Поделиться через


Политики конфигурации приложений в Microsoft Intune

Политики конфигурации приложений помогают устранить проблемы с настройкой приложений, позволяя назначать параметры конфигурации политике, которая назначается конечным пользователям перед запуском приложения. Затем параметры предоставляются автоматически, когда приложение настроено на устройстве конечных пользователей, и конечным пользователям не нужно принимать меры. Параметры конфигурации уникальны для каждого приложения.

Вы можете создавать и использовать политики конфигурации приложений для предоставления параметров конфигурации для приложений iOS/iPadOS или Android. Эти параметры конфигурации позволяют настраивать приложение с помощью конфигурации и управления приложениями. Параметры политики конфигурации используются, когда приложение проверяет эти параметры (как правило, при первом запуске приложения).

Например, для параметра конфигурации приложения может потребоваться указать следующие сведения:

  • Пользовательский номер порта
  • Языковые параметры
  • Параметры безопасности
  • Параметры фирменной символики, такой как логотип компании

Если бы конечные пользователи вводили эти параметры, они могли бы сделать это неправильно. Политики конфигурации приложений помогают обеспечить согласованность на предприятии и уменьшить количество обращений в службу поддержки от конечных пользователей, пытающихся самостоятельно настроить параметры. Благодаря политикам конфигурации приложений внедрение новых приложений происходит проще и быстрее.

Доступные параметры конфигурации и реализация параметров конфигурации определяются разработчиками приложения. Документацию от поставщика приложения следует просмотреть, чтобы узнать, какие конфигурации доступны и как конфигурации влияют на работу приложения. Intune заполняет доступные параметры конфигурации для некоторых приложений.

Примечание.

Приложения из управляемого магазина Google Play, которые поддерживают конфигурацию, будут помечены следующим образом:

Снимок экрана: настроенное приложение

При использовании управляемых устройств в качестве типа регистрации для устройств Android вы увидите только приложения из управляемого магазина Google Play, а не из магазина Google Play.

Политику конфигурации приложений можно назначить группе конечных пользователей и устройств с помощью сочетания назначений включения и исключения. В процессе добавления или обновления политики конфигурации приложений можно задать назначения для политики конфигурации приложений. При настройке назначений для политики можно включить и исключить группы конечных пользователей, к которым применяется политика. Если выбрано включение одной или нескольких групп, то можно выбрать определенные включаемые группы. Также можно выбрать встроенные группы. К встроенным группам относятся категории Все пользователи, Все устройства и Все пользователи + все устройства.

Фильтры также можно использовать для уточнения область назначения при развертывании политик конфигурации приложений для управляемых устройств iOS и Android. Сначала необходимо создать фильтр , используя любое из доступных свойств для iOS и Android. Затем в центре администрирования Microsoft Intune можно назначить политику конфигурации управляемых приложений, выбрав Политикиконфигурации>приложений>Добавить>управляемые устройства и перейти на страницу назначения. Выбрав группу, можно уточнить применимость политики, выбрав фильтр и выбрав его в режиме включения или исключения .

Рабочая нагрузка политики конфигурации приложений содержит список политик конфигурации приложений, созданных для клиента. Этот список содержит сведения про имя, платформу, обновление, тип регистрации и теги области. Для получения дополнительных сведений о конкретной политике конфигурации приложений выберите политику. В области Обзор политики можно просмотреть конкретные сведения, например состояние политики на основе устройства и пользователя, а также сведения о том, назначена ли политика.

Приложения, поддерживающие конфигурацию приложений

Конфигурация приложений может быть доставлена через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (управляемый канал Конфигурация приложений для iOS или Android в канале Enterprise для Android) или через канал управления мобильными приложениями (MAM).

Intune представляет различные каналы политик конфигурации приложений, такие как:

  • Управляемые устройства. Устройство управляется Intune в качестве единого поставщика управления конечными точками. Приложение должно быть закреплено в профиле управления в iOS/iPadOS или развернуто с помощью управляемого Google Play на устройствах Android. Кроме того, приложение поддерживает требуемую конфигурацию приложения.
  • Управляемые приложения — приложение, которое либо интегрировало пакет SDK для Intune приложений, либо было упаковано с помощью средства упаковки Intune и поддерживает политики защиты приложений (APP). В этой конфигурации не имеет значения ни состояние регистрации устройства, ни способ доставки приложения на устройство. Приложение поддерживает требуемую конфигурацию приложения.

Тип регистрации устройства

Приложения могут обрабатывать параметры политики конфигурации приложений по-разному в соответствии с предпочтениями пользователя. Например, в Outlook для iOS и Android параметр конфигурации приложения Сортировка почты будет учитывать параметры пользователя, позволяя пользователю переопределить намерение администратора. Другие параметры позволяют контролировать, может ли пользователь изменять параметр в зависимости от намерения администратора.

Примечание.

Это требование не применяется к устройствам Android с Microsoft Teams , поскольку эти устройства по-прежнему будут поддерживаться.

Для политик защиты приложений Intune и конфигурации приложений с помощью политик конфигурации управляемых приложений, Intune требует Android 9.0 или более новую версию.

Управляемые устройства

Выбор управляемых устройств в качестве типа регистрации устройств относится к приложениям, развернутым Intune на зарегистрированном устройстве и, таким образом, управляются Intune в качестве поставщика регистрации.

Для поддержки конфигурации приложений, развернутых с помощью Intune на зарегистрированных устройствах, приложения должны быть написаны для поддержки использования конфигураций приложений, определенных в ОС. Обратитесь к поставщику приложений, чтобы узнать, какие ключи конфигурации приложения поддерживаются для доставки через канал ОС MDM. Обычно выделяют четыре сценария установки конфигурации приложения с помощью канала MDM операционной системы.

  • Разрешение только для рабочих и учебных учетных записей
  • Установка параметров конфигурации в учетной записи
  • Общие параметры конфигурации приложения
  • Параметры конфигурации S/MIME

Управляемые приложения

Выбор управляемых приложений в качестве типа регистрации устройств относится к приложениям, настроенным с помощью политики защиты приложений Intune на устройствах независимо от состояния регистрации.

Для поддержки конфигурации приложения через канал MAM приложение должно быть интегрировано с пакетом SDK для приложений Intune. Бизнес-приложения могут либо интегрировать пакет SDK для приложений Intune, либо использовать инструмент упаковки приложений Intune. Сравнение пакета SDK для приложений Intune и инструмента упаковки приложений Intune см. в статье Подготовка бизнес-приложений к политикам защиты приложений.

Доставка конфигурации приложения через канал MAM не требует регистрации устройства или управления приложением или доставки с помощью единого решения для управления конечными точками. Существуют три сценария установки конфигурации приложения с помощью канала MAM:

  • Общие параметры конфигурации приложения
  • Параметры конфигурации S/MIME
  • Расширенные параметры защиты данных APP, которые расширяют возможности, предоставляемые политиками защиты приложений

Примечание.

Intune управляемые приложения будут проверка с интервалом в 30 минут для состояния политики Intune Конфигурация приложений при развертывании в сочетании с политикой защиты приложений Intune. Если политика защиты приложений Intune не назначена пользователю, то интервал регистрации конфигурации политик приложений Intune будет составлять 720 минут.

Сведения о том, какие приложения поддерживают конфигурацию приложений через канал MAM, см. в статье Приложения, защищенные с помощью Microsoft Intune.

Политики конфигурации приложений Android Enterprise

Для политик конфигурации приложений Android Enterprise можно выбрать тип регистрации устройства перед созданием профиля конфигурации приложения. Вы можете зарегистрировать профили сертификатов с учетом типа регистрации.

Тип регистрации может быть одним из следующих:

  • Все типы профилей. Если создается новый профиль и для типа регистрации устройства выбран все типы профилей , вы не сможете связать профиль сертификата с политикой конфигурации приложения. Этот параметр поддерживает проверку подлинности с использованием имени пользователя и пароля. Если вы используете проверку подлинности на основе сертификатов, не используйте этот параметр.
  • Полностью управляемый, выделенный и Corporate-Owned рабочий профиль. Если создан новый профиль и выбран параметр Полностью управляемый, выделенный и Corporate-Owned только рабочий профиль, можно использовать политики сертификатов "Полный управляемый", "Выделенный" и "Corporate-Owned", созданные в разделе"Конфигурацияуправления>устройствами>". Этот параметр поддерживает проверку подлинности на основе сертификата, а также проверку подлинности с использованием имени пользователя и пароля. Полностью управляемое относится к полностью управляемым устройствам Android Enterprise (COBO). Выделенные относятся к выделенным устройствам Android Enterprise (COSU). Корпоративный рабочий профиль относится к корпоративному рабочему профилю Android Enterprise (COPE).
  • Только личный рабочий профиль. Если создан новый профиль и выбран только личный рабочий профиль, можно использовать политики сертификатов рабочего профиля, созданныев разделеКонфигурация>управления устройствами>. Этот параметр поддерживает проверку подлинности на основе сертификата, а также проверку подлинности с использованием имени пользователя и пароля.

Примечание.

При развертывании профиля конфигурации Gmail или Nine в выделенном рабочем профиле устройства Android Enterprise, который не включает пользователя, произойдет сбой, так как Intune не удается разрешить пользователя.

Важно!

Существующие политики, созданные до выпуска этой функции (выпуск за апрель 2020 г. — 2004 г.), не имеющие профилей сертификатов, связанных с политикой, по умолчанию будут иметь значение Все типы профилей для типа регистрации устройств. Кроме того, существующие политики, созданные до выпуска этой функции с связанными с ними профилями сертификатов, по умолчанию будут иметь значение Только рабочий профиль.

Существующие политики не будут исправлять или выдавать новые сертификаты.

Проверка политики конфигурации примененного приложения

Политику конфигурации приложений можно проверить с помощью следующих трех методов:

  1. Проверьте политику конфигурации приложения на устройстве. Убедитесь, что целевое приложение демонстрирует работу, соответствующую политике конфигурации приложения.

  2. Проверьте с помощью журналов диагностики (см. раздел Журналы диагностики ниже).

  3. Проверьте в Центре администрирования Microsoft Intune. В центре администрирования Microsoft Intune выберите Приложения>Все приложения>, выберите связанное приложение*. Затем в разделе Монитор выберите Состояние установки устройства: Отчет о состоянии установки устройства отслеживает последние проверка для всех устройств, на которые нацелена политика конфигурации. Первый снимок экрана: состояние установки устройства

    Кроме того, в Центре администрирования Microsoft Intune выберите Устройства>Все устройства> выберитеконфигурация приложенияустройства>. В области конфигурация приложения** будут отображаться все назначенные политики и их состояние:

    Снимок экрана: конфигурация приложения

Журналы диагностики

Конфигурация iOS/iPadOS на неуправляемых устройствах

Вы можете проверить конфигурацию iOS/iPadOS с помощью журнала диагностики Intune для параметров, развернутых с помощью политик конфигурации управляемых приложений. В дополнение к приведенным ниже шагам вы можете получить доступ к журналам управляемых приложений с помощью Microsoft Edge. Дополнительные сведения см. в статье Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений.

  1. Если на устройстве еще не установлено, скачайте и установите Microsoft Edge из App Store. Дополнительные сведения см. в разделе Microsoft Intune защищенных приложений.

  2. Запустите Microsoft Edge и введите about:intunehelp в поле адреса.

  3. Нажмите кнопку Начало работы.

  4. Щелкните Общий доступ к журналам.

  5. Используйте почтовое приложение, чтобы отправить журнал себе, чтобы их можно было просматривать на компьютере.

  6. ПросмотритеIntuneMAMDiagnostics.txt в средстве просмотра текстовых файлов.

  7. Найдите ApplicationConfiguration. Результаты будут выглядеть следующим образом:

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
                Value = true;
                }
            );
        }
    

Сведения о конфигурации приложения должны соответствовать политикам конфигурации приложений, настроенным для клиента.

Целевая конфигурация приложения

Конфигурация iOS/iPadOS на управляемых устройствах

Вы можете проверить конфигурацию iOS/iPadOS с помощью Intune журнала диагностики на управляемых устройствах для настройки управляемого приложения.

  1. Если на устройстве еще не установлено, скачайте и установите Microsoft Edge из App Store. Дополнительные сведения см. в разделе Microsoft Intune защищенных приложений.
  2. Запустите Microsoft Edge и введите about:intunehelp в поле адреса.
  3. Нажмите кнопку Начало работы.
  4. Щелкните Общий доступ к журналам.
  5. Используйте почтовое приложение, чтобы отправить журнал себе, чтобы их можно было просматривать на компьютере.
  6. ПросмотритеIntuneMAMDiagnostics.txt в средстве просмотра текстовых файлов.
  7. Найдите AppConfig. Результаты должны соответствовать политикам конфигурации приложений, настроенным для клиента.

Конфигурация Android на управляемых устройствах

Вы можете проверить конфигурацию Android с помощью Intune журнала диагностики на управляемых устройствах для настройки управляемого приложения.

Чтобы собрать журналы с устройства Android, вы или конечный пользователь должны скачать журналы с устройства через USB-подключение (или проводник эквивалент на устройстве). Эти этапы описаны ниже.

  1. Подключите устройство Android к компьютеру с помощью USB-кабеля.

  2. На компьютере найдите каталог с именем устройства. В этом каталоге найдите Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

  3. В папке com.microsoft.windowsintune.companyportal откройте папку Файлы и откройте OMADMLog_0.

  4. Выполните поиск сообщений, AppConfigHelper связанных с конфигурацией приложения. Результаты будут выглядеть примерно так, как в следующем блоке данных:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"[email protected]"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

API Graph поддержка конфигурации приложений

Для выполнения задач по настройке приложений можно использовать API Graph. Дополнительные сведения см. в разделе API Graph Reference MAM Targeted Config. Дополнительные сведения о Intune и Graph см. в статье Работа с Intune в Microsoft Graph.

Устранение неполадок

Использование журналов для отображения параметра конфигурации

Если в журналах отображается параметр конфигурации, который, как утверждается, применяется, но не работает, может возникнуть проблема с реализацией конфигурации разработчиком приложения. Сначала обратитесь к разработчику приложений или проверьте его база знаний, может сохранить обращение в службу поддержки Майкрософт. Если это проблема с тем, как конфигурация обрабатывается в приложении, ее необходимо будет решить в будущей обновленной версии этого приложения.

Дальнейшие действия

Управляемые устройства

Управляемые приложения