为托管 Android Enterprise 设备添加应用配置策略

Microsoft Intune 中的应用配置策略可为托管 Android Enterprise 设备上的托管 Google Play 应用提供设置。 应用开发人员可公开 Android 托管应用配置设置。 Intune 使用这些公开的设置来支持管理员配置应用的功能。 应用配置策略会分配给用户组。 当应用检查这些策略（通常是第一次运行应用）时，将使用策略设置。

并非每个应用都支持应用配置。 请与应用开发人员联系，以查看其应用是否支持应用配置策略。

注意

此要求不适用于 Microsoft Teams Android 设备，因为将这些设备将继续受支持。

对于通过托管应用应用配置策略提供的 Intune 应用保护策略和应用配置，Intune 需要 Android 9.0 或更高版本。

电子邮件应用

Android Enterprise 提供了多种注册方法。 注册类型取决于如何在设备上配置电子邮件：

• 在 Android Enterprise 完全托管、专用和公司自有工作配置文件上，使用应用配置策略和本文中的步骤。 应用配置策略支持 Gmail 和 Nine Work 电子邮件应用。
• 在包含工作配置文件的 Android Enterprise 个人自有设备上，创建 Android Enterprise 电子邮件设备配置文件。 创建配置文件时，可以为支持应用配置策略的电子邮件客户端配置设置。 使用配置设计器时，Intune 包括特定于 Gmail 和 Nine Work 应用的电子邮件设置。

创建应用配置策略

1. 登录到 Microsoft Intune 管理中心。

2. 选择“应用”>“应用配置策略”>“添加”>“托管设备”。 请注意，你可以在“托管设备”和“托管应用”之间进行选择。 有关详细信息，请参阅支持应用配置的应用。

3. 在“基本信息”页上，设置以下详细信息：

   • “名称”- 显示在门户中的配置文件的名称。
   • “说明”- 显示在门户中的配置文件的说明。
   • “设备注册类型”- 将此设置设为“托管设备”。

4. 选择“Android Enterprise”作为“平台”。

5. 单击“目标应用”旁边的“选择应用”。 此时会显示“关联的应用”窗格。

6. 在“关联的应用”窗格中，选择要与配置策略关联的托管应用，然后单击“确定”。

7. 单击“下一步”以显示“设置”页面。

8. 单击“添加”以显示“添加权限”窗格。

9. 单击要替代的权限。 所授予的权限将替代所选应用的“默认应用权限”策略。

10. 设置每个权限的“权限状态”。 可以在“提示”、“自动授予”或“自动拒绝”中进行选择。

    注意

    从 Android 12 开始，公司拥有的工作配置文件或公司拥有的专用设备不支持为以下权限配置 自动授予 。

    • 短信 (读取)
    • 位置访问 (粗略)
    • 位置访问 ()
    • 照相机
    • 录音
    • 允许人体传感器数据
    • 后台位置

11. 如果托管应用支持配置设置，则会显示“配置设置格式”下拉框。 选择以下方法之一以添加配置信息：

    • “使用配置设计器”
    • 输入 JSON 数据

    有关使用配置设计器的详细信息，请参阅使用配置设计器。 有关输入 XML 数据的详细信息，请参阅输入 JSON 数据。

12. 如果需要支持用户跨工作和个人配置文件连接目标应用，请选择“已连接的应用”旁边的“启用”。

    

    注意

    此设置仅适用于个人自有工作配置文件和公司自有工作配置文件设备。

    将“连接的应用”设置更改为“未配置”不会从设备中移除配置策略。 要从设备中移除“连接的应用”功能，必须取消分配相关的配置策略。

13. 单击“下一步”以显示“作用域标记”页面。

14. [可选] 可以为应用配置策略配置范围标记。 有关范围标记的详细信息，请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。

15. 单击“下一步”以显示“分配”页面。

16. 在“分配给”旁边的下拉框中，可以选择“添加组”、“添加所有用户”或“添加所有设备”以分配应用配置策略。 选择分配组后，可以选择筛选器，以便在为托管设备部署应用配置策略时优化分配范围。

    

17. 在下拉框中选择“所有用户”。

    

18. [可选] 单击“编辑筛选器”以添加筛选器并优化分配范围。

    

19. 单击“选择要排除的组”以显示相关窗格。

20. 选择要排除的组，然后单击“选择”。

    注意

    添加组时，如果给定分配类型中已包含任何其他组，则会预先选择该组，并且对于其他包含分配类型是不可更改的。 因此，不能将已使用的该组用作排除组。

21. 单击“下一步”以显示“查看 + 创建”页。

22. 单击“创建”以将应用配置策略添加到 Intune。

使用配置设计器

如果应用设计为支持配置设置，则可以将配置设计器用于托管 Google Play 应用。 配置适用于已在 Intune 中注册的设备。 使用设计器，可以为应用公开的设置配置特定的配置值。

1. 选择“添加”。 选择要为应用输入的配置设置列表。

   如果使用的是 Gmail 或 Nine Work 电子邮件应用，则要配置电子邮件的 Android Enterprise 设备设置可提供有关这些特定设置的详细信息。

2. 对于配置中的每个键和值，请设置：

   • 值类型：配置值的数据类型。 对于字符串值类型，可以选择变量或证书配置文件作为值类型。 请注意，创建策略后，这些值类型将显示为字符串。
   • 配置值：配置的值。 如果为“值类型”选择变量或证书，请从变量或证书配置文件列表中进行选择。 如果选择证书，则会在运行时填充已部署到设备的证书的证书别名。

配置值支持的变量

如果选择变量作为值类型，则可以选择以下选项：

选项	示例
Microsoft Entra 设备 ID	dc0dc142-11d8-4b12-bfea-cae2a8514c82
帐户 ID	fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune 设备 ID	b9841cd9-9843-405f-be28-b2265c59ef97
Domain	contoso.com
邮件	john@contoso.com
部分 UPN	john
用户 ID	3ec2c00f-b125-4519-acf0-302ac3761822
用户名	John Doe
用户主体名称	john@contoso.com

仅允许使用应用中配置的组织帐户

作为 Microsoft Intune 管理员，可以控制将哪些工作或学校帐户添加到托管设备上的 Microsoft 应用。 可以将访问限制为仅允许的组织用户帐户，并阻止已注册设备上的个人帐户。 对于 Android 设备，请在托管设备应用配置策略中使用以下键/值对：

键	com.microsoft.intune.mam.AllowedAccountUPNs
值	一个或多个以 ; 分隔的 UPN。 仅允许的账户是此密钥定义的托管用户账户。 对于已注册 Intune 的设备，可以使用 {{userprincipalname}} 令牌表示已注册的用户帐户。

注意

以下应用可处理上述应用配置，并且仅允许使用组织帐户：

• 适用于 Android 的 Copilot（28.1.420328045 及更高版本）
• 适用于 Android 的 Edge（42.0.4.4048 及更高版本）
• 适用于 Android 的 Office、Word、Excel、PowerPoint（16.0.9327.1000 及更高版本）
• OneDrive for Android（5.28 及更高版本）
• OneNote for Android（16.0.13231.20222 或更高版本）
• Outlook for Android（2.2.222 及更高版本）
• 适用于 Android 的 Teams（1416/1.0.0.2020073101 及更高版本）

输入 JSON 数据

无法使用配置设计器配置应用（例如具有捆绑包类型的应用）上的某些配置设置。 请对这些值使用 JSON 编辑器。 安装应用时，系统会自动向应用提供设置。

1. 对于“配置设置格式”，请选择“输入 JSON 编辑器”。
2. 在编辑器中，可以为配置设置定义 JSON 值。 可以选择“下载 JSON 模板”来下载随后可以配置的示例文件。
3. 选择“确定”，然后选择“添加”。

策略已创建并显示在列表中。

当分配的应用在设备上运行时，它将使用你在应用配置策略中配置的设置运行。

启用连接的应用

应用于：
Android 11+

个人自有工作配置文件用户必须具有公司门户版本 5.0.5291.0 或更高版本。 公司自有工作配置文件用户不需要特定版本的 Microsoft Intune 应用即可获得支持。

可以允许使用 Android 个人自有和公司自有工作配置文件的用户为受支持的应用启用连接的应用体验。 通过此应用配置设置，应用能够跨工作和个人应用实例连接和集成应用数据。

对于要提供此体验的应用，该应用需要与 Google 的已连接应用 SDK 集成，因此只有有限的应用支持它。 你可以主动打开连接的应用设置，然后在应用添加支持后，用户将能够启用连接的应用体验。

将“连接的应用”设置更改为“未配置”不会从设备中移除配置策略。 要从设备中移除“连接的应用”功能，必须取消分配相关的配置策略。

警告

如果为应用启用连接的应用功能，则个人应用中的工作数据将不受应用保护策略的保护。

此外，无论连接的应用配置如何，一些 OEM 可能会自动连接某些应用，或者能够请求用户批准以连接未配置的应用。 在这种情况下，应用的一个示例可能是 OEM 的键盘应用。

启用连接的应用设置后，用户可以通过两种方式连接工作和个人应用：

1. 支持的应用可以选择提示用户批准跨配置文件连接它。
2. 用户可以打开“设置”应用并转到“已连接的工作和个人应用”部分，他们将在其中看到列出的所有受支持的应用。

重要

如果为面向同一设备的同一应用分配了多个应用配置策略，并且一个策略将“已连接的应用”设置为 Enabled，而另一个策略没有设置，则应用配置将会报告冲突，并且在设备上应用的结果行为将是禁止使用已连接的应用。

预配置应用的权限授予状态

还可以预配置应用权限以访问 Android 设备功能。 默认情况下，需要设备权限（例如对位置或设备相机的访问权限）的 Android 应用会提示用户接受或拒绝权限。

例如，应用会使用设备的麦克风。 系统会提示用户授予应用使用麦克风的权限。

1. 在 Microsoft Intune 管理中心内，选择“应用”>“应用配置策略”>“添加”>“托管设备”。
2. 添加下列属性：
   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，一个好的策略名称是面向整个公司的 Android Enterprise 提示权限应用策略。
   • 说明。 输入配置文件的说明。 此设置是可选的，但建议进行。
   • “设备注册类型”：将此设置设为“托管设备”。
   • 平台：选择“Android Enterprise”。
3. 选择“配置文件类型”：
4. 选择“目标应用”。 选择要将配置策略与之关联的应用。 从已批准并已与 Intune 同步的 Android Enterprise 完全托管工作配置文件应用列表中进行选择。
5. 选择“权限”>“添加”。 从列表中，选择可用的应用权限 >“确定”。
6. 为使用此策略授予的每个权限选择一个选项：
   • “提示”。 提示用户接受或拒绝。
   • “自动授予”。 在不通知用户的情况下自动批准。
   • “自动拒绝”。 在不通知用户的情况下自动拒绝。
7. 要分配应用配置策略，请选择应用配置策略 >“分配”>“选择组”。 选择要分配的用户组 >“选择”。
8. 选择“保存”以分配策略。

其他信息

• 将托管 Google Play 应用分配给 Android Enterprise 个人自有和公司自有工作配置文件设备
• 部署 Outlook for iOS/iPadOS 和 Android 应用配置设置

后续步骤

继续分配并监视该应用。