为托管iOS/iPadOS 设备添加应用配置策略

使用 Microsoft Intune 中的应用配置策略向 iOS/iPadOS 应用提供自定义配置设置。 借助这些配置设置,可根据应用供应商指令自定义应用。 必须从应用的供应商处获取这些配置设置(键和值)。 要配置应用,请将设置指定为键和值,或指定为包含键和值的 XML。

作为 Microsoft Intune 管理员,可以控制将哪些用户帐户添加到托管设备上的 Microsoft 365 (Office) 应用程序。 可以将访问限制为仅允许的组织用户帐户,并阻止已注册设备上的个人帐户。 支持的应用程序可处理应用配置,并移除和阻止未批准的帐户。 当应用检查这些设置(通常是第一次运行应用)时,将使用配置策略设置。

添加应用配置策略后,即可设置应用配置策略的分配。 设置策略的分配时,可以选择使用筛选器,以及包括和排除应用策略的用户组。 选择包含一个或多个组时,可以选择要包含的特定组或选择内置组。 内置组包括 所有用户所有设备所有用户 + 所有设备

注意

为方便起见,Intune 在具有内置优化的控制台中提供了预先创建的“所有用户”和“所有设备”组。 强烈建议使用这些组来面向所有用户和所有设备,而不是你可能已自行创建的任何“所有用户”或“所有设备”组。

为应用程序配置策略选择包含的组后,还可以选择要排除的特定组。 有关详细信息,请参阅在 Microsoft Intune 中包括和排除应用分配

提示

此策略类型目前仅适用于运行 iOS/iPadOS 8.0 及更高版本的设备。 它支持以下应用安装类型:

  • 来自应用商店的托管 iOS/iPadOS 应用
  • 适用于 iOS 的应用包

有关应用安装类型的详细信息,请参阅如何将应用添加到 Microsoft Intune。 有关将应用配置合并到托管设备的 .ipa 应用包中的详细信息,请参阅 iOS 开发人员文档中的托管应用配置。

创建应用配置策略

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“应用”>“应用配置策略”>“添加”>“托管设备”。 请注意,你可以在“托管设备”和“托管应用”之间进行选择。 有关详细信息,请参阅支持应用配置的应用

  3. 在“基本信息”页上,设置以下详细信息:

    • 名称”- 显示在 Microsoft Intunen 管理中心的配置文件的名称。
    • 说明”- 显示在 Microsoft Intune 管理中心的配置文件的说明。
    • 设备注册类型”- 将此设置设为“托管设备”。
  4. 选择“iOS/iPadOS”作为“平台”。

  5. 单击“目标应用”旁边的“选择应用”。 此时会显示“关联的应用”窗格。

  6. 在“目标应用”窗格中,选择要与配置策略关联的托管应用,然后单击“确定”。

  7. 单击“下一步”以显示“设置”页面。

  8. 在下拉框中,选择“配置设置格式”。 选择以下方法之一以添加配置信息:

    • 使用配置设计器
    • 输入 XML 数据

      有关使用配置设计器的详细信息,请参阅使用配置设计器。 有关输入 XML 数据的详细信息,请参阅输入 XML 数据
  9. 单击“下一步”以显示“作用域标记”页面。

  10. [可选] 可以为应用配置策略配置范围标记。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

  11. 单击“下一步”以显示“分配”页面。

  12. 在“分配”页上,选择“添加组”、“添加所有用户”或“添加所有设备”以分配应用配置策略。 选择分配组后,可以选择筛选器,以便在为托管设备部署应用配置策略时优化分配范围。

    配置策略分配页的屏幕截图

  13. 在下拉框中选择“所有用户”。

    策略分配的屏幕截图 -“所有用户”下拉列表选项

  14. [可选] 单击“编辑筛选器”以添加筛选器并优化分配范围。

    策略分配的屏幕截图 - 编辑筛选器

  15. 单击“选择要排除的组”以显示相关窗格。

  16. 选择要排除的组,然后单击“选择”。

    注意

    添加组时,如果给定分配类型中已包含任何其他组,则会预先选择该组,并且对于其他包含分配类型是不可更改的。 因此,不能将已使用的该组用作排除组。

  17. 单击“下一步”以显示“查看 + 创建”页。

  18. 单击“创建”以将应用配置策略添加到 Intune。

使用配置设计器

Microsoft Intune 提供对应用唯一的配置设置。 可以将配置设计器用于已在 Microsoft Intune 中注册或未在其中注册的设备上的应用。 借助设计器,可以配置特定的配置键和值,以帮助你创建基础 XML。 还必须为每个值指定数据类型。 安装应用时,这些设置会自动提供给应用。

添加设置

  1. 对于配置中的每个键和值,请设置:
    • 配置键 - 唯一标识特定设置配置的区分大小写的键。
    • 值类型 - 配置值的数据类型。 类型包括整数、实数、字符串或布尔。
    • 配置值 - 配置的值。
  2. 选择“确定”以设置配置设置。

删除设置

  1. 选择设置旁边的省略号 (...)。
  2. 选择“删除”。

{{ and }} 字符仅由令牌类型使用,不得用于其他目的。

仅允许使用应用中配置的组织帐户

作为 Microsoft Intune 管理员,可以控制将哪些工作或学校帐户添加到托管设备上的 Microsoft 应用。 可以将访问限制为仅限允许的组织用户帐户,并阻止已注册设备上应用中的个人帐户(如果支持)。 对于 iOS/iPadOS 设备,请在托管设备应用配置策略中使用以下键/值对:

IntuneMAMAllowedAccountsOnly
  • 已弃用”:唯一允许使用的帐户是由 IntuneMAMUPN 键定义的托管用户帐户。
  • 已禁用”(或者在不区分大小写情况下与“已启用”不匹配的任何值):允许使用任何帐户。
IntuneMAMUPN
  • 允许登录到应用中的帐户的 UPN。
  • 对于已注册 Intune 的设备,可以使用 {{userprincipalname}} 令牌表示已注册的用户帐户。
IntuneMAMOID
  • 允许登录应用的帐户的用户对象 ID。
  • 对于已注册Intune设备,{{userid}} 令牌可用于表示已注册的用户帐户。

注意

为某些启用了 MAM 的应用自动配置 IntuneMAMUPNIntuneMAMOID 配置密钥,有关详细信息,请参阅设备管理类型

注意

以下应用可处理上述应用配置,并且仅允许使用组织帐户:

  • 适用于 iOS 的 Copilot(28.1.420324001 及更高版本)
  • 适用于 iOS 的 Edge(44.8.7 及更高版本)
  • 适用于 iOS 的 Office、Word、Excel、PowerPoint(2.41 及更高版本)
  • 适用于 iOS 的 OneDrive(10.34 及更高版本)
  • 适用于 iOS 的 OneNote(2.41 及更高版本)
  • 适用于 iOS 的 Outlook(2.99.0 及更高版本)
  • 适用于 iOS 的 Teams(2.0.15 及更高版本)

需要应用中已配置的组织帐户

在已注册的设备上,组织可以要求将工作或学校帐户登录到托管 Microsoft 应用,以便从其他托管应用接收组织数据。 例如,考虑用户在位于本机 iOS 邮件客户端的托管电子邮件配置文件中包含的电子邮件中包含附件的情况。 如果用户尝试将附件传输到在设备上托管并已应用这些键的 Microsoft 应用(如 Office),则此配置会将传输的附件视为组织数据,从而要求登录工作或学校帐户并强制实施应用保护策略设置。

对于 iOS/iPadOS 设备,请在每个 Microsoft 应用的托管设备应用配置策略中使用以下键/值对:

IntuneMAMRequireAccounts
  • 已启用:应用要求用户登录由 IntuneMAMUPN 键定义的托管用户帐户以接收组织数据。
  • 已禁用(或在不区分大小写的情况下与“已启用”不匹配的任何值):无需帐户登录
IntuneMAMUPN
  • 允许登录到应用中的帐户的 UPN。
  • 对于已注册 Intune 的设备,可以使用 {{userprincipalname}} 令牌表示已注册的用户帐户。

注意

应用必须具有适用于 iOS 的 Intune APP SDK 版本 12.3.3 或更高版本,并且在要求登录工作或学校帐户时,必须成为 Intune 应用保护策略的目标。 在应用保护策略中,必须将“接收来自其他应用的数据”设置为“具有传入组织数据的所有应用”。

目前,仅当目标应用具有传入的组织数据时,才需要进行应用登录。

输入 XML 数据

可以键入或粘贴 XML 属性列表,其中包含面向已在 Intune 中注册的设备的应用配置设置。 XML 属性列表的格式因所配置的应用而异。 有关要使用的确切格式的详细信息,请联系应用的供应商。

Intune 可验证 XML 格式。 但 Intune 不会检查 XML 属性列表 (PList) 是否适用于目标应用。

要了解有关 XML 属性列表的详细信息,请:

应用配置 XML 文件的示例格式

创建应用配置文件时,可以使用此格式指定以下一个或多个值:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

支持的 XML PList 数据类型

Intune 支持属性列表中的以下数据类型:

  • <整数>
  • <实数>
  • <字符串>
  • <数组>
  • <dict>
  • <true /> 或 <false />

属性列表中使用的令牌

此外,Intune 还支持在属性列表中使用以下令牌类型:

  • {{userprincipalname}} - 例如,John@contoso.com
  • {{mail}} - 例如,John@contoso.com
  • {{partialupn}} - 例如,John
  • {{accountid}} - 例如,fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} - 例如,b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}} - 例如,3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}} - 例如,John Doe
  • {{serialnumber}} - 例如,F4KN99ZUG5V2(适用于 iOS/iPadOS 设备)
  • {{serialnumberlast4digits}} - 例如,G5V2(适用于 iOS/iPadOS 设备)
  • {{aaddeviceid}} - 例如,ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} - 例如,True(适用于 iOS/iPadOS 设备)
  • {{OnPremisesSamAccountName}} - 例如,contoso\John

配置公司门户应用,以支持通过自动设备注册进行注册的 iOS 和 iPadOS 设备。

默认情况下,Apple 的自动设备注册与公司门户应用的应用商店版本不兼容。 但可以将公司门户应用配置为支持 iOS/iPadOS ADE 设备,即使用户已使用以下步骤从 App Store 下载了公司门户也是如此。

  1. Microsoft Intune 管理中心内,通过转到“应用”>“全部应用”>“添加”>“iOS Store 应用”来添加Intune 公司门户应用(如果尚未添加)。

  2. 转到“应用”>“应用配置策略”,以便为公司门户应用创建应用配置策略。

  3. 使用以下 XML 创建应用配置策略。 有关如何创建应用配置策略并输入 XML 数据的详细信息,可访问为托管 iOS/iPadOS 设备添加应用配置策略

    • 在已通过用户相关性注册的自动设备注册 (ADE) 设备上使用公司门户

      注意

      当注册配置文件将“安装公司门户”设置为“是”时,Intune 会在初始注册过程中自动推送下面的应用程序配置策略。 不应将此配置手动部署到用户或设备,因为这将导致与在注册期间发送的有效负载发生冲突,从而导致最终用户在登录到公司门户后,需要下载新的管理配置文件(此时不应执行此操作,因为这些设备上已安装了管理配置文件)。

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • 在未通过用户相关性注册的 ADE 设备(也称为设备暂存)上使用公司门户

      注意

      登录到公司门户的用户将会设置为设备的主要用户。

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. 将公司门户部署到具有以所需组为目标的应用配置策略的设备。 请确保仅将策略部署到已注册 ADE 的设备组。

  5. 自动安装公司门户应用时,告知最终用户登录该应用。

注意

添加应用配置,以允许在没有用户相关性的情况下在 ADE 设备上使用公司门户应用时,可能会遇到 STATE Policy Error。 与其他应用配置不同,这种情况并不适用于每次设备签入。 相反,此应用配置属于一次性操作,其目的是在用户登录到公司门户时,支持在没有用户相关性的情况下注册的现有设备获得设备相关性。 成功应用此应用配置后,将在后台从策略中将其移除。 策略分配将会存在,但在后台移除该应用配置后,它不会报告“成功”。 应用配置策略应用于设备后,可以立即取消分配策略。

监视每个设备的 iOS/iPadOS 应用配置状态

分配了配置策略后,可以监视每台托管设备的 iOS/iPadOS 应用配置状态。 在 Microsoft Intune 管理中心Microsoft Intune 中,选择“设备”>“全部设备”。 从托管设备列表中,选择特定设备以显示该设备的窗格。 在设备窗格中,选择“应用配置”。

其他信息

后续步骤

继续分配监视该应用。