使用 Microsoft Intune 設定應用程式
一旦您設定並部署 Intune 的功能,並新增您想要管理的應用程式以 Intune,您就可以開始建立應用程式設定原則的程式。 應用程式設定原則可讓組織成員 (使用者) 輕鬆地在其裝置上安裝和使用相關的應用程式。 藉由使用應用程式設定原則,您可以協助您排除應用程式設定問題。 您可以將組態設定指派給原則,然後在使用者執行應用程式之前指派給使用者。 然後在使用者裝置上設定應用程式時,會自動提供這些設定。 最重要的是,終端使用者不需要採取動作。 您可以建立並使用應用程式設定原則,為iOS/iPadOS或Android應用程式提供組態設定。 組態原則設定會在應用程式檢查這些設定時使用,通常是在應用程式第一次執行時。
注意事項
不一定需要或不需要應用程式設定原則。 應用程式開發人員必須將應用程式設定支援併入應用程式,以允許透過 Intune 進行應用程式設定。
Intune 是以 Web 為基礎的控制台提供,以管理、保護及監視您組織的所有端點,不論這些端點是裝置或應用程式。
與應用程式保護原則類似,在指派相關應用程式之前,應先將應用程式設定原則指派給使用者和/或裝置。
您可以直接在每個應用程式和每個使用者群組唯一的 Intune 中建立應用程式設定原則。 然後,您可以將每個應用程式設定原則套用至使用者和/或裝置。 您可以使用許多不同的設定來設定應用程式。 例如,應用程式組態設定可能需要您指定下列任何詳細資料:
- 自訂連接埠號碼
- 語言設定
- S/MIME 設定
- 安全性與保護設定
- 商標設定 (例如公司標誌)
如果終端使用者改為輸入這些設定,則可能會不正確地輸入這些設定。 應用程式設定原則可協助提供企業間的一致性,並減少用戶嘗試自行設定設定的技術服務人員呼叫。 透過使用應用程式組態原則,可以更容易且更快速地採用新應用程式。
應用程式設定原則的優點
應用程式設定原則可協助您簡化應用程式安裝、增加應用程式採用率、減少安裝問題,並確保應用程式設定一致性。 此外,藉由讓應用程式以一致的方式設定正確的設定,您的組織數據會受到更好的保護。
可用的組態參數和組態參數的實作是由應用程式的開發人員決定。 應檢閱應用程式廠商的文件,以查看可用的組態,以及這些組態如何影響應用程式的行為。 針對某些應用程式,Intune 會填入可用的組態設定。
注意事項
視應用程式的類型而定,您可以選擇在將應用程式新增至 Intune 時自定義特定應用程式資訊。 常見的應用程式資訊包括名稱、描述、發行者、最低操作系統、隱私權 URL,以及應用程式的其他屬性。 這項資訊會在新增應用程式時詳細說明,而不是特定的應用程式組態。 例如,Windows 10和更新版本的 Microsoft 365 Apps 會在將應用程式 (或應用程式套件) 新增至 Intune 時提供設定。 請注意,應用程式設定原則是針對iOS/iPadOS和Android平臺所提供。
必要條件
您必須先遵循幾個必要條件來設定 Intune,以及瞭解重要的應用程式管理組態,才能使用 Microsoft Intune 設定和管理應用程式。
注意事項
如果您不熟悉 Intune,請從 Microsoft Intune 免費試用開始。 免費試用 Intune 30 天。 當您完成註冊程式時,您會有新的租用戶可用來評估 Intune。 租使用者是 Microsoft Entra ID (Microsoft Entra ID) 的專用實例,您的訂用帳戶會裝載 Intune。 然後,您可以設定租使用者,其中包含許多可用來保護組織的功能。 其中一個涉及新增和設定應用程式以進行 Intune。
如果您尚未設定 Intune,並新增您需要管理的應用程式,請遵循下列步驟:
重要事項
若要使用免費試用以外的 Microsoft Intune,您必須從Microsoft取得授權。 如需包含 Microsoft Intune 授權的詳細資訊,請參閱 Microsoft Intune 授權。
雖然您可以部署至組織成員的許多應用程式都是免費的,但某些應用程式可能需要授權、訂用帳戶或帳戶,每個使用者才能使用應用程式。 如需應用程式授權的詳細資訊,請參閱 瞭解 Intune 中使用的應用程式授權。
支援應用程式組態的應用程式
已特別增強以支援統一端點管理提供者的應用程式,例如 Microsoft Intune,可以支持設定。 已啟用可使用 Intune 應用程式設定原則設定的應用程式,以支援使用 Intune App SDK 或 Intune App Wrapping Tool 的組態設定。 如需已增強以支援 Intune 的應用程式清單,請參閱 Microsoft Intune 受保護的應用程式。 請注意,應用程式不需要支援應用程式設定或應用程式保護,即可指派給使用者和/或裝置。
注意事項
在 Microsoft Intune中支援設定的應用程式支援AppConfig社群標準。
判斷您的管理部署模型
設定要由 Intune 管理的應用程式之前,您必須先判斷管理部署模型。 Intune 支援行動裝置管理 (MDM) 、行動應用程式管理 (MAM) ,以及 MDM + MAM。 向 Intune 註冊的裝置會使用 MDM。 MDM 可讓組織保護其已註冊裝置上的資源和數據。 (MAM 自行管理的應用程式) ,而不需要裝置管理 (MDM) ,則可以使用 Intune 來設定及保護。 MAM 可讓您管理和保護應用程式內的組織數據。
| 管理部署模型 | 描述 |
|---|---|
| MDM | 向 Intune 註冊的裝置會使用 MDM。 MDM 可讓組織保護其已註冊裝置上的資源和數據。 當您只使用 MDM 時,您的應用程式設定原則通道必須設定為受 管理的裝置。 如需 MDM 的詳細資訊,請參閱註冊 Microsoft Intune。 |
| MAM | 在不使用裝置管理 (MDM) 的情況下, (MAM) 管理的應用程式,可以使用 Intune 來設定及保護。 MAM 可讓您管理和保護應用程式內的組織數據。 當您選擇只在組織成員所使用的裝置上管理應用程式而不註冊或管理裝置時,您的應用程式設定原則通道必須設定為受 控應用程式 。 此設定通常稱為不註冊裝置的 MAM。 您可以在未向 Intune MDM 註冊的裝置上使用 Intune 設定和保護原則來管理使用 MAM 的應用程式。 MAM 非常適合用來協助保護組織成員用於個人和工作工作的行動裝置上的組織數據。
注意事項: 如需詳細資訊,請參閱 不使用裝置管理的 MAM。 |
| MDM + MAM | Intune 可讓您 (MDM) 管理裝置,以及管理 MAM) (應用程式。 此設定通常稱為 MAM + MDM。 您可以在已向 Intune MDM 註冊的裝置上使用 MAM 來管理應用程式。 透過受控應用程式通道傳遞 的 設定原則優先於透過受控 裝置 通道傳遞的設定原則。 如需 MDM + MAM 的詳細資訊,請參閱 使用裝置管理的 MAM。 |
請務必瞭解,視您在組織使用的管理工作流程而定,您有不同的應用程式設定選項和功能。 如需 MAM 的詳細資訊,請參閱 MAM 設定。 如需管理部署模型的詳細資訊,請 參閱註冊裝置管理、應用程式管理或兩者。
您應該遵循哪一個程式?
應用程式設定程式流程
將應用程式新增至 Intune 後,您可以將應用程式設定原則指派給使用者。 當應用程式安裝在終端使用者的裝置上時,將會使用設定原則。
應用程式設定原則的傳遞通道
請務必瞭解支援受控 裝置 的應用程式設定原則與受控 應用程式之間的差異。 受控裝置是已在統一端點管理提供者中註冊的裝置,例如 Microsoft Intune。 這些已註冊的裝置使用行動裝置管理 (整合端點管理提供者所提供的 MDM) 。 MDM 可讓組織保護其已註冊裝置上的資源和數據。 受控應用程式是您透過統一端點管理提供者指派給使用者的應用程式,例如 Intune。 Managed 應用程式支援應用程式設定原則和應用程式保護原則。 這些應用程式會使用統一端點管理提供者所提供的行動應用程式管理 (MAM) 。 MAM 可讓組織管理和保護其在應用程式內的數據。
當您在 Intune 中建立應用程式設定原則時,有兩種方式可以使用 Intune 來傳遞應用程式設定:
- 在已註冊的裝置上使用行動裝置管理 (MDM) OS 通道
- 針對 iOS 裝置,請使用 iOS 的受控 應用程式組態 通道
- 針對 Android 裝置,請 在 Android 的企業通道中使用 Android
- 使用行動應用程式管理 (MAM) 通道
Intune 會以以下方式呈現這些不同的應用程式組態原則通道:
- 受控裝置 - 裝置由 Intune 作為統一端點管理提供者來管理。 應用程式必須釘選至 iOS/iPadOS 上的管理設定檔,或透過 Android 裝置上的受管理 Google Play 部署。 此外,應用程式支援所需的應用程式組態。
- 受控應用程式 - 已整合 Intune App SDK 或已使用 Intune Wrapping Tool 包裝並支援應用程式保護原則 (APP) 和/或應用程式設定原則的應用程式。 在此設定中,裝置的註冊狀態或應用程式傳遞至裝置的方式都無關緊要。 應用程式支援所需的應用程式組態。 使用受 控應用程式 應用程式設定原則可讓您保護非受控 (未註冊) 裝置上的應用程式。
應用程式可能會以不同方式處理應用程式組態原則設定,但遵守使用者喜好設定。 例如,使用適用於 iOS 和 Android 的 Outlook 時, 焦點收件匣 應用程式組態設定會遵守使用者設定,讓使用者能夠覆寫系統管理員意圖。 其他設定可能讓您根據系統管理員意圖,控制使用者是否可以變更設定。
透過 Microsoft Intune,透過 MDM OS 通道傳遞的應用程式設定稱為受控裝置 應用程式組態 原則 (ACP) 。 透過應用程式保護原則通道傳遞的應用程式設定稱為受控應用程式 應用程式組態 原則。
重要事項
Intune 內的應用程式組態取決於您和組織所使用的管理工作流程 (MDM、MAM 或 MDM+MAM) 。 如需詳細資訊,請 參閱判斷您的管理部署模型。
瞭解應用程式設定原則
如前所述,您可以使用應用程式設定原則,為受控應用程式套用設定。 您可以從系統管理中心 Microsoft Intune 建立並指派這些原則。 當您建立應用程式設定原則時,請從選取建立受控 裝置 或受控 應用程式 的原則開始,如上所述。 然後,您會新增下列原則區域/動作:
- 基本概念 - 您必須新增原則名稱、目標平台和目標應用程式。
- 設定 - 您有兩種方法可將設定新增至原則。 您可以選擇使用更可視化的設定設計工具,也可以輸入 XML 數據。 這兩種方法都可以取得相同的結果,不過一旦建立原則,就無法變更格式。 每個設定都包含組態索引鍵、值類型和組態值。 請務必注意,應用程式設定金鑰會區分大小寫。 您必須使用適當的大小寫以確保設定生效。
- 範圍標籤 - 您可以選擇性地設定標籤,根據每個 Intune 管理員的角色來縮小所使用原則的存取範圍。
- 指派 - 您可以設定哪些使用者獲指派應用程式設定原則。 選取指派群組之後,您可以選取 [篩選條件],以在部署受管理裝置的應用程式設定原則時,精簡指派範圍。
- 檢閱 + 建立 - 您並確認原則設定,然後建立新的原則。 當您選取 [建立] 時,會儲存您的變更,並將原則部署至您的群組。 原則也會顯示在應用程式設定原則清單中。
如需詳細資訊,請參閱 應用程式設定原則、 iOS 受控裝置和 Android 受控裝置。
受控裝置的一般應用程式設定
若要支援在已註冊裝置上透過 Intune 部署之應用程式的應用程式設定,必須撰寫應用程式以支援使用作業系統所定義的應用程式設定。 如需其支援透過 MDM OS 通道傳遞的應用程式設定金鑰詳細資訊,請洽詢您的應用程式廠商。 使用 MDM OS 通道時,通常會有四種應用程式組態傳遞案例:
| 組態案例 | 描述 |
|---|---|
| 僅允許組織帳戶 | 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 若要支持這些需求,可以在已註冊的裝置上設定多個適用於iOS和Android的Microsoft應用程式,只允許在應用程式內布建單一組織帳戶。 如需詳細資訊,請參閱下列設定: |
| 帳戶設定組態設定 | 與已在統一端點管理 (UEM) 解決方案中註冊的受管理裝置搭配使用。 支援任何 UEM 提供者。 針對適用於 iOS/iPadOS 和 Android 的特定 M365 應用程式,例如 Microsoft Outlook,您可以利用混合式新式驗證使用者,將帳戶設定「推送」給使用者。 如需帳戶設定組態的詳細資訊,請參閱在 Exchange Online 中使用新式驗證的帳戶設定。 |
| 一般應用程式組態設定 | 應用程式設定原則包含 [設定] 窗格中的 [一般組態設定] 區段。 在本節中,您可以輸入 [名稱 ] 和 [ 值 ] 來設定應用程式的設定。 名稱也稱為金鑰。 |
| 應用程式特定組態設定 | 數個應用程式也會在應用程式設定原則的 [ 設定 ] 窗格中包含唯一的應用程式設定區段。 若要瞭解哪些應用程式支援設定,請參 閱Microsoft和第三方應用程式清單。 針對第三方應用程式,您可能需要查看應用程式開發人員的檔,或直接與他們連絡,以瞭解其應用程式的設定密鑰和值。 |
受控應用程式的一般應用程式設定
透過 MAM 通道傳遞應用程式組態不需要註冊裝置,也不需要透過整合端點管理解決方案管理或傳遞應用程式。 使用 MAM 通道進行應用程式組態傳遞有三種案例:
- 一般應用程式組態設定
- S/MIME 組態設定
- 進階 APP 資料保護設定,可擴充應用程式保護原則所提供的功能
其他應用程式設定功能
某些支援的應用程式可以設定為新增其他功能。 這些功能可能取決於應用程式平臺、應用程式設定原則,以及特定應用程式本身。
啟用已連線的Android應用程式
您可以允許使用者使用 Android 個人擁有和公司擁有的工作設定檔,為支援的應用程式開啟連線的應用程式體驗。 此應用程式組態設定可讓應用程式在Android上跨工作和個人應用程式實例連線及整合應用程式數據。 若要讓應用程式提供此體驗,應用程式必須與Google的連線應用程式 SDK 整合,這表示只有有限的應用程式支援它。 您可以主動開啟連線的應用程式設定,而當應用程式新增支援時,使用者就能夠啟用連線的應用程式體驗。 如需詳細資訊,請 參閱啟用連線的應用程式。
授與 Android 應用程式的狀態
您可以預先設定應用程式許可權,以存取 Android 裝置功能。 根據預設,需要裝置權限的 Android 應用程式 (例如位置或裝置相機的存取權),會提示使用者接受或拒絕權限。 如需詳細資訊,請 參閱預先設定應用程式的許可權授與狀態。
Microsoft應用程式設定
已增強以支援統一端點管理提供者的特定Microsoft應用程式,例如 Microsoft Intune,支援一組常見的設定功能。 這些組態功能是受保護Microsoft應用程式可能可用的特定應用程式組態設定。 受 保護Microsoft應用程式 包含一般設定,例如:
- 組織允許的帳戶模式
- S/MIME 設定
只設定組織帳戶的存取權
您可以控制哪些公司或學校帳戶新增至受管理裝置上的Microsoft應用程式。 您可以限制只能存取允許的組織使用者帳戶,並封鎖已註冊裝置上上應用程式內的個人帳戶 (如若支援)。 這個案例中使用的 iOS 組態金鑰包括 IntuneMAMAllowedAccountsOnly 和 IntuneMAMUPN。 Android 設定金鑰為 com.microsoft.intune.mam.AllowedAccountUPNs。
下列應用程式僅支援設定組織帳戶的存取權:
- iOS/iPadOS:
- iOS 版 Edge (44.8.7 和更新版本)
- iOS 版 Office、Word、Excel、PowerPoint (2.41 和更新版本)
- iOS 版 OneDrive (10.34 和更新版本)
- iOS 版 OneNote (2.41 和更新版本)
- iOS 版 Outlook (2.99.0 和更新版本)
- iOS 版 Teams (2.0.15 和更新版本)
- Android:
- Android 版 Edge (42.0.4.4048 和更新版本)
- Android 版 Office、Word、Excel、PowerPoint (16.0.9327.1000 和更新版本)
- Android 版 OneDrive (5.28 和更新版本)
- Android 版 OneNote (16.0.13231.20222 或更新版本)
- Android 版 Outlook (2.2.222 和更新版本)
- Android 版 Teams (1416/1.0.0.2020073101 和更新版本)
如需詳細資訊,請參閱 iOS/iPadOS - 只允許在應用程式 和 Android 中設定的組織帳戶 - 只允許應用程式中設定的組織帳戶。
此解決方案的內容
此解決方案會逐步引導您完成在特定應用程式 Microsoft Intune 中建立應用程式設定原則的程式,並將這些原則指派給您的組織。 完成上述必要條件之後,您就可以在 Intune 中為組織建立應用程式保護原則。 使用設定和保護原則作為應用程式管理工作的一部分,可讓組織的成員安全地使用應用程式。 藉由管理貴組織的應用程式,您可以協助保護組織的數據。
設定公司入口網站
如果您的組織使用 Intune 來管理裝置,您需要使用 公司入口網站 應用程式。 貴組織的終端使用者會使用 公司入口網站 來安全地存取公司數據,並執行一般工作。 終端使用者可以使用 公司入口網站 應用程式、公司入口網站 網站或 Intune 應用程式來存取這些工作和資訊。 公司入口網站 應用程式支援 iOS/iPadOS、Linux、macOS 和 Windows 裝置。 Intune 應用程式支援Android裝置。
注意事項
「公司入口網站」通常用來作為 Intune 應用程式、公司入口網站應用程式和公司入口網站的描述元。
如果您只管理 MDM) (裝置,則不需要使用 公司入口網站。 如果您使用 MAM 或 MDM + MAM,則必須使用 公司入口網站。
身為 Intune 系統管理員,您可以為組織自定義 公司入口網站 用戶體驗。 具體而言,您可以設定 公司入口網站 商標、支援資訊、註冊、隱私權、通知、裝置類別、應用程式來源和自助動作。
如需建議的應用程式設定步驟,請參閱自定義和設定 公司入口網站。
設定 outlook Microsoft
iOS 和 Android 版 Outlook 支援應用程式設定,可讓 UEM) 系統管理員 (使用 Microsoft Intune) 和 Microsoft 365 等工具,或 Office 365 系統管理員自定義應用程式行為的統一端點 (管理。
iOS 版 Outlook 和 Android 應用程式的設計目的是要讓組織中的使用者透過將電子郵件、行事歷、連絡人和其他檔案結合在一起,從其行動裝置執行更多動作。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。
注意事項
除了實作應用程式設定原則,您還需要部署條件式存取原則,以允許從行動裝置連線到iOS和Android版 Outlook,以及可確保共同作業體驗受到保護的 Intune 應用程式保護原則。
如需建議的應用程式設定步驟,請參閱設定Microsoft Outlook。
設定 Microsoft 365 Apps
Microsoft 365 (M365) ,先前稱為 Microsoft Office,是一套生產力應用程式,包括 Microsoft Word、Excel、PowerPoint、Teams 等等。 Microsoft Intune 建議將 M365 應用程式安裝到組織中的裝置和使用者。
Windows、iOS 和 Android 提供數個主要優點,包括:
- 結合 Word、Excel 和 PowerPoint,以簡化體驗,減少下載或切換的應用程式的數量。 相較於安裝個別應用程式,其需要的手機儲存空間要少得多,同時保留人們已熟知和使用的現有行動裝置應用程式的所有功能。
- 整合 Office Lens 技術,可協助您的組織使用其裝置的相機功能。 這些功能包括將影像轉換成可編輯的 Word 和 Excel 檔、掃描 PDF,以及使用自動數位增強功能擷取白板,讓內容更容易閱讀。
- 針對人們在手機上作業時經常遇到的常見工作新增了新功能 — 例如快速做筆記、簽署 PDF、掃描 QR 代碼,以及在裝置之間傳輸檔案。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用Microsoft 365 數據最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能。
如需建議的應用程式設定步驟,請參閱設定 Microsoft 365 Apps。
設定 Microsoft Edge
iOS 和 Android 版 Edge 的設計目的是要讓使用者瀏覽網頁並支援多重身分識別。 使用者可以新增工作帳戶和個人帳戶以進行瀏覽。 這兩個身分之間有完整的區別,就像其他 Microsoft 行動應用程式所提供的那樣。
如需建議的應用程式設定步驟,請參閱設定 Microsoft Edge。
設定 Microsoft Teams
Microsoft Teams 是 Microsoft 365 中的團隊共同作業中樞,可整合小組需要更投入且更有效率的人員、內容和工具。
如需建議的應用程式設定步驟, 請參閱設定Microsoft Teams。
設定其他應用程式
Microsoft Intune 支援設定已增強以支援 Intune 的特定應用程式。 這些應用程式包括 Microsoft應用程式、 合作夥伴具生產力應用程式,以及 合作夥伴UEM應用程式。 針對合作夥伴生產力應用程式,您可能需要連絡應用程式廠商,以取得 Intune 相關設定和支援的特定詳細數據。
如需建議的應用程式設定步驟, 請參閱設定其他應用程式。
驗證應用程式設定
Intune 提供應用程式設定狀態報告,以協助您監視已部署至終端用戶的應用程式。 此外,Intune 提供每個裝置的診斷記錄和設定狀態。
如需建議的應用程式設定步驟,請 參閱監視應用程式設定。
完成上述步驟之後,即可保護、指派及監視組織所使用的受控應用程式。