Udostępnij za pośrednictwem


Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS

Użyj zasad konfiguracji aplikacji w usłudze Microsoft Intune w celu zapewnienia niestandardowych ustawień konfiguracji aplikacji dla systemu iOS/iPadOS. Te ustawienia konfiguracji umożliwiają dostosowywanie aplikacji na podstawie kierunku dostawców aplikacji. Musisz uzyskać te ustawienia konfiguracji (klucze i wartości) od dostawcy aplikacji. Aby skonfigurować aplikację, określasz ustawienia jako klucze i wartości lub jako plik XML zawierający klucze i wartości.

Jako administrator usługi Microsoft Intune możesz kontrolować, które konta użytkowników są dodawane do aplikacji Microsoft 365 (pakiet Office) na zarządzanych urządzeniach. Dostęp możesz ograniczyć tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste na zarejestrowanych urządzeniach. Aplikacje pomocnicze przetwarzają konfigurację aplikacji oraz usuwają i blokują niezatwierdzone konta. Ustawienia zasad konfiguracji są używane, gdy aplikacja je sprawdza, zazwyczaj przy pierwszym uruchomieniu.

Po dodaniu zasad konfiguracji aplikacji możesz ustawić przypisania dla zasad konfiguracji aplikacji. Po ustawieniu przypisań dla zasad możesz wybrać użycie filtru oraz dołączanie i wykluczenie grup użytkowników, dla których zasady mają zastosowanie. Jeśli zdecydujesz się dołączyć co najmniej jedną grupę, możesz wybrać określone grupy do dołączenia lub wybrać grupy wbudowane. Wbudowane grupy obejmują Wszyscy użytkownicy, Wszystkie urządzenia i Wszyscy użytkownicy + Wszystkie urządzenia.

Uwaga

Usługa Intune udostępnia wstępnie utworzone grupy Wszyscy użytkownicy i Wszystkie urządzenia w konsoli z wbudowanymi optymalizacjami dla Twojej wygody. Zdecydowanie zaleca się używanie tych grup do objęcia wszystkich użytkowników i wszystkich urządzeń zamiast grup „Wszyscy użytkownicy” lub „Wszystkie urządzenia”, które mogły zostać utworzone samodzielnie.

Po wybraniu dołączonych grup dla zasad konfiguracji aplikacji możesz również wybrać określone grupy do wykluczenia. Aby uzyskać więcej informacji, zobacz artykuł Dołączanie i wykluczanie przypisań aplikacji w usłudze Microsoft Intune.

Porada

Ten typ zasad jest obecnie dostępny tylko dla urządzeń z systemem iOS/iPadOS 8.0 lub nowszym. Obsługuje ona następujące typy instalacji aplikacji:

  • Zarządzana aplikacja systemu iOS/iPadOS ze sklepu z aplikacjami
  • Pakiet aplikacji dla systemu iOS

Aby uzyskać więcej informacji na temat typów instalacji aplikacji, zobacz Jak dodać aplikację do usługi Microsoft Intune. Aby uzyskać więcej informacji na temat włączania konfiguracji aplikacji do pakietu aplikacji .ipa dla urządzeń zarządzanych, zobacz sekcję Konfiguracja aplikacji zarządzanych w dokumentacji dla deweloperów systemu iOS.

Tworzenie zasad konfiguracji aplikacji

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz kolejno pozycje Aplikacje>Zasady konfiguracji aplikacji>Dodaj>Urządzenia zarządzane. Pamiętaj, że możesz wybierać między Urządzeniami zarządzanymi a Aplikacjami zarządzanymi. Aby uzyskać więcej informacji zobacz sekcję Aplikacje obsługujące konfigurację aplikacji.

  3. Na stronie Podstawy skonfiguruj następujące szczegóły:

    • Nazwa — Nazwa profilu wyświetlanego w centrum administracyjnym usługi Microsoft Intune.
    • Opis — Opis profilu, który jest wyświetlany w centrum administracyjnym usługi Microsoft Intune.
    • Typ rejestracji urządzenia — To ustawienie jest ustawione na opcję Urządzenia zarządzane.
  4. Wybierz pozycję iOS/iPadOS jako platformę.

  5. Kliknij pozycję Wybierz aplikację obok pozycji Aplikacja docelowa. Zostanie wyświetlone okienko Aplikacja skojarzona.

  6. W okienku Aplikacja docelowa wybierz aplikację zarządzaną do skojarzenia z zasadami konfiguracji, a następnie kliknij przycisk OK.

  7. Kliknij przycisk Dalej, aby wyświetlić stronę Ustawienia.

  8. W polu listy rozwijanej wybierz format ustawień konfiguracji. Wybierz jedną z następujących metod dodawania informacji o konfiguracji:

    • Korzystanie z projektanta konfiguracji
    • Wprowadzanie danych XML

      Aby uzyskać szczegółowe informacje na temat korzystania z projektanta konfiguracji, zobacz sekcję Korzystanie z projektanta konfiguracji. Aby uzyskać szczegółowe informacje na temat wprowadzania danych XML, zobacz sekcję Wprowadzanie danych XML.
  9. Kliknij przycisk Dalej, aby wyświetlić stronę Tagi zakresu.

  10. [Opcjonalnie] Możesz skonfigurować tagi zakresu dla zasad konfiguracji aplikacji. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.

  11. Kliknij przycisk Dalej, aby wyświetlić stronę Przypisania.

  12. Na stronie Przypisania wybierz pozycję Dodaj grupy, Dodaj wszystkich użytkowników lub Dodaj wszystkie urządzenia, aby przypisać zasady konfiguracji aplikacji. Po wybraniu grupy przypisań możesz wybrać filtr w celu uściślenia zakresu przypisania podczas wdrażania zasad konfiguracji aplikacji dla urządzeń zarządzanych.

    Zrzut ekranu przedstawiający stronę przypisań zasad konfiguracji

  13. Wybierz opcję Wszyscy użytkownicy w polu listy rozwijanej.

    Zrzut ekranu przedstawiający przypisywanie zasad - opcja listy rozwijanej Wszyscy użytkownicy

  14. [Opcjonalnie] Kliknij pozycję Edytuj filtr, aby dodać filtr i uściślić zakres przypisania.

    Zrzut ekranu przedstawiający przypisywanie zasad — Edytuj filtr

  15. Kliknij pozycję Wybierz grupy do wykluczenia, aby wyświetlić powiązane okienko.

  16. Wybierz grupy, które chcesz wykluczyć, a następnie kliknij przycisk Wybierz.

    Uwaga

    Podczas dodawania grupy, jeśli jakakolwiek inna grupa została już dołączona dla danego typu przypisania, jest ona wstępnie wybrana i nie można jej zmienić dla innych typów przypisania dołączania. W związku z tym ta grupa, która została użyta, nie może być użyta jako grupa wykluczona.

  17. Kliknij przycisk Dalej, aby wyświetlić stronę Recenzja i tworzenie.

  18. Kliknij pozycję Utwórz, aby dodać zasady konfiguracji aplikacji do usługi Intune.

Korzystanie z projektanta konfiguracji

Usługa Microsoft Intune udostępnia ustawienia konfiguracji, które są unikatowe dla aplikacji. Możesz używać projektanta konfiguracji dla aplikacji na urządzeniach, które są zarejestrowane lub nie są zarejestrowane w usłudze Microsoft Intune. Projektant umożliwia skonfigurowanie określonych kluczy i wartości konfiguracji, które ułatwiają tworzenie bazowego pliku XML. Musisz także określić typ danych dla każdej wartości. Te ustawienia są dostarczane do aplikacji automatycznie po zainstalowaniu aplikacji.

Dodawanie ustawienia

  1. Dla każdego klucza i wartości w konfiguracji ustaw:
    • Klucz konfiguracji — Klucz uwzględniający wielkość liter, który jednoznacznie identyfikuje konfigurację określonego ustawienia.
    • Typ wartości — Typ danych wartości konfiguracji. Typy obejmują liczbę całkowitą, rzeczywistą, ciąg lub wartość logiczną.
    • Wartość konfiguracji — Wartość konfiguracji.
  2. Wybierz przycisk OK, aby zapisać ustawienia konfiguracji.

Usuwanie ustawienia

  1. Wybierz wielokropek (...) obok ustawienia.
  2. Wybierz pozycję Usuń.

Znaki {{ and }} są używane tylko przez typy tokenów i nie mogą być używane do innych celów.

Zezwalaj tylko na skonfigurowane konta organizacji w aplikacjach

Jako administrator usługi Microsoft Intune możesz kontrolować, które konta służbowe są dodawane do aplikacji firmy Microsoft na zarządzanych urządzeniach. Możesz ograniczyć dostęp tylko do dozwolonych kont użytkowników organizacji i zablokować konta osobiste w aplikacjach (jeśli są obsługiwane) na zarejestrowanych urządzeniach. W przypadku urządzeń z systemem iOS/iPadOS użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane:

Klucz Wartości
IntuneMAMAllowedAccountsOnly
  • Włączone: Jedynym dozwolonym kontem jest zarządzane konto użytkownika zdefiniowane za pomocą klucza IntuneMAMUPN.
  • Wyłączone (lub dowolna wartość, która nie stanowi dopasowania do opcji Włączone bez uwzględniania wielkości liter): Dozwolone jest dowolne konto.
IntuneMAMUPN
  • Nazwa UPN konta, które może się zalogować do aplikacji.
  • W przypadku urządzeń zarejestrowanych w usłudze Intune token {{userprincipalname}} może służyć do reprezentowania zarejestrowanego konta użytkownika.
IntuneMAMOID
  • Identyfikator obiektu użytkownika konta, który może zalogować się do aplikacji.
  • W przypadku Intune zarejestrowanych urządzeń token {{userid}} może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Klucze konfiguracji IntuneMAMUPN i IntuneMAMOID są automatycznie konfigurowane dla niektórych aplikacji z obsługą zarządzania aplikacjami mobilnymi. Aby uzyskać więcej informacji, zobacz typy Zarządzanie urządzeniami.

Uwaga

Następujące aplikacje przetwarzają powyższą konfigurację aplikacji i zezwalają tylko na konta organizacji:

  • Copilot dla systemu iOS (28.1.420324001 i nowsze)
  • Przeglądarka Edge dla systemu iOS (44.8.7 i nowsze)
  • Office, Word, Excel, PowerPoint dla systemu iOS (2.41 i nowsze)
  • OneDrive dla systemu iOS (10.34 i nowsze)
  • OneNote dla systemu iOS (2.41 i nowsze)
  • Outlook dla systemu iOS (2.99.0 i nowsze)
  • Teams for iOS (2.0.15 i nowsze)

Wymagaj skonfigurowanych kont organizacji w aplikacjach

Na zarejestrowanych urządzeniach organizacje mogą wymagać, aby konto służbowe było zalogowane do zarządzanych aplikacji firmy Microsoft w celu otrzymywania danych organizacji z innych zarządzanych aplikacji. Rozważmy na przykład scenariusz, w którym użytkownik ma załączniki dołączone do wiadomości e-mail zawartych w zarządzanym profilu poczty e-mail znajdującym się w natywnym kliencie poczty systemu iOS. Jeśli użytkownik spróbuje przenieść załączniki do aplikacji firmy Microsoft, takiej jak aplikacja pakietu Office, która jest zarządzana na urządzeniu i ma zastosowane te klucze, wówczas ta konfiguracja będzie traktować przenoszony załącznik jako dane organizacji, wymagając zalogowania się na konto służbowe i egzekwując ustawienia zasad ochrony aplikacji.

W przypadku urządzeń z systemem iOS/iPadOS użyj następujących par klucz/wartość w zasadach konfiguracji aplikacji Urządzenia zarządzane dla każdej aplikacji firmy Microsoft:

Klucz Wartości
IntuneMAMRequireAccounts
  • Włączone: Aplikacja wymaga od użytkownika zalogowania się do zarządzanego konta użytkownika zdefiniowanego przez klucz IntuneMAMUPN w celu odebrania danych organizacji.
  • Wyłączone (lub dowolna wartość, która nie stanowi dopasowania do opcji Włączone bez uwzględniania wielkości liter): Nie jest wymagane logowanie do konta
IntuneMAMUPN
  • Nazwa UPN konta, które może się zalogować do aplikacji.
  • W przypadku urządzeń zarejestrowanych w usłudze Intune token {{userprincipalname}} może służyć do reprezentowania zarejestrowanego konta użytkownika.

Uwaga

Aplikacje muszą mieć zestaw SDK aplikacji usługi Intune dla systemu iOS w wersji 12.3.3 lub nowszej i być objęte zasadami ochrony aplikacji usługi Intune w przypadku konieczności logowania się do konta służbowego. W ramach zasad ochrony aplikacji opcja „Odbieraj dane z innych aplikacji” musi być ustawiona na „Wszystkie aplikacje z przychodzącymi danymi organizacji”.

Obecnie logowanie do aplikacji jest wymagane tylko wtedy, gdy do aplikacji docelowej przychodzą dane organizacji.

Wprowadzanie danych XML

Możesz wpisać lub wkleić listę właściwości XML zawierającą ustawienia konfiguracji aplikacji dla urządzeń zarejestrowanych w usłudze Intune. Format listy właściwości XML różni się w zależności od konfigurowanej aplikacji. Aby uzyskać szczegółowe informacje o dokładnym formacie do użycia, skontaktuj się z dostawcą aplikacji.

Usługa Intune weryfikuje format XML. Usługa Intune nie sprawdza jednak, czy lista właściwości XML (PList) działa z aplikacją docelową.

Aby dowiedzieć się więcej o listach właściwości XML:

Przykładowy format pliku XML konfiguracji aplikacji

Podczas tworzenia pliku konfiguracji aplikacji możesz określić co najmniej jedną z następujących wartości przy użyciu tego formatu:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Obsługiwane typy danych XML PList

Usługa Intune obsługuje następujące typy danych na liście właściwości:

  • <liczba całkowita>
  • <rzeczywista>
  • <ciąg>
  • <tablica>
  • <słownik>
  • <prawda /> lub <fałsz />

Tokeny używane na liście właściwości

Ponadto usługa Intune obsługuje następujące typy tokenów na liście właściwości:

  • {{userprincipalname}} — na przykład John@contoso.com
  • {{mail}} — na przykład John@contoso.com
  • {{partialupn}} — na przykład Jan
  • {{accountid}} — na przykład fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} — na przykład b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}} — na przykład 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}} — na przykład Jan Kowalski
  • {{serialnumber}} — na przykład F4KN99ZUG5V2 (dla urządzeń z systemem iOS/iPadOS)
  • {{serialnumberlast4digits}} — na przykład G5V2 (dla urządzeń z systemem iOS/iPadOS)
  • {{aaddeviceid}} — na przykład ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} — na przykład Prawda (dla urządzeń z systemem iOS/iPadOS)
  • {{OnPremisesSamAccountName}} — na przykład contoso\Jan

Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemami iOS i iPadOS zarejestrowanych przy użyciu funkcji automatycznej rejestracji urządzeń

Automatyczne rejestracje urządzeń firmy Apple nie są domyślnie zgodne z wersją aplikacji Portal firmy dostępną w sklepie z aplikacjami. Możesz jednak skonfigurować aplikację Portal firmy do obsługi urządzeń z systemem iOS/iPadOS ADE nawet wtedy, gdy użytkownicy pobrali aplikację Portal firmy ze sklepu App Store, wykonując poniższe kroki.

  1. W centrum administracyjnym usługi Microsoft Intune dodaj aplikację Portal firmy usługi Intune, jeśli nie została jeszcze dodana, przechodząc do obszaru AplikacjeWszystkie aplikacje>>Dodaj>Aplikacja ze sklepu dla systemu iOS.

  2. Przejdź do obszaru Aplikacje>Zasady konfiguracji aplikacji, aby utworzyć zasady konfiguracji aplikacji dla aplikacji Portal firmy.

  3. Utwórz zasady konfiguracji aplikacji przy użyciu poniższego pliku XML. Więcej informacji o tworzeniu zasad konfiguracji aplikacji i wprowadzaniu danych XML można znaleźć w artykule Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.

    • Korzystanie z aplikacji Portal firmy na urządzeniu z funkcją automatycznej rejestracji urządzeń (ADE) zarejestrowanym z koligacją użytkownika:

      Uwaga

      Gdy profil rejestracji ma wartość „Zainstaluj aplikację Portal firmy” na wartość tak, usługa Intune automatycznie wypycha poniższe zasady konfiguracji aplikacji w ramach początkowego procesu rejestracji. Ta konfiguracja nie powinna być wdrażana ręcznie dla użytkowników lub urządzeń, ponieważ spowoduje to konflikt z ładunkiem już wysłanym podczas rejestracji, w wyniku czego użytkownicy końcowi zostaną poproszeni o pobranie nowego profilu zarządzania po zalogowaniu się do aplikacji Portal firmy (kiedy nie powinni, ponieważ na tych urządzeniach jest już zainstalowany profil zarządzania).

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • Korzystanie z aplikacji Portal firmy na urządzeniu ADE zarejestrowanym bez koligacji użytkownika (znanej również jako Przemieszczanie urządzenia):

      Uwaga

      Użytkownik logujący się do aplikacji Portal firmy jest ustawiony jako użytkownik podstawowy urządzenia.

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. Wdróż aplikację Portal firmy na urządzeniach z zasadami konfiguracji aplikacji przeznaczonymi dla żądanych grup. Pamiętaj, aby wdrożyć zasady tylko dla grup urządzeń, które są już zarejestrowane w funkcji ADE.

  5. Poinformuj użytkowników końcowych, aby zalogowali się do aplikacji Portal firmy, gdy zostanie ona zainstalowana automatycznie.

Uwaga

Po dodaniu konfiguracji aplikacji w celu zezwolenia na korzystanie z aplikacji Portal firmy na urządzeniach ADE bez koligacji użytkownika może wystąpić błąd STATE Policy Error. W przeciwieństwie do innych konfiguracji aplikacji, sytuacja ta nie ma zastosowania za każdym razem, gdy urządzenie się rejestruje. Zamiast tego ta konfiguracja aplikacji ma być jednorazową operacją umożliwiającą istniejącym urządzeniom zarejestrowanym bez koligacji użytkownika uzyskanie koligacji użytkownika, gdy użytkownik zaloguje się do aplikacji Portal firmy. Ta konfiguracja aplikacji zostanie usunięta z zasad w tle po jej pomyślnym zastosowaniu. Przypisanie zasad będzie istnieć, ale nie będzie raportować „powodzenia” po usunięciu konfiguracji aplikacji w tle. Po zastosowaniu zasad konfiguracji aplikacji do urządzenia możesz cofnąć przypisanie zasad.

Monitorowanie stanu konfiguracji aplikacji dla systemu iOS/iPadOS na urządzeniu

Po przypisaniu zasad konfiguracji możesz monitorować stan konfiguracji aplikacji systemu iOS/iPadOS dla każdego zarządzanego urządzenia. W usłudze Microsoft Intune w centrum administracyjnym usługi Microsoft Intune wybierz kolejno pozycje Urządzenia>Wszystkie urządzenia. Z listy urządzeń zarządzanych wybierz określone urządzenie, aby wyświetlić okienko dla urządzenia. W okienku urządzenia wybierz pozycję Konfiguracja aplikacji.

Informacje dodatkowe

Następne kroki

Kontynuuj przypisywanie i monitorowanie aplikacji.