení nainstalovaný, stáhněte a nainstalujte Microsoft Edge z App Store. Další informace najdete v tématu Microsoft Intune chráněných aplikací.

  2. Spusťte Microsoft Edge a do pole adresa zadejte about:intunehelp .

  3. Klikněte na Začínáme.

  4. Klikněte na Sdílet protokoly.

  5. Pomocí libovolné poštovní aplikace odešlete protokol sami sobě, abyste si ho mohli zobrazit na počítači.

  6. Zkontrolujte IntuneMAMDiagnostics.txt v prohlížeči textových souborů.

  7. Vyhledejte ApplicationConfiguration. Výsledky budou vypadat takto:

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
                Value = true;
                }
            );
        }
    

Podrobnosti o konfiguraci aplikace by měly odpovídat zásadám konfigurace aplikací nakonfigurovaným pro vašeho tenanta.

Konfigurace cílové aplikace

Konfigurace iOS/iPadOS na spravovaných zařízeních

Konfiguraci iOS/iPadOS můžete ověřit pomocí protokolu diagnostiky Intune na spravovaných zařízeních pro konfiguraci spravovaných aplikací.

  1. Pokud ještě není na zařízení nainstalovaný, stáhněte a nainstalujte Microsoft Edge z App Store. Další informace najdete v tématu Microsoft Intune chráněných aplikací.
  2. Spusťte Microsoft Edge a do pole adresa zadejte about:intunehelp .
  3. Klikněte na Začínáme.
  4. Klikněte na Sdílet protokoly.
  5. Pomocí libovolné poštovní aplikace odešlete protokol sami sobě, abyste si ho mohli zobrazit na počítači.
  6. Zkontrolujte IntuneMAMDiagnostics.txt v prohlížeči textových souborů.
  7. Vyhledejte AppConfig. Výsledky by měly odpovídat zásadám konfigurace aplikací nakonfigurovaným pro vašeho tenanta.

Konfigurace Androidu na spravovaných zařízeních

Konfiguraci Androidu můžete ověřit pomocí Intune diagnostického protokolu na spravovaných zařízeních pro konfiguraci spravovaných aplikací.

Pokud chcete shromažďovat protokoly ze zařízení s Androidem, musíte vy nebo koncový uživatel stáhnout protokoly ze zařízení prostřednictvím připojení USB (nebo Průzkumník souborů ekvivalentu na zařízení). Tady je postup:

  1. Připojte zařízení s Androidem k počítači pomocí kabelu USB.

  2. V počítači vyhledejte adresář, který má název vašeho zařízení. V adresáři vyhledejte Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

  3. com.microsoft.windowsintune.companyportal Ve složce otevřete složku Soubory a otevřete OMADMLog_0.

  4. Vyhledejte AppConfigHelper zprávy související s konfigurací aplikace. Výsledky budou vypadat podobně jako následující blok dat:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API podpora konfigurace aplikací

K provádění úloh konfigurace aplikací můžete použít Graph API. Podrobnosti najdete v tématu Graph API referenční informace o cílové konfiguraci MAM. Další informace o Intune a Graphu najdete v tématu Práce s Intune v Microsoft Graphu.

Řešení problémů

Použití protokolů k zobrazení konfiguračního parametru

Když protokoly zobrazují parametr konfigurace, který se potvrdil, že se používá, ale zdá se, že nefunguje, může být problém s implementací konfigurace vývojářem aplikace. Když se nejdřív obraťte na vývojáře aplikace nebo zkontrolujete jeho znalostní báze, může vám to ušetřit volání podpory s Microsoftem. Pokud se jedná o problém s tím, jak se konfigurace zpracovává v rámci aplikace, bude nutné ho vyřešit v budoucí aktualizované verzi této aplikace.

Další kroky

Spravovaná zařízení

Spravované aplikace