如何配置 Intune 公司门户应用、公司门户网站和 Intune 应用
在公司门户应用、公司门户网站和 Android 上 Intune 应用中,用户可以访问公司数据并执行常见任务。 常见任务可能包括注册设备、安装应用,以及查找信息(如从 IT 部门获得帮助)。 此外,用户还可以安全地访问公司资源。 最终用户体验提供多个不同的页面,例如主页、应用、应用详细信息、设备和设备详细信息。 在应用页面上筛选应用,即可在公司门户内快速查找应用。
注意
公司门户支持 Configuration Manager 应用程序。 借助此功能,最终用户可以在公司门户中同时看到 Configuration Manager 和 Intune 为共同受管理客户部署的应用程序。 这一新版公司门户将为所有共同管理的客户显示部署了 Configuration Manager 的应用。 此支持有助于管理员整合不同的最终用户门户体验。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用。
iOS 公司门户应用支持的最低版本为 v5.2311.1。 如果用户运行的是旧版本,系统会在登录时提示他们进行更新。
自定义用户体验
通过自定义最终用户体验,你将帮助为最终用户提供熟悉且有用的体验。 为此,请以Intune管理员身份登录。 导航到Microsoft Intune管理中心,然后选择“租户管理>自定义”,可在其中编辑默认策略或创建最多 10 个用户组目标策略。 请注意,不支持将策略定向到设备组。 这些设置将适用于公司门户应用、公司门户网站和 Android 上 Intune 应用。
品牌打造
下表提供针对最终用户体验的品牌自定义详细信息:
| 字段名 | 详细信息 |
|---|---|
| 组织名称 | 该名称在最终用户体验的整个消息传送中显示。 还可以使用“在标题中显示”设置将其设置为在标题中显示。 最大长度为 40 个字符。 |
| Color | 选择“标准”可从五种标准颜色中进行选择。 选择 “自定义 ”,根据十六进制代码值选择特定颜色。 |
| 主题颜色 | 设置主题颜色以在整个最终用户体验中显示。 我们会自动将文本颜色设置为黑色或白色,以便在所选主题颜色之上最明显。 |
| 在标题中显示 | 选择最终用户体验中的标头是应显示 组织徽标和名称、 仅组织徽标还是 仅显示组织名称。 下面的预览框将仅显示徽标,而不显示名称。 |
| 上传徽标供主题颜色背景使用 | 上传要在所选主题颜色之上显示的徽标。 为了获得最佳外观,请上传具有透明背景的徽标。 可以在设置下方的预览框中查看此内容的外观。 建议图像高度:72 像素以上 |
| 上传徽标供白色或浅色背景使用 | 上传要在白色或浅色背景上显示的徽标。 为了获得最佳外观,请上传具有透明背景的徽标。 可以在设置下方的预览框中查看白色背景的显示效果。 建议图像高度:72 像素以上 |
| 上传品牌形象 | 上传反映组织品牌的图像。
|
注意
用户从公司门户安装 iOS/iPadOS 应用程序时,将收到提示。 iOS/iPadOS 应用链接到应用商店、批量采购计划 (VPP) 或业务线 (LOB) 应用时,将发生此操作。 用户可通过此提示接受操作,或允许管理应用。 此提示将显示公司名称,公司名称不可用时,将显示公司门户。
品牌形象最佳做法
合适的品牌形象可以表现出组织品牌的强烈意识,从而增强用户对组织的信任。 建议考虑以下用于获取、选择和优化显示位置图像的一些提示。
- 联系市场部或文艺部。 他们可能已经拥有一组被认可的品牌图像。 他们也可以根据需要帮助你优化图像。
- 请同时考虑横向和纵向的构图。 图像背景应足以围绕焦点。 可以基于设备大小、方向和平台对图像进行不同的剪裁。
- 避免使用通用的图库图像。 此图像应体现组织的品牌,并使用户感到熟悉。 如果你没有,那么最好不要使用,这也比使用对用户没有任何意义的通用图像要好。
- 删除不需要的元数据。 图像文件可以附带元数据,例如相机配置文件、地理位置、标题、字幕等。 使用图像优化工具去除此信息,以确保高质量并同时满足文件大小限制。
品牌图像示例
下图显示了 iPhone 上品牌形象的示例:
以下显示了 Android 版 Intune 应用中品牌形象的示例:
)
支持信息
输入组织的支持信息,以便员工可以提出问题。 在整个最终用户体验中,该支持信息将显示在“支持”、“帮助和支持”和“支持人员”页面上。
| 字段名 | 最大长度 | 详细信息 |
|---|---|---|
| 联系人姓名 | 40 | 此名称是用户与支持人员联系时将联系的人员。 |
| 电话号码 | 20 | 用户可以通过此号码致电寻求支持。 |
| 电子邮件地址 | 40 | 用户可以在此电子邮件地址发送电子邮件以获取支持。 必须以 alias@domainname.com 格式输入有效的电子邮件地址。 |
| 网站名称 | 40 | 这是显示在支持网站的 URL 的某些位置的友好名称。 如果指定了支持网站 URL,但没有友好名称,则 URL 本身将显示在最终用户体验中。 请注意,此设置不适用于适用于 Android 的 Intune 应用。 |
| 网站 URL | 150 | 用户应使用的支持网站。 URL 的格式必须为 https://www.contoso.com。 |
| 其他信息 | 120 | 在此处向用户添加任何其他与支持相关的消息传送。 |
配置
可以专门为注册、隐私、通知、设备类别、应用源和自助服务操作配置公司门户体验。
注册
下表提供特定于注册的配置详细信息:
| 字段名 | 最大长度 | 详细信息 |
|---|---|---|
| 设备注册 | 不适用 | 指定是否以及如何提示用户注册移动设备管理。 有关详细信息,请参阅设备注册设置选项。 |
设备注册设置选项
支持设备注册设置要求最终用户具有以下公司门户版本:
- iOS/iPadOS 上的公司门户:版本 4.4 或更高版本
- Android 上的公司门户:版本 5.0.4715.0 或更高版本
重要
以下设置不适用于配置为通过自动设备注册进行注册的 iOS/iPadOS 设备。 无论如何配置这些设置,配置为使用自动设备注册进行注册的 iOS/iPadOS 设备都将在开箱即用流程期间进行注册,并且将在用户启动公司门户时提示用户登录。
以下设置适用于使用 Samsung Knox Mobile Enrollment (KME) 配置的 Android 设备。 如果已为 KME 配置了设备,并且“设备注册”设置为“不可用”,则在现成流过程中,设备将无法注册。
对于 Android 公司门户应用,如果 Intune 检测到用户的设备设置了未注册情况下的应用保护策略,则不会提示用户在公司门户中注册,即使设备注册设置配置为提示注册也是如此。 这适用于所有 Android 设备类型(Surface Duo 设备除外)。
| 设备注册选项 | 说明 | 清单提示 | 通知 | 设备详细信息状态 | 应用可见性(需要注册的应用) |
|---|---|---|---|---|---|
| 可用,有提示 | 默认体验,提示注册所有可能的位置。 | 是 | 是 | 是 | 是 |
| 可用,无提示 | 用户可以通过当前设备的设备详细信息中的状态或从需要注册的应用进行注册。 | 否 | 否 | 是 | 是 |
| 不可用 | 用户无法注册。 将隐藏需要注册的应用。 | 否 | 否 | 否 | 否 |
隐私
下表提供特定于隐私的配置详细信息:
| 字段名 | 最大长度 | 详细信息 |
|---|---|---|
| 隐私声明 URL | 79 | 将组织的隐私声明设置为在用户单击隐私链接时显示。 必须以 https://www.contoso.com 格式输入有效的 URL。 这是必填字段。 |
| 有关提供的支持所无法查看或执行的操作的隐私消息(iOS/iPadOS) | 520 | 保留默认消息或设置自定义消息,用于列出组织无法在托管的 iOS/iPadOS 设备上看到的项。 可以使用 Markdown 添加项目符号、粗体、斜体和链接。 |
| 有关提供的支持所能够查看或执行的操作的隐私消息(iOS/iPadOS) | 520 | 保留默认消息或设置自定义消息,用于列出组织无法在托管的 iOS/iPadOS 设备上看到的项。 可以使用 Markdown 添加项目符号、粗体、斜体和链接。 |
有关相关信息,请参阅配置公司门户和Microsoft Intune应用的反馈设置。
设备类别
可以在Intune 公司门户中允许或阻止设备类别提示。
| 字段名 | 最大长度 | 详细信息 |
|---|---|---|
| 允许用户在公司门户中选择设备类别 | 不适用 | 如果租户设置了设备类别,则会提示目标设备上的用户在登录公司门户时选择类别。 选择“ 阻止 ”可隐藏所有平台的提示。 选择 “允许 ”以显示提示。 类别选择提示在某人选择类别后消失,并且不会再次出现。 此设置旨在与设备类别一起使用。 如果租户中没有设备类别,则不会显示选择提示。 有关创建设备类别的详细信息,请参阅 将设备分类到组中。 |
应用源
可选择将在公司门户中显示的其他应用源。
注意
公司门户支持 Configuration Manager 应用程序。 借助此功能,最终用户可以在公司门户中同时看到 Configuration Manager 和 Intune 为共同受管理客户部署的应用程序。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用。
下表提供特定于应用源的配置详细信息:
| 字段名 | 最大长度 | 详细信息 |
|---|---|---|
| Microsoft Entra企业应用程序 | 不适用 | 选择“隐藏”或“显示”,在公司门户中为每个最终用户显示Microsoft Entra企业应用程序。 有关详细信息,请参阅应用源设置选项。 |
| Office Online 应用程序 | 不适用 | 选择“隐藏”或“显示”,在公司门户中向每位最终用户显示 Office Online 应用程序。 有关详细信息,请参阅应用源设置选项。 |
| Configuration Manager应用程序 | 不适用 | 选择“隐藏”或“显示”,在公司门户中为每个最终用户显示Configuration Manager应用程序。 有关详细信息,请参阅应用源设置选项。 |
应用源设置选项
注意
Configuration Manager应用程序应用源中的应用显示仅在 Windows 公司门户中显示。 但是,Microsoft Entra企业应用程序应用源或 Office Online 应用程序应用源的应用显示显示在 Windows 公司门户 和 公司门户 网站中。
可以在公司门户中为每个最终用户隐藏或显示Microsoft Entra企业应用程序、Office Online 应用程序和Configuration Manager应用程序。 如果选择“显示”,将导致公司门户显示分配给用户的所选 Microsoft 服务的整个应用程序目录。 Microsoft Entra企业应用程序是通过Microsoft Intune管理中心注册和分配的。 Office Online 应用程序使用 M365 管理中心提供的授权控制进行分配。 在Microsoft Intune管理中心,选择“租户管理>自定义”以查找此配置设置。 默认情况下,每个附加的应用源会设置为“隐藏”。
自定义删除和重置设备操作
可以自定义 Windows 和 iOS 设备“删除”和“重置”自助式设备操作的可见性,这些操作在公司门户应用、公司门户网站和 Android 上的 Intune 应用中跨平台向最终用户显示。 要防止用户删除或重置公司 Windows 和 iOS 设备,可以在“租户管理”>“自定义”中隐藏这些操作。
提供了以下选项:
- 隐藏公司 Windows 设备上的“删除”按钮。 (此设置将始终显示为禁用,因为企业 Windows 设备的“删除”按钮始终处于隐藏状态。)
- 隐藏公司 Windows 设备上的“重置”按钮。
- 隐藏公司 iOS/iPadOS 设备上的“删除”按钮。
- 隐藏公司 iOS/iPadOS 设备上的“重置”按钮。
注意
这些操作可用于限制公司门户网站应用和网站中的设备操作,并且不实施任何设备限制策略。 若要限制用户从设置中执行恢复出厂设置或 MDM 删除,必须配置设备限制策略。
此外,这些自定义项仅在默认自定义策略中可用,而在以组为目标的自定义策略中不可用。
公司门户网站中的设备合规性状态
最终用户可以从公司门户网站查看其设备的合规性状态。 终端用户可以导航到 公司门户 网站,然后选择 “设备” 页面以查看设备状态。 设备将列出,其状态为 可以访问公司资源、正在检查访问 或 无法访问公司资源。 有关相关信息,请参阅 从公司门户网站管理应用。
打开 Web 公司门户应用程序
对于 Web 公司门户应用程序,如果最终用户安装了公司门户应用程序,则最终用户将看到一个对话框,询问他们在浏览器外部打开应用程序时希望采用哪种打开方式。 如果应用不在公司门户的路径中,则公司门户将打开主页。 如果应用位于路径中,则公司门户将打开特定应用。
选择公司门户时,当 URI 路径为以下选项之一时,用户将被定向到应用程序中的相应页面:
-
/apps- Web 公司门户将打开列出所有应用的应用页面。 -
/apps/[appID]- Web 公司门户将打开相应应用的详细信息页面。 - URI 路径不同或出现意外 -“Web 公司门户”主页将显示。
如果用户未安装公司门户应用,则用户将转到 Web 公司门户。
注意
为了提高公司门户网站上的页面加载性能,现在将分批加载应用图标。 当最终用户加载公司门户网站时,可能会暂时看到一些应用程序的占位符图标。
有关反馈相关信息,请参阅配置公司门户和Microsoft Intune应用的反馈设置。
适用于 iOS/iPadOS 的公司门户和 Apple 设置助理
对于运行 13.0 以及更高版本的 iOS/iPadOS 设备,在创建自动设备注册配置文件时,现在可以选择一种新的身份验证方法:带新式验证的设置助理(预览版)。 这种方法提供了使用公司门户进行身份验证的所有安全性,但避免了“在设备上安装公司门户时,最终用户停滞在无法使用的设备上”问题。 在设置助手屏幕期间,用户必须使用Microsoft Entra凭据进行身份验证。 这需要在 公司门户 应用中注册后额外Microsoft Entra登录,才能访问受条件访问保护的公司资源,并Intune评估设备符合性。 正确的公司门户版本将自动作为必需的应用发送到 iOS/iPadOS 设备,我们建议从注册配置文件中为其选择 VPP 令牌。
用户进入主屏幕后,注册即可完成,用户可以自由使用设备获取不受条件访问保护的资源。 当用户完成其他Microsoft Entra登录到设备上的 公司门户 应用时,将建立用户相关性。 如果租户为这些设备或用户启用了多重身份验证,那么在注册设置助理过程中,用户需要完成多重身份验证。 多重身份验证不是必需的,但它可用于条件性访问中的此身份验证方法(如果需要)。
公司门户的 iOS/iPadOS 设备派生凭据
Intune 与凭据提供商 DISA Purebred、Entrust 和 Intercede 合作,支持个人身份验证 (PIV) 和公共访问卡 (CAC) 派生凭据。 最终用户将在注册 iOS/iPadOS 设备后执行其他步骤,以在公司门户应用程序中验证其身份。 首先为租户设置凭据提供商,然后令使用派生凭据的配置文件面向用户或设备,从而为用户启用派生凭据。
注意
用户将根据你通过 Intune 指定的链接查看有关派生凭据的说明。
有关 iOS/iPadOS 设备派生凭据的详细信息,请参阅在 Microsoft Intune 中使用派生凭据。
适用于公司门户的深色模式
深色模式适用于 iOS/iPadOS、macOS 和 Windows 公司门户。 用户可以下载应用、管理其设备,并根据设备设置在所选的配色方案中获取 IT 支持。 iOS/iPadOS、macOS 和 Windows 公司门户将自动与最终用户的设备设置匹配,自动应用深色或浅色模式。
Windows 公司门户键盘快捷方式
最终用户可以使用键盘快捷方式(快捷键)在 Windows 公司门户中触发导航、应用和设备操作。
可以在 Windows 公司门户应用中使用以下键盘快捷方式。
| 领域 | 说明 | 键盘快捷方式 |
|---|---|---|
| 导航菜单 | 导航 | Alt+M |
| 家庭版 | Alt+H | |
| 所有应用 | Alt+A | |
| 所有设备 | Alt+D | |
| 下载和更新 | Alt+U | |
| 发送反馈 | Alt+F | |
| 我的个人资料 | Alt+P | |
| 设置 | Alt+T | |
| 设备磁贴 | 重命名 | F2 |
| 删除 | Ctrl+D 或 Delete | |
| 检查访问 | Ctrl+M 或 F9 | |
| 设备详细信息 | 重命名 | F2 |
| 删除 | Ctrl+D 或 Delete | |
| 检查访问 | Ctrl+M 或 F9 | |
| 应用详细信息 | 安装 | Ctrl+I |
| 应用列表磁贴 | 安装 | Ctrl+I |
| 应用列表项 | 安装 | Ctrl+I |
最终用户还可以查看 Windows 公司门户应用中的可用快捷方式。
公司门户中的用户自助设备操作
用户可从本地或远程设备中通过公司门户应用、公司门户网站或在 Android 上的 Intune 应用执行操作。 用户可执行的操作根据设备平台和配置有所不同。 在任何情况下,均只有设备的主要用户可以执行远程设备操作。
可用的自助服务设备操作包括以下各项:
- 停用 - 从 Intune 管理范围中删除设备。 在公司门户应用和网站中,它显示为“删除”。
- 擦除 - 此操作会启动设备重置。 在公司门户网站中,它显示为“重置”,在 iOS/iPadOS 公司门户应用中显示为“恢复出厂设置”。
- 重命名 - 此操作将更改公司门户向用户显示的设备名称。 它不会更改本地设备名称,仅更改公司门户中的列表。
- 同步 - 此操作会使用 Intune 服务启动设备签入。 在公司门户中,它显示为“检查状态”。
- 远程锁定 - 锁定设备,需要提供用于解锁的 PIN。
- 重置密码 - 此操作用于重置设备密码。 在 iOS/iPadOS 设备上,将删除密码,最终用户需要在设置中输入新密码。 在支持的 Android 设备上,Intune 将生成新密码,此密码将暂时在公司门户中显示。
- 密钥恢复 – 此操作用于从公司门户网站恢复加密 macOS 设备的个人恢复密钥。
若要自定义可用的用户自助服务操作,请参阅为公司门户自定义用户自助服务操作。
自助服务操作
一些平台和配置不支持自助设备操作。 下表提供了自助服务操作的详细信息:
| Action | Windows 10(3) | iOS/iPadOS(3) | macOS(3) | Android(3) |
|---|---|---|---|---|
| 停用 | 可用(1) | 可用(9) | 可用 | 可用(7) |
| 擦除 | 可用 | 可用(5)(9) | 不适用 | 可用(7) |
| 重命名(4) | 可用 | 可用 | 可用 | 可用 |
| 同步 | 可用 | 可用 | 可用 | 可用 |
| 密钥恢复 | NA | NA | 可用(2) | 不适用 |
(1) 在已加入的 Windows 设备上始终阻止Microsoft Entra停用。
(2) key Recovery for macOS 只能通过 Web 门户使用。
(3) 使用设备注册管理器时,将禁用所有的远程操作。
(4) 重命名只会更改公司门户应用或 Web 门户中的设备名称,而不更改设备上的设备名称。
(5) 擦除 在用户注册的 iOS/iPadOS 设备上不可用。
(6) 某些 Android 和 Android Enterprise 配置不支持重置密码。 有关详细信息,请参阅在 Intune 中重置或删除设备密码。
(7) 停用 和 擦除 不适用于 Android 企业设备所有者方案, (COPE、COBO、COSU) 。
(8) 用户注册的 iOS/iPadOS 设备上不支持重置密码。
(9) (以前称为 DEP) 的所有 iOS/iPadOS 自动设备注册设备都禁用了 “停用 ”和“ 擦除 ”选项。
应用日志
应用用户在通过Intune 公司门户应用或Microsoft Intune应用请求帮助时,可以与你共享其日志。 如果使用 Azure 政府,则用户可以在启动共享过程时选择其共享首选项。 如果不使用 Azure 政府,则用户提交的日志将直接发送到Microsoft支持或管理中心。
可以在管理中心下载公司门户应用的 Android、AOSP 和 Windows 版本的用户提交的移动应用诊断。 若要下载用户提交的日志,请转到 故障排除 + 支持>诊断。 有关详细信息,请参阅使用故障排除仪表板帮助公司用户。
注意
与 Microsoft 和 Apple 策略保持一致,我们不会出于任何原因向任何第三方出售我们服务收集的任何数据。
公司门户应用通知
公司门户应用可以存储以及显示从Microsoft Intune管理中心发送到用户设备的推送通知。 已选择接收公司门户推送通知的用户可以在公司门户的“通知”选项卡中查看和管理你发送到其设备的自定义存储的消息。
注意
用户必须更新到最新版本的 Android 公司门户 (版本 5.0.5291.0,2021 年 10 月发布) 或 Android Intune 应用 (版本 2021.09.04,2021 年 9 月发布),才能在 Android 设备上接收自定义通知。 如果用户在 Intune 的 11 月 (2111) 服务发布之前未更新,并且给他们发送了自定义通知,则他们反而将收到通知,告知他们更新其应用以查看通知。 更新应用后,他们将在应用的“通知”部分看到由组织发送的消息。
现在,来自 iOS/iPadOS 公司门户应用的通知将使用默认的 Apple 声音传送到设备,而不是静默传送。 若要通过 iOS/iPadOS 公司门户应用关闭通知声音,请选择“设置”>“通知”>“公司门户”,然后选择“声音”切换开关。
有关通知的详细信息,请参阅 获取自定义通知。
为公司门户和Microsoft Intune应用配置反馈设置
有许多 M365 企业策略会影响是否必须为当前记录的用户启用或禁用反馈。 这些策略通过Microsoft 365应用管理中心提供。 与 Microsoft Intune 相比,这些策略会影响 Intune 公司门户应用、Web 公司门户、Microsoft Intune 应用的反馈和调查。
M365 反馈策略包括以下策略:
| 策略名称 | 默认状态 | 策略摘要 |
|---|---|---|
| 允许在 Office 中使用连接体验 | 已启用 | 控制客户端是否可以使用连接体验套件,包括反馈。 |
| 允许用户向 Microsoft 提交反馈 | 已启用 | 控制应用程序之间的反馈入口点。 |
| 允许用户接收和响应来自 Microsoft 的产品内调查 | 已启用 | 控制产品内的调查提示。 |
| 允许用户在向 Microsoft 提交反馈时包含屏幕截图和附件 | Disabled | 控制用户可通过反馈和调查决定提交的元数据。 |
| 允许 Microsoft 跟进用户提交的反馈 | Disabled | 控制用户是否可以与反馈和调查共享联系信息。 |
| 允许用户在向 Microsoft 提交反馈时包括日志文件和内容示例 | Disabled | 控制用户可通过反馈和调查决定提交的元数据。 |
若要配置反馈策略设置,请执行以下操作:
- 转到Microsoft 365应用管理中心并登录。
- 选择自定义>策略管理>创建。
- 输入名称和说明。
- 选择此策略将应用的用户类型。
- 为租户选择此策略将应用的组。
- 搜索 反馈 和 调查 以查找和选择策略。
- 对于列出的每个策略,将值设置为 已启用 或 禁用。