Поделиться через


Добавление политик конфигурации приложений для управляемых устройств с iOS и iPadOS

Используйте политики конфигурации приложений в Microsoft Intune, чтобы предоставлять настраиваемые параметры конфигурации приложениям для iOS/iPadOS. С помощью этих параметров конфигурации можно настраивать приложения в соответствии с указаниями поставщиков приложений. Параметры конфигурации (ключи и значения) нужно получать у поставщиков приложений. Чтобы настроить приложение, укажите параметры в виде ключей и значений или на языке XML с ключами и значениями.

Если вы являетесь администратором Microsoft Intune, вы можете определять, какие учетные записи пользователей добавляются в приложения Microsoft 365 (Office) на управляемых устройствах. Можно предоставить доступ только разрешенным пользователям организации и заблокировать личные учетные записи на зарегистрированных устройствах. Вспомогательные приложения обрабатывают конфигурацию приложения, удаляют и блокируют учетные записи, которые не были утверждены. Параметры политики конфигурации используются, когда приложение проверяет эти параметры (как правило, при первом запуске).

После добавления политики конфигурации приложения можно настроить назначения для этой политики. При настройке назначений для политики можно использовать фильтрацию и включать или исключать группы пользователей, к которым применяется политика. Если выбрано включение одной или нескольких групп, то можно выбрать определенные включаемые группы. Также можно выбрать встроенные группы. К встроенным группам относятся категории Все пользователи, Все устройства и Все пользователи + все устройства.

Примечание.

В консоли Intune для вашего удобства доступны предварительно созданные группы Все пользователи и Все устройства со встроенной оптимизацией. Настоятельно рекомендуется использовать эти группы для всех пользователей и всех устройств, но не следует использовать группы "Все пользователи" или "Все устройства", которые вы могли создать самостоятельно.

После выбора групп, включенных в политику конфигурации приложений, также можно выбрать и исключаемые группы. Дополнительные сведения см. в статье Включение и исключение назначений приложений в Microsoft Intune.

Совет

В настоящее время этот тип политики доступен только для устройств с iOS/iPadOS 8.0 и более поздних версий. Поддерживаются следующие типы установки приложений:

  • Управляемое приложение для iOS/iPadOS из App Store
  • Пакет приложения для iOS

Дополнительные сведения о типах установки приложений см. в статье Добавление приложений в Microsoft Intune. Для получения дополнительных сведений о включении конфигураций приложения в пакет приложения .IPA для управляемых устройств см. статью "Конфигурация управляемых приложений" в документации для разработчиков iOS.

Создание политики конфигурации приложений

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения>Политики конфигурации приложений>Добавить>Управляемые устройства. Обратите внимание, что можно выбрать Управляемые устройства и Управляемые приложения. Дополнительные сведения см. в разделе Приложения, поддерживающие конфигурацию приложений.

  3. На странице Основные укажите следующие сведения:

    • Имя — имя профиля, которое отображается в Центре администрирования Microsoft Intune.
    • Описание — описание профиля, которое отображается в Центре администрирования Microsoft Intune.
    • Тип регистрации устройства — для этого параметра задано значение Управляемые устройства.
  4. Выберите iOS/iPadOS в качестве значения для параметра Платформа.

  5. Щелкните Выбрать приложение рядом с полем Целевое приложение. Появится панель Связанное приложение.

  6. В области Целевое приложение выберите управляемое приложение для сопоставления с политикой конфигурации, затем нажмите кнопку ОК.

  7. Нажмите Далее, чтобы отобразить страницу Параметры.

  8. В раскрывающемся списке выберите Формат параметров конфигурации. Используйте один из следующих методов, чтобы добавить сведения о конфигурации:

  9. Нажмите Далее, чтобы отобразить страницу Теги области.

  10. [Необязательно] Можно настроить теги области для политики конфигурации приложений. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  11. Нажмите кнопку Далее, чтобы показать страницу Назначения.

  12. На странице Назначения выберите Все группы, Добавить всех пользователей или Добавить все устройства, чтобы назначить политику конфигурации приложений. После выбора группы назначения можно выбрать фильтр, чтобы более точно задать область назначения при развертывании политик конфигурации приложений на управляемых устройствах.

    Снимок экрана: страница назначений политик конфигурации

  13. Выберите Все пользователи в раскрывающемся списке.

    Снимок экрана: назначение политики — вариант

  14. [Необязательно] Щелкните Изменить фильтр, чтобы добавить фильтр и уточнить область назначения.

    Снимок экрана: назначения политики — изменение фильтра

  15. Щелкните Выбрать группы для исключения, чтобы показать соответствующую панель.

  16. Выберите группы, которые нужно исключить, затем нажмите кнопку Выбрать.

    Примечание.

    Если какая-либо группа уже была включена для заданного типа назначения, то она будет заранее выбрана, ее будет невозможно изменить для других типов назначений включения при добавлении групп. Таким образом, группу, которая была использована, невозможно использовать в качестве исключаемой.

  17. Выберите Далее, чтобы перейти на страницу Просмотр и создание.

  18. Нажмите кнопку Создать, чтобы добавить политику конфигурации приложений в Intune.

Использование конструктора конфигураций

Microsoft Intune предоставляет параметры конфигурации, уникальные для каждого приложения. Можно использовать конструктор конфигураций для приложений на устройствах, зарегистрированных или не зарегистрированных в Microsoft Intune. С помощью конструктора можно настроить определенные ключи и значения конфигураций для создания базового XML-кода. Также необходимо указать тип данных для каждого значения. Эти параметры автоматически предоставляются приложениям при их установке.

Добавление параметра

  1. Для каждого ключа и значения в конфигурации укажите:
    • Ключ конфигурации — ключ с учетом регистра, однозначно идентифицирующий конкретную конфигурацию параметра.
    • Тип значения — тип данных значения конфигурации. Поддерживаемые типы: Integer (целое число), Real (действительное число), String (строка) и Boolean (логический).
    • Значение конфигурации — значение конфигурации.
  2. Нажмите кнопку ОК, чтобы настроить параметры конфигурации.

Удаление параметра

  1. Нажмите кнопку с многоточием (...) рядом с параметром.
  2. Выберите Удалить.

Символы {{ and }} используются только типами маркеров, их нельзя использовать для других целей.

Разрешить только настроенные учетные записи организации в приложениях

Если вы являетесь администратором Microsoft Intune, вы можете определять, какие рабочие или учебные учетные записи добавляются приложения Майкрософт на управляемых устройствах. Можно предоставить доступ только разрешенным пользователям организации и заблокировать личные учетные записи в приложениях (если это поддерживается) на зарегистрированных устройствах. Для устройств с iOS/iPadOS используйте следующие пары ключей и значений в политике конфигурации приложений "Управляемые устройства":

Key Значения
IntuneMAMAllowedAccountsOnly
  • Значение Enabled: разрешена только управляемая учетная запись пользователя, определенная ключом IntuneMAMUPN.
  • Значение Disabled (или любое значение, не совпадающее с Enabled без учета регистра):разрешены любые учетные записи.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для устройств, зарегистрированных в Intune, можно использовать маркер {{userprincipalname}} для представления зарегистрированной учетной записи пользователя.

Примечание.

Следующие приложения обрабатывают описанную выше конфигурацию приложений и разрешают только учетные записи организации:

  • Copilot для iOS (28.1.420324001 и более поздние версии)
  • Edge для iOS (44.8.7 и более поздние версии)
  • Office, Word, Excel, PowerPoint для iOS (2.41 и более поздние версии)
  • OneDrive для iOS (10.34 и более поздние версии)
  • OneNote для iOS (2.41 и более поздние версии)
  • Outlook для iOS (2.99.0 и более поздние версии)
  • Teams для iOS (2.0.15 и более поздние версии)

Требование настроенных учетных записей организаций в приложениях

Организации могут требовать, чтобы на зарегистрированных устройствах рабочие или учебные учетные записи входили в управляемые приложения Майкрософт для получения данных организации из других управляемых приложений. Например, рассмотрим ситуацию, когда у пользователя есть вложения в сообщениях электронной почты, которые содержатся в управляемом профиле электронной почты во встроенном почтовом клиенте для iOS. Если пользователь попытается передать вложения в какое-либо приложение Майкрософт (например, в Office), которое является управляемым на устройстве и к которому применены эти ключи, то такая конфигурация будут рассматривать передаваемое вложение как данные организации. В этом случае учебной рабочей или учебной учетной записи потребуется выполнить вход, будут принудительно применены параметры политики защиты приложений.

Для устройств с iOS/iPadOS используйте следующие пары ключей и значений в политике конфигурации приложений "Управляемые устройства" для каждого приложения Майкрософт:

Key Значения
IntuneMAMRequireAccounts
  • Значение "Enabled": приложению требуется, чтобы пользователь входил в управляемую учетную запись пользователя, определенную ключом IntuneMAMUPN, для получения данных организации.
  • Значение "Disabled" (или любое значение, не совпадающее с "Enabled" без учета регистра): не требуется входить в учетную запись.
IntuneMAMUPN
  • Имя участника-пользователя учетной записи, которой разрешено входить в приложение.
  • Для устройств, зарегистрированных в Intune, можно использовать маркер {{userprincipalname}} для представления зарегистрированной учетной записи пользователя.

Примечание.

У приложений должен быть пакет Intune APP SDK для iOS версии 12.3.3 или более поздней версии. Приложения должны быть в области действия политики защиты приложений Intune при требовании входа в рабочую или учебную учетную запись. В политике защиты приложений для параметра "Получение данных из других приложений" должно быть задано значение "Все приложения с поступающими данными организации".

В настоящее время вход в приложение требуется лишь в том случае, если в целевое приложение поступают данные организации.

Ввод данных в формате XML

Можно ввести или вставить список свойств XML, содержащий параметры конфигурации приложений для устройств, зарегистрированных в Intune. Формат списка свойств XML может различаться в зависимости от настраиваемого приложения. Чтобы узнать, какой именно формат следует использовать, обратитесь к поставщику приложения.

Intune проверяет формат XML. При этом Intune не проверяет совместимость списка свойств XML (PList) с целевым приложением.

Подробнее о списках свойств XML:

Пример формата XML-файла конфигурации приложения

При создании файла конфигурации приложения можно указать одно или несколько указанных далее значений в следующем формате:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Поддерживаемые типы данных PList в XML

Intune поддерживает следующие типы данных для списков свойств:

  • <integer>
  • <real>
  • <string>
  • <array>
  • <dict>
  • <true /> или <false />

Маркеры, используемые в списке свойств

Кроме того, Intune поддерживает следующие типы маркеров в списке свойств:

  • {{userprincipalname}} — например, [email protected]
  • {{mail}} — например, [email protected]
  • {{partialupn}} — например, John
  • {{accountid}} — например, fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} — например, b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}} — например, 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}} — например, John Doe
  • {{serialnumber}} — например, F4KN99ZUG5V2 (для устройств с iOS/iPadOS)
  • {{serialnumberlast4digits}} — например, G5V2 (для устройств с iOS/iPadOS)
  • {{aaddeviceid}} — например, ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} — например, True (для устройств с iOS/iPadOS)
  • {{OnPremisesSamAccountName}} — например, contoso\John

Настройка приложения "Корпоративный портал" для поддержки устройств с iOS и iPadOS, зарегистрированных с помощью автоматической регистрации устройств

По умолчанию функция автоматической регистрации устройств (ADE) Apple несовместима с версией приложения "Корпоративный портал", доступной в App Store. Тем не менее, можно настроить приложение "Корпоративный портал" для поддержки устройств с iOS/iPadOS, зарегистрированных с помощью ADE, даже если пользователи скачали приложение "Корпоративный портал" из App Store. Для этого нужно выполнить перечисленные ниже действия.

  1. В Центре администрирования Microsoft Intune добавьте приложение "Корпоративный портал Intune", если оно еще не добавлено. Для этого перейдите в раздел Приложения>Все приложения>Добавить>Приложение iOS Store.

  2. Перейдите в раздел Приложения>Политики конфигурации приложений, чтобы создать политику конфигурации для приложения "Корпоративный портал".

  3. Создайте политику конфигурации приложения, используя приведенные ниже данные в формате XML. Дополнительные сведения о создании политики конфигурации приложений и вводе данных в формате XML см. в статье Добавление политик конфигурации приложений для управляемых устройств с iOS/iPadOS.

    • Используйте приложение "Корпоративный портал" на устройствах, зарегистрированных с помощью ADE, со сходством пользователей:

      Примечание.

      Если для профиля регистрации задан параметр Установить приложение "Корпоративный портал" со значением "Да", то Intune будет автоматически распространять приведенную ниже политику конфигурации приложения в рамках процесса начальной регистрации. Эту конфигурацию не следует развертывать вручную для пользователей и устройств, поскольку это приведет к возникновению конфликта с полезными данными, которые уже были отправлены при регистрации. В этом случае конечным пользователям будет предложено скачать новый профиль управления после входа в приложение "Корпоративный портал" (что не следует делать, поскольку к этому моменту профиль управления уже будет установлен на устройствах).

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • Использование приложения "Корпоративный портал" на устройствах, зарегистрированных в ADE, без сходства пользователей (такой метод также называется промежуточной подготовкой устройств):

      Примечание.

      Пользователь, входящий в приложение "Корпоративный портал", устанавливается в качестве основного пользователя устройства.

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. Разверните приложение "Корпоративный портал" на устройствах с политикой конфигурации приложений, ориентированной на нужные группы. Разверните политику только для групп устройств, которые уже зарегистрированы в ADE.

  5. Попросите конечных пользователей войти в приложение "Корпоративный портал", когда оно будет автоматически установлено.

Примечание.

Когда вы добавите конфигурацию приложения, чтобы разрешить приложение "Корпоративный портал" на устройствах ADE без сходства пользователей, может возникнуть STATE Policy Error. В отличие от конфигураций других приложений, эта ситуация не возникает при каждой проверке устройства. Эта конфигурация приложения предназначена для однократного применения, чтобы существующие устройства, зарегистрированные без сходства пользователей, могли получить сходство пользователей при входе пользователей в приложение "Корпоративный портал". После успешного применения эта конфигурация приложения удаляется из политики в фоновом режиме. Назначение политики будет существовать, но оно не будет сообщать об успешном применении после удаления конфигурации приложения в фоновом режиме. После применения политики конфигурации приложений к устройству ее можно отменить.

Мониторинг состояния конфигурации приложений для iOS/iPadOS для каждого устройства

После назначения политики конфигурации можно отслеживать состояние конфигурации приложений для iOS/iPadOS для каждого управляемого устройства. В Microsoft Intune в Центре администрирования Microsoft Intune выберите Устройства>Все устройства. В списке управляемых устройств выберите определенное устройство, чтобы показать панель этого устройства. На панели устройства выберите Конфигурация приложений.

Дополнительные сведения

Дальнейшие действия

Продолжайте назначение и отслеживание приложения.