Поделиться через

Добавление политик конфигурации приложений для управляемых устройств Android Enterprise

  • Статья

Политики конфигурации приложений в Microsoft Intune предоставляют параметры для управляемых приложений Google Play на управляемых устройствах Android Enterprise. Разработчик приложения предоставляет параметры конфигурации приложения, управляемого Android. Intune использует эти доступные параметры, чтобы разрешить администратору настраивать функции для приложения. Политика конфигурации приложений назначается группам пользователей. Параметры политики используются, когда приложение проверяет их, как правило, при первом запуске приложения.

Не все приложения поддерживают конфигурацию приложений. Обратитесь к разработчику приложений, чтобы узнать, поддерживает ли его приложение политики конфигурации приложений.

Примечание.

Для сценариев регистрации устройств и конфигурации приложений, выполняемых с помощью политик конфигурации приложения на управляемых устройствах Intune требует Android 8.x или более новую версию. Это требование не применяется к устройствам Android с Microsoft Teams , поскольку эти устройства по-прежнему будут поддерживаться.

Для политик защиты приложений Intune и конфигурации приложений с помощью политик конфигурации управляемых приложений, Intune требует Android 9.0 или более новую версию.

Приложения электронной почты

Android Enterprise имеет несколько методов регистрации. Тип регистрации зависит от того, как настроена электронная почта на устройстве:

  • В полностью управляемых, выделенных и корпоративных рабочих профилях Android Enterprise используйте политику конфигурации приложений и действия, описанные в этой статье. Политики конфигурации приложений поддерживают почтовые приложения Gmail и Nine Work.
  • На личных устройствах Android Enterprise с рабочим профилем создайте профиль конфигурации устройства электронной почты Android Enterprise. При создании профиля можно настроить параметры для клиентов электронной почты, поддерживающих политики конфигурации приложений. При использовании конструктора конфигураций Intune включает параметры электронной почты, характерные для приложений Gmail и Nine Work.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения>Политики конфигурации приложений>Добавить>Управляемые устройства. Обратите внимание, что можно выбрать Управляемые устройства и Управляемые приложения. Дополнительные сведения см. в разделе Приложения, поддерживающие конфигурацию приложений.

  3. На странице Основные укажите следующие сведения:

    • Имя — имя профиля, отображаемого на портале.
    • Описание — описание профиля, отображаемого на портале.
    • Тип регистрации устройства — для этого параметра задано значение Управляемые устройства.

  4. Выберите Android Enterprise в качестве платформы.

  5. Щелкните Выбрать приложение рядом с полем Целевое приложение. Появится панель Связанное приложение.

  6. В области Связанное приложение выберите управляемое приложение, которое будет связано с политикой конфигурации, и нажмите кнопку ОК.

  7. Нажмите Далее, чтобы отобразить страницу Параметры.

  8. Нажмите кнопку Добавить , чтобы открыть панель Добавить разрешения .

  9. Щелкните разрешения, которые нужно переопределить. Предоставленные разрешения переопределяют политику "Разрешения приложений по умолчанию" для выбранных приложений.

  10. Задайте состояние Разрешения для каждого разрешения. Вы можете выбрать запрос, Автоматическое предоставление или Автоматическое запрещение.

    Примечание.

    По состоянию на Android 12 настройка автоматического предоставления для следующих разрешений не поддерживается для рабочего профиля, принадлежащего сопорату, или для выделенных корпоративных устройств.

    • SMS (чтение)
    • Доступ к расположению (грубый)
    • Доступ к расположению (штраф)
    • Камера
    • Запись звука
    • Разрешить данные датчика тела

  11. Если управляемое приложение поддерживает параметры конфигурации, отображается раскрывающийся список Формат параметров конфигурации . Используйте один из следующих методов, чтобы добавить сведения о конфигурации:

    • Конструктор конфигураций
    • Ввод данных JSON

    Дополнительные сведения об использовании конструктора конфигураций см. в разделе Использование конструктора конфигураций. Дополнительные сведения о вводе XML-данных см . в разделе Ввод данных JSON.

  12. Если необходимо разрешить пользователям подключать целевое приложение как к рабочему, так и к личному профилям, выберите Включено рядом с пунктом Подключенные приложения.

    Снимок экрана: политика конфигурации — параметры

    Примечание.

    Этот параметр работает только для устройств с личным рабочим профилем и корпоративным рабочим профилем.

    Изменение значение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

  13. Нажмите Далее, чтобы отобразить страницу Теги области.

  14. [Необязательно] Можно настроить теги области для политики конфигурации приложений. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  15. Нажмите Далее, чтобы отобразить страницу Параметры.

  16. В раскрывающемся списке рядом с пунктом Назначить выберите Добавить группы, Добавить всех пользователей или Добавить все устройства для назначения политики конфигурации приложений. После выбора группы назначения можно выбрать фильтр, чтобы более точно задать область назначения при развертывании политик конфигурации приложений на управляемых устройствах.

    Снимок экрана: назначения политик

  17. Выберите Все пользователи в раскрывающемся списке.

    Снимок экрана: назначение политик — раскрывающийся список

  18. [Необязательно] Щелкните Изменить фильтр, чтобы добавить фильтр и уточнить область назначения.

    Снимок экрана: назначения политик — изменение фильтра

  19. Щелкните Выбрать группы для исключения, чтобы показать соответствующую панель.

  20. Выберите группы, которые нужно исключить, затем нажмите кнопку Выбрать.

    Примечание.

    Если какая-либо группа уже была включена для заданного типа назначения, то она будет заранее выбрана, ее будет невозможно изменить для других типов назначений включения при добавлении групп. Таким образом, группу, которая была использована, невозможно использовать в качестве исключаемой.

  21. Выберите Далее, чтобы перейти на страницу Просмотр и создание.

  22. Нажмите кнопку Создать, чтобы добавить политику конфигурации приложений в Intune.

Использование конструктора конфигураций

Конструктор конфигураций можно использовать для управляемых приложений Google Play, если приложение предназначено для поддержки параметров конфигурации. Конфигурация применяется к устройствам, зарегистрированным в Intune. Конструктор позволяет настроить определенные значения конфигурации для параметров, предоставляемых приложением.

  1. Нажмите Добавить. Выберите список параметров конфигурации, которые нужно ввести для приложения.

    Если вы используете приложения электронной почты Gmail или Nine Work, параметры устройства Android Enterprise для настройки электронной почты содержат дополнительные сведения об этих параметрах.

  2. Для каждого ключа и значения в конфигурации укажите:

    • Тип значения: тип данных значения конфигурации. Для строковых типов значений можно при необходимости выбрать переменную или профиль сертификата в качестве типа значения.
    • Значение конфигурации: значение конфигурации. Если для типа значения выбрана переменная или сертификат, выберите из списка переменных или профилей сертификатов. При выборе сертификата псевдоним сертификата, развернутого на устройстве, заполняется во время выполнения.

Поддерживаемые переменные для значений конфигурации

Если в качестве типа значения выбрана переменная, можно выбрать следующие параметры:

Вариант Пример
Идентификатор устройства Microsoft Entra dc0dc142-11d8-4b12-bfea-cae2a8514c82
ID счета fc0dc142-71d8-4b12-bbea-bae2a8514c81
Идентификатор устройства Intune b9841cd9-9843-405f-be28-b2265c59ef97
Домен contoso.com
Почта [email protected]
Частичное имя участника-пользователя John
Идентификатор пользователя 3ec2c00f-b125-4519-acf0-302ac3761822
Имя пользователя Воображаемый истец
"User Principal Name" (Имя участника-пользователя); [email protected]

Разрешить только настроенные учетные записи организации в приложениях

Если вы являетесь администратором Microsoft Intune, вы можете определять, какие рабочие или учебные учетные записи добавляются приложения Майкрософт на управляемых устройствах. Можно предоставить доступ только разрешенным пользователям организации и заблокировать личные учетные записи на зарегистрированных устройствах. Для устройств Android используйте следующие пары "ключ-значение" в политике конфигурации приложения "Управляемые устройства":

Ключ com.microsoft.intune.mam.AllowedAccountUPNs
Значения
  • Одно или несколько ; разделенных имен участника-пользователей.
  • Разрешены только управляемые учетные записи пользователей, определенные этим ключом.
  • Для устройств, зарегистрированных в Intune, можно использовать маркер {{userprincipalname}} для представления зарегистрированной учетной записи пользователя.

Примечание.

Следующие приложения обрабатывают описанную выше конфигурацию приложений и разрешают только учетные записи организации:

  • Copilot для Android (28.1.420328045 и более поздние версии)
  • Edge для Android (42.0.4.4048 и более поздние версии)
  • Office, Word, Excel, PowerPoint для Android (16.0.9327.1000 и более поздние версии)
  • OneDrive для Android (5.28 и более поздних версий)
  • OneNote для Android (16.0.13231.20222 или более поздней версии)
  • Outlook для Android (2.2.222 и более поздние версии)
  • Teams для Android (1416/1.0.0.2020073101 и более поздние версии)

Ввод данных JSON

Некоторые параметры конфигурации в приложениях (например, приложения с типами пакетов) нельзя настроить с помощью конструктора конфигураций. Используйте редактор JSON для этих значений. Параметры предоставляются приложениям автоматически при установке приложения.

  1. В поле Формат параметров конфигурации выберите Ввести редактор JSON.
  2. В редакторе можно определить значения JSON для параметров конфигурации. Вы можете выбрать Скачать шаблон JSON , чтобы скачать пример файла, который затем можно настроить.
  3. Нажмите кнопку ОК, а затем нажмите кнопку Добавить.

Политика создается и отображается в списке.

Когда назначенное приложение запускается на устройстве, оно запускается с параметрами, настроенными в политике конфигурации приложений.

Включение подключенных приложений

Применимо к:
Android 11 и более поздних версий

Пользователи личного рабочего профиля должны иметь корпоративный портал версии 5.0.5291.0 или более поздней. Пользователям корпоративного рабочего профиля для поддержки не требуется определенная версия приложения Microsoft Intune.

Вы можете разрешить пользователям, использующим личные и корпоративные рабочие профили Android, включать возможности подключенных приложений для поддерживаемых приложений. Этот параметр конфигурации приложения позволяет приложениям подключать и интегрировать данные приложений в рабочих и личных экземплярах приложений.

Чтобы приложение предоставило такой интерфейс, приложение должно интегрироваться с пакетом SDK для подключенных приложений Google, поэтому его поддерживают только ограниченные приложения. Параметр подключенных приложений можно включить заранее, и при добавлении поддержки приложения пользователи смогут включить интерфейс подключенных приложений.

Изменение значение параметра Подключенные приложения на Не настроено не приведет к удалению политики конфигурации с устройства. Чтобы удалить функцию подключенных приложений с устройства, необходимо отменить назначение связанной политики конфигурации.

Предупреждение

Если включить функцию подключенных приложений для приложения, рабочие данные в личных приложениях не будут защищены политикой защиты приложений.

Кроме того, независимо от конфигурации подключенных приложений некоторые изготовители оборудования могут автоматически подключать определенные приложения или запрашивать утверждение пользователя для подключения приложений, которые вы не настроили. Примером приложения в этом случае может быть приложение клавиатуры изготовителя оборудования.

Пользователи могут подключать рабочие и личные приложения двумя способами после включения параметра подключенных приложений:

  1. Поддерживаемое приложение может предложить пользователю утвердить подключение между профилями.
  2. Пользователи могут открыть приложение Параметры и перейти в раздел Подключенные рабочие & личные приложения, где они увидят все поддерживаемые приложения.

Важно!

Если для одного приложения, ориентированного на одно и то же устройство, назначено несколько политик конфигурации приложений, а для одной политики задано значение Connected AppsEnabled , а для другой политики — нет, конфигурация приложения сообщит о конфликте, и в результате на устройстве будет запрещено использование подключенных приложений.

Предварительная настройка состояния предоставления разрешений для приложений

Вы также можете предварительно настроить разрешения приложения для доступа к функциям устройств Android. По умолчанию приложения Android, которым требуются разрешения устройства, например доступ к расположению или камере устройства, запрашивают или запрещают разрешения.

Например, приложение использует микрофон устройства. Пользователю будет предложено предоставить приложению разрешение на использование микрофона.

  1. В Центре администрирования Microsoft Intune выберите Приложения>Политики конфигурации приложений>Добавить>управляемые устройства.
  2. Добавьте следующие свойства:
    • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — Политика приложений с запросом на запрос Android Enterprise для всей компании.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
    • Тип регистрации устройств. Этот параметр имеет значение Управляемые устройства.
    • Платформа: выберите Android Enterprise.
  3. Выберите Тип профиля:
  4. Выберите Целевое приложение. Выберите приложение, с которым нужно связать политику конфигурации. Выберите из списка полностью управляемых приложений рабочего профиля Android Enterprise, которые вы утвердили и синхронизировали с Intune.
  5. Выберите Разрешения>Добавить. В списке выберите доступные разрешения > приложения ОК.
  6. Выберите параметр для каждого разрешения, предоставляемого с помощью этой политики:
    • Запрос. Предложите пользователю принять или отклонить его.
    • Автоматическое предоставление. Автоматическое утверждение без уведомления пользователя.
    • Автоматическое запрещение. Автоматически отклонить, не уведомляя пользователя.
  7. Чтобы назначить политику конфигурации приложений, выберите назначение> политики конфигурации приложений >Выберите группы. Выберите группы пользователей для назначения >Select.
  8. Нажмите кнопку Сохранить , чтобы назначить политику.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначение и отслеживание приложения.