Добавление политик Конфигурация приложений для управляемых устройств Android Enterprise

Политики конфигурации приложений в Microsoft Intune предоставляют параметры для управляемых приложений Google Play и непосредственно развернутых бизнес-приложений (LOB) на управляемых устройствах Android Enterprise. Разработчик приложения предоставляет параметры конфигурации приложения, управляемого Android. Intune использует эти доступные параметры, чтобы разрешить администратору настраивать функции для приложения. Политика конфигурации приложений назначается группам пользователей. Параметры политики используются, когда приложение проверяет их, как правило, при первом запуске приложения.

Важно!

Когда бизнес-приложение Android, развернутое непосредственно в Intune, обновляется до новой версии, существующие политики конфигурации приложений, связанные с предыдущей версией, автоматически не применяются к обновленному приложению. Необходимо создать и назначить новую политику конфигурации приложения, ориентированную на новую версию приложения, чтобы обеспечить применение параметров конфигурации.

Примечание.

Политики конфигурации приложений для непосредственно развернутых бизнес-приложений Android поддерживаются на полностью управляемых устройствах Android Enterprise (COBO) и выделенных (COSU). Устройства с личным рабочим профилем и корпоративным рабочим профилем (COPE) не поддерживают прямое развертывание бизнес-приложений или конфигурацию приложений для прямых бизнес-приложений.

Не все приложения поддерживают конфигурацию приложений. Обратитесь к разработчику приложений, чтобы узнать, поддерживает ли его приложение политики конфигурации приложений.

Примечание.

Это требование не применяется к устройствам Android с Microsoft Teams , поскольку эти устройства по-прежнему будут поддерживаться.

Для Intune политик защиты приложений и конфигурации приложений, предоставляемых с помощью политик конфигурации управляемых приложений, Intune требуется Android 10.0 или более поздней версии.

Приложения электронной почты

Android Enterprise имеет несколько методов регистрации. Тип регистрации зависит от того, как настроена электронная почта на устройстве:

  • В полностью управляемых, выделенных и корпоративных рабочих профилях Android Enterprise используйте политику конфигурации приложений и действия, описанные в этой статье. Политики конфигурации приложений поддерживают почтовые приложения Gmail и Nine Work.
  • На личных устройствах Android Enterprise с рабочим профилем создайте профиль конфигурации устройства электронной почты Android Enterprise. При создании профиля можно настроить параметры для клиентов электронной почты, поддерживающих политики конфигурации приложений. При использовании конструктора конфигураций Intune включает параметры электронной почты, характерные для приложений Gmail и Nine Work.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеКонфигурация>приложений>. Создание>управляемых устройств. Вы можете выбрать между управляемыми устройствами и управляемыми приложениями. Дополнительные сведения см. в разделе Приложения, поддерживающие конфигурацию приложений.

  3. На странице Основные укажите следующие сведения:

    • Имя — имя профиля, отображаемого на портале.
    • Описание — описание профиля, отображаемого на портале.
    • Тип регистрации устройства — для этого параметра задано значение Управляемые устройства.

  4. Выберите Android Enterprise в качестве платформы.

  5. Выберите Выбрать приложение рядом с полем Целевое приложение. Появится панель Связанное приложение.

  6. На панели Связанное приложение выберите управляемое приложение, которое будет связано с политикой конфигурации, и нажмите кнопку ОК.

  7. Нажмите кнопку Далее , чтобы отобразить страницу Параметры .

  8. Нажмите кнопку Добавить , чтобы открыть панель Добавить разрешения .

  9. Выберите разрешения, которые нужно переопределить. Предоставленные разрешения переопределяют политику "Разрешения приложений по умолчанию" для выбранных приложений.

  10. Задайте состояние Разрешения для каждого разрешения. Вы можете выбрать запрос, Автоматическое предоставление или Автоматическое запрещение.

    Примечание.

    С Android 12 настройка автоматического предоставления для следующих разрешений не поддерживается для корпоративного рабочего профиля или выделенных корпоративных устройств.

    • SMS (чтение)
    • Доступ к расположению (грубый)
    • Доступ к расположению (штраф)
    • Доступ к расположению (фоновый режим)
    • Камера
    • Запись звука
    • Разрешить данные датчика тела

    Примечание.

    С Android 16 настройка автоматического предоставления разрешений в группе разрешений HEALTH больше не поддерживается.

  11. Если управляемое приложение поддерживает параметры конфигурации, отображается раскрывающийся список Формат параметров конфигурации . Выберите один из следующих методов добавления сведений о конфигурации:

    • Конструктор конфигураций
    • Ввод данных JSON

    Дополнительные сведения об использовании конструктора конфигураций см. в разделе Использование конструктора конфигураций. Дополнительные сведения о вводе XML-данных см . в разделе Ввод данных JSON.

  12. Если необходимо разрешить пользователям подключать целевое приложение как к рабочему, так и к личному профилям, выберите Включено рядом с пунктом Подключенные приложения.

    Снимок экрана: политика конфигурации — параметры

    Примечание.

    Этот параметр работает только для устройств с личным рабочим профилем и корпоративным рабочим профилем.

    Изменение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

  13. Чтобы разрешить определенным приложениям действовать в качестве системного поставщика учетных данных, выберите Поставщик учетных данных. По умолчанию Android запрещает сторонним поставщикам учетных данных предоставлять учетные данные. Дополнительные сведения см. в разделе Разрешить приложению быть поставщиком учетных данных.

  14. Нажмите кнопку Далее , чтобы отобразить страницу Теги области .

  15. [Необязательно] Можно настроить теги области для политики конфигурации приложений. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

  16. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .

  17. В раскрывающемся списке рядом с пунктом Назначить выберите Добавить группы, Добавить всех пользователей или Добавить все устройства для назначения политики конфигурации приложений. После выбора группы назначений можно выбрать фильтр для уточнения область назначения при развертывании политик конфигурации приложений для управляемых устройств.

    Снимок экрана: назначения политик

  18. Выберите Все пользователи в раскрывающемся списке.

    Снимок экрана: назначение политик — раскрывающийся список

  19. [Необязательно] выберите Изменить фильтр, чтобы добавить фильтр и уточнить область назначения.

    Снимок экрана: назначения политик — изменение фильтра

  20. Выберите Выбрать группы, чтобы исключить , чтобы отобразить связанную панель.

  21. Выберите группы, которые нужно исключить, а затем нажмите кнопку Выбрать.

    Примечание.

    При добавлении группы, если любая другая группа уже включена для данного типа назначения, она предварительно выбрана и неизменяема для других типов назначений. Таким образом, уже используемую группу нельзя выбрать в качестве исключенной группы.

  22. Нажмите кнопку Далее , чтобы отобразить страницу Проверка и создание .

  23. Выберите Создать, чтобы добавить политику конфигурации приложений в Intune.

Использование конструктора конфигураций

Конструктор конфигураций можно использовать для управляемых приложений Google Play, если приложение предназначено для поддержки параметров конфигурации. Конфигурация применяется к устройствам, зарегистрированным в Intune. Конструктор позволяет настроить определенные значения конфигурации для параметров, предоставляемых приложением.

  1. Нажмите Добавить. Выберите список параметров конфигурации, которые нужно ввести для приложения.

    Если вы используете приложения электронной почты Gmail или Nine Work, параметры устройства Android Enterprise для настройки электронной почты содержат дополнительные сведения об этих параметрах.

  2. Для каждого ключа и значения в конфигурации укажите:

    • Тип значения: тип данных значения конфигурации. Для строковых типов значений при необходимости можно выбрать переменную или профиль сертификата в качестве типа значения. После создания политики эти типы значений отображаются как строковые.
    • Значение конфигурации: значение конфигурации. Если для типа значения выбрана переменная или сертификат, выберите из списка переменных или профилей сертификатов. При выборе сертификата псевдоним сертификата, развернутого на устройстве, заполняется во время выполнения.

Поддерживаемые переменные для значений конфигурации

Если в качестве типа значения выбрана переменная, можно выбрать следующие параметры:

Вариант Пример
Microsoft Entra идентификатор устройства dc0dc142-11d8-4b12-bfea-cae2a8514c82
ID счета fc0dc142-71d8-4b12-bbea-bae2a8514c81
IMEI 123456789012345
Идентификатор устройства Intune b9841cd9-9843-405f-be28-b2265c59ef97
Почта john@contoso.com
Частичное имя участника-пользователя John
Идентификатор пользователя 3ec2c00f-b125-4519-acf0-302ac3761822
Имя пользователя Иван Петров
"User Principal Name" (Имя участника-пользователя); john@contoso.com
Имя учетной записи Contoso
Имя устройства John_AndroidEnterprise_1/2/2025_12:00 PM
Идентификатор сотрудника 123456
MEID 12345678901234
Серийный номер 1A2B3C4D5E6F7G
Последние четыре цифры серийного номера 6F7G

Разрешить только настроенные учетные записи организации в приложениях

Если вы являетесь администратором Microsoft Intune, вы можете определять, какие рабочие или учебные учетные записи добавляются приложения Майкрософт на управляемых устройствах. Можно предоставить доступ только разрешенным пользователям организации и заблокировать личные учетные записи на зарегистрированных устройствах. Для устройств Android используйте следующие пары "ключ-значение" в политике конфигурации приложения "Управляемые устройства":

Ключ com.microsoft.intune.mam.AllowedAccountUPNs
Значения
  • Одно или несколько ; разделенных имен участника-пользователей.
  • Разрешены только управляемые учетные записи пользователей, определенные этим ключом.
  • Для Intune зарегистрированных устройств {{userprincipalname}} маркер можно использовать для представления зарегистрированной учетной записи пользователя.

Примечание.

Следующие приложения обрабатывают предыдущую конфигурацию приложений и разрешают только учетные записи организации:

  • Copilot для Android (28.1.420328045 и более поздние версии)
  • Edge для Android (42.0.4.4048 и более поздние версии)
  • Office, Word, Excel, PowerPoint для Android (16.0.9327.1000 и более поздние версии)
  • OneDrive для Android (5.28 и более поздних версий)
  • OneNote для Android (16.0.13231.20222 или более поздней версии)
  • Outlook для Android (2.2.222 и более поздние версии)
  • Teams для Android (1416/1.0.0.2020073101 и более поздние версии)

Ввод данных JSON

Некоторые параметры конфигурации в приложениях (например, приложения с типами пакетов) нельзя настроить с помощью конструктора конфигураций. Используйте редактор JSON для этих значений. Параметры предоставляются приложениям автоматически при установке приложения.

  1. В поле Формат параметров конфигурации выберите Ввести редактор JSON.
  2. В редакторе можно определить значения JSON для параметров конфигурации. Вы можете выбрать Скачать шаблон JSON , чтобы скачать пример файла, который затем можно настроить.
  3. Нажмите кнопку ОК, а затем нажмите кнопку Добавить.

Политика создается и отображается в списке.

Когда назначенное приложение запускается на устройстве, оно запускается с параметрами, настроенными в политике конфигурации приложений.

Включение подключенных приложений

Применимо к:
Android 11 и более поздних версий

Пользователи личного рабочего профиля должны иметь Корпоративный портал версии 5.0.5291.0 или более поздней. Пользователям корпоративного рабочего профиля для поддержки не требуется определенная версия приложения Microsoft Intune.

Вы можете разрешить пользователям, использующим личные и корпоративные рабочие профили Android, включать возможности подключенных приложений для поддерживаемых приложений. Этот параметр конфигурации приложения позволяет приложениям подключать и интегрировать данные приложений в рабочих и личных экземплярах приложений.

Чтобы приложение предоставило такой интерфейс, приложение должно интегрироваться с пакетом SDK для подключенных приложений Google, поэтому его поддерживают только ограниченные приложения. Параметр подключенных приложений можно включить заранее, и когда приложения добавляют поддержку, пользователи смогут включить интерфейс подключенных приложений.

Изменение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

Предупреждение

Если вы включите функцию подключенных приложений для приложения, рабочие данные в личных приложениях не будут защищены политикой защиты приложений.

Кроме того, независимо от конфигурации подключенных приложений некоторые изготовители оборудования могут автоматически подключать определенные приложения или могут запрашивать утверждение пользователей для подключения приложений, которые вы не настроите. Примером приложения в этом случае может быть приложение клавиатуры изготовителя оборудования.

Пользователи могут подключать рабочие и личные приложения двумя способами после включения параметра подключенных приложений.

  1. Поддерживаемое приложение может предложить пользователю утвердить подключение между профилями.
  2. Пользователи могут открыть приложение "Параметры" и перейти в раздел Подключенные рабочие & личные приложения, где отображаются все поддерживаемые приложения.

Важно!

Если несколько политик конфигурации приложений предназначены для одного и того же приложения и устройства, а одна политика задает значение Подключенные приложенияEnabled, а другая — нет, конфигурация приложения сообщает о конфликте. Затем устройство запрещает подключенные приложения.

Разрешить приложению быть поставщиком учетных данных

Применимо к:

  • Полностью управляемые устройства Android Enterprise (COBO)
  • Android Enterprise — выделенные устройства (COSU)
  • Корпоративные устройства Android Enterprise с рабочим профилем (COPE)
  • Устройства с личным рабочим профилем Android Enterprise (BYOD) после миграции на API управления Android (AM API)

Возможность поставщика учетных данных Android позволяет контролировать, какие приложения могут выступать в качестве поставщиков учетных данных на уровне системы, отвечающих за автоматическое заполнение паролей и хранение ключей доступа на управляемых устройствах Android Enterprise, как корпоративных, так и личных устройств с рабочим профилем (BYOD).

По умолчанию Android запрещает сторонним приложениям поставщика учетных данных предоставлять учетные данные. Используйте параметр Поставщик учетных данных , чтобы разрешить определенным приложениям (например, стороннему диспетчеру паролей) действовать в качестве системного поставщика учетных данных. Microsoft Authenticator разрешен автоматически.

Чтобы настроить разрешения поставщика учетных данных, перейдите в разделКонфигурация>приложений>Создание>управляемых устройств и выберите Android Enterprise в качестве платформы. Выберите Поставщик учетных данных в параметрах, чтобы разрешить определенным приложениям действовать в качестве поставщиков учетных данных.

Этот параметр позволяет:

  • Разрешить определенным приложениям действовать в качестве поставщиков учетных данных
  • Включение входа на основе ключа доступа на управляемых устройствах Android Enterprise
  • Контроль над источниками учетных данных, которые являются доверенными на корпоративных и личных устройствах

Примечание.

Для устройств с личным рабочим профилем (BYOD) поставщик учетных данных поддерживается только после перемещения личных устройств с рабочим профилем в API управления Android (AM API).

Важно!

Google Password Manager не может выступать в качестве поставщика учетных данных на корпоративных устройствах рабочего профиля и личных устройствах с рабочим профилем. Он заблокирован на устройстве конечного пользователя. Используйте другое приложение учетных данных в качестве обходного решения.

Перед переносом личных устройств в API AM

При переносе устройств с личным рабочим профилем (BYOD) в API управления Android (AM API) необходимо создать политики конфигурации приложений для любых приложений с поставщиком учетных данных, к которым пользователи полагаются, прежде чем инициировать миграцию или выбрать регистрацию через Интернет. К общим приложениям поставщика учетных данных относятся:

  • Microsoft Authenticator (разрешено автоматически, политика конфигурации приложений не требуется)
  • Lastpass
  • 1Password
  • Okta
  • Bitwarden
  • Dashlane
  • Протон
  • Callpod
  • Нордпасс
  • Roboform

Если политики конфигурации приложений не применяются перед миграцией для сторонних поставщиков учетных данных:

  • Автозаполнение может работать неправильно для пользователей на устройствах Android 14 и более поздних версий.
  • Вход на основе ключа доступа может быть недоступен на устройствах Android 14 и более поздних версий.

Миграцию из личного рабочего профиля в API AM невозможно отменить. Если вы продолжите работу без необходимых политик конфигурации приложений, вы по-прежнему можете создать их после завершения миграции, чтобы восстановить функциональные возможности поставщика учетных данных для пользователей.

Предварительная настройка состояния предоставления разрешений для приложений

Вы также можете предварительно настроить разрешения приложения для доступа к функциям устройств Android. По умолчанию приложения Android, которым требуются разрешения устройства, например доступ к расположению или камере устройства, запрашивают или запрещают разрешения.

Например, приложение использует микрофон устройства. Пользователю будет предложено предоставить приложению разрешение на использование микрофона.

  1. В Центре администрирования Microsoft Intune выберитеКонфигурация>приложений>Создание>управляемых устройств.
  2. Добавьте следующие свойства:
    • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Политика приложений с запросом на запрос Android Enterprise для всей компании.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
    • Тип регистрации устройств. Этот параметр имеет значение Управляемые устройства.
    • Платформа: выберите Android Enterprise.
  3. Выберите Тип профиля:
  4. Выберите Целевое приложение. Выберите приложение, с которым нужно связать политику конфигурации. Выберите из списка полностью управляемых приложений рабочего профиля Android Enterprise, которые вы утверждаете и синхронизируете с Intune.
  5. Выберите Разрешения>Добавить. В списке выберите доступные разрешения > приложения ОК.
  6. Выберите параметр для каждого разрешения, предоставляемого с помощью этой политики:
    • Запрос. Предложите пользователю принять или отклонить его.
    • Автоматическое предоставление. Автоматическое утверждение без уведомления пользователя.
    • Автоматическое запрещение. Автоматически отклонить, не уведомляя пользователя.
  7. Чтобы назначить политику конфигурации приложений, выберите назначение> политики конфигурации приложений >Выберите группы. Выберите группы пользователей для назначения >Select.
  8. Нажмите кнопку Сохранить , чтобы назначить политику.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначение и отслеживание приложения.

  • Last updated on