新增受管理 Android 企業版裝置的應用程式設定原則

  • 發行項

Microsoft Intune 中的應用程式設定原則會將設定提供給受管理 Android 企業版裝置上的受管理 Google Play 應用程式。 應用程式開發人員會公開 Android 管理的應用程式組態設定。 Intune 會使用這些公開設定,讓系統管理員設定應用程式的功能。 應用程式設定原則會指派給您的使用者群組。 原則設定會在應用程式檢查這些設定時使用,通常是在應用程式第一次執行時。

並非每個應用程式都支援應用程式設定。 請與應用程式開發人員確認其應用程式是否支援應用程式設定原則。

注意事項

針對裝置註冊案例和透過受管理裝置應用程式組態原則傳遞的應用程式組態,Intune 需要 Android 8.x 或更新版本。 此需求不適用 Microsoft Teams Android 裝置,因為這些裝置將繼續受到支援。

對於透過 [受管理應用程式] 應用程式設定原則傳遞的 Intune 應用程式防護原則與應用程式設定,Intune 需要 Android 9.0 或更新版本。

電子郵件應用程式

Android 企業版有數種註冊方法。 註冊類型取決於在裝置上設定電子郵件的方式:

  • 在 Android 企業版完全受控、專用和公司擁有的工作設定檔上,使用應用程式設定原則和本文中的步驟。 應用程式設定原則支援 Gmail 和 Nine Work 電子郵件應用程式。
  • 在具有工作設定檔的 Android 企業版個人擁有裝置上,建立 Android 企業版電子郵件裝置設定設定檔。 當您建立設定檔時,可以設定支援應用程式設定原則之電子郵件用戶端的設定。 使用組態設計工具時,Intune 會包含 Gmail 和 Nine Work 應用程式專屬的電子郵件設定。

建立應用程式設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 選擇 [應用程式]>[應用程式設定原則]>[新增]>[受管理裝置]。 請注意,您可以在 [受管理裝置][受管理應用程式] 之間進行選擇。 如需詳細資訊,請參閱 支援應用程式設定的應用程式

  3. [基本資料] 頁面上,指定下列資訊:

    • 名稱 - 顯示在入口網站中的設定檔名稱。
    • 描述 - 顯示在入口網站中的設定檔描述。
    • 裝置註冊類型 - 此設定設為 [受管理裝置]

  4. 選取 [Android 企業版] 作為 [平台]

  5. 點擊 [目標應用程式] 旁的 [選取應用程式][相關聯的應用程式] 窗格隨即顯示。

  6. [相關聯的應用程式] 窗格中,選擇要與設定原則相關聯的受管理應用程式,然後按一下 [確定]

  7. 按一下 [下一步] 以顯示 [設定] 頁面。

  8. 按一下 [新增],以顯示 [新增權限] 窗格。

  9. 按一下您要覆寫的權限。 授與的權限會覆寫所選應用程式的「預設應用程式權限」原則。

  10. 針對每個權限,設定 [權限狀態]。 您可以從 [提示][自動授與][自動拒絕] 中選擇。

    注意事項

    從 Android 12 開始,公司擁有的工作設定檔或公司擁有的專用裝置不支援設定 自動授與 下列權限。

    • SMS (讀取)
    • 位置存取權 (粗略)
    • 位置存取權 (精細)
    • 相機
    • 錄製音訊
    • 允許身體感測器資料

  11. 如果受管理應用程式支援組態設定,則會顯示 [組態設定格式] 下拉式方塊。 選取下列其中一個方法,來新增組態資訊:

    • 使用組態設計工具
    • 輸入 JSON 資料

    如需使用組態設計工具的詳細資訊,請參閱 使用組態設計工具。 如需輸入 XML 資料的詳細資訊,請參閱 輸入 JSON 資料

  12. 如果您需要讓使用者跨工作和個人設定檔連結目標應用程式,請選取 [已連結的應用程式] 旁的 [啟用]

    設定原則的螢幕擷取畫面 - 設定

    注意事項

    此設定僅適用於個人擁有的工作設定檔和公司擁有的工作設定檔裝置。

    [已連結的應用程式] 設定變更為 [未設定] 不會從該裝置移除設定原則。 若要從裝置移除 [已連結的應用程式] 功能,您必須取消指派相關的設定原則。

  13. 按一下 [下一步] 以顯示 [範圍標籤] 頁面。

  14. [選擇性] 您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

  15. 按一下 [下一步] 以顯示 [指派] 頁面。

  16. [指派對象] 旁的下拉式方塊中,選取 [新增群組][新增所有使用者][新增所有裝置],以指派應用程式設定原則。 選取指派群組之後,您可以選取 [篩選條件],以在部署受管理裝置的應用程式設定原則時,精簡指派範圍。

    原則指派的螢幕擷取畫面 - 指派

  17. 在下拉式方塊中選取 [所有使用者]

    原則指派的螢幕擷取畫面 - [所有使用者] 下拉式清單選項

  18. [選擇性] 按一下 [編輯篩選條件],以新增 篩選條件 並精簡指派範圍。

    原則指派的螢幕擷取畫面 - 編輯篩選條件

  19. 按一下 [選取要排除的群組] 以顯示相關窗格。

  20. 選擇您想要排除的群組,然後按一下 [選取]

    注意事項

    新增群組時,如果指定的指派類型已包含任何其他群組,則會預先選取該群組,且無法針對其他包含指派類型進行變更。 因此,已使用的該群組不能作為排除的群組使用。

  21. 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。

  22. 按一下 [建立],以將應用程式設定原則新增至 Intune。

使用組態設計工具

當應用程式設計為支援組態設定時,您可以使用受管理 Google Play 應用程式的組態設計工具。 設定適用於在 Intune 中註冊的裝置。 設計工具可讓您針對應用程式所公開的設定,設定特定組態值。

  1. 選取 新增。 選擇您要針對應用程式輸入的組態設定清單。

    如果您使用 Gmail 或 Nine Work 電子郵件應用程式,則 設定電子郵件的 Android 企業版裝置設定 擁有這些特定設定的詳細資訊。

  2. 針對組態中的每個金鑰和值,設定:

    • 值類型: 組態值的資料類型。 針對字串值類型,您可以選擇性地選擇變數或憑證設定檔作為值類型。
    • 組態值: 組態的值。 如果您針對 [值類型] 選取變數或憑證,請從變數或憑證設定檔清單中進行選擇。 如果您選擇憑證,則會在運行時間填入部署至裝置之憑證的憑證別名。

組態值支援的變數

如果您選擇變數作為值類型,您可以選擇下列選項:

選項 範例
Microsoft Entra 裝置識別碼 dc0dc142-11d8-4b12-bfea-cae2a8514c82
帳戶識別碼 fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune 裝置識別碼 b9841cd9-9843-405f-be28-b2265c59ef97
網域 contoso.com
郵件 john@contoso.com
部分 UPN John
使用者識別碼 3ec2c00f-b125-4519-acf0-302ac3761822
使用者名稱 John Doe
使用者主體名稱 john@contoso.com

只允許應用程式中已設定的組織帳戶

作為 Microsoft Intune 系統管理員,您可以控制要將哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織使用者帳戶,並封鎖已註冊裝置上的個人帳戶。 針對 Android 裝置,請在 [受管理裝置] 應用程式設定原則中使用下列金鑰/值組:

機碼 com.microsoft.intune.mam.AllowedAccountUPNs
  • 一或多個 ; 分隔的 UPN。
  • 唯一允許的帳戶是由此機碼所定義的受管使用者帳戶。
  • 針對 Intune 註冊的裝置,可以使用 {{userprincipalname}} 權杖,來代表已註冊的使用者帳戶。

注意事項

下列應用程式會處理上述應用程式設定,且只允許組織帳戶:

  • Android 版 Copilot (28.1.420328045 和更新版本)
  • Android 版 Edge (42.0.4.4048 和更新版本)
  • Android 版 Office、Word、Excel、PowerPoint (16.0.9327.1000 和更新版本)
  • Android 版 OneDrive (5.28 和更新版本)
  • Android 版 OneNote (16.0.13231.20222 或更新版本)
  • Android 版 Outlook (2.2.222 和更新版本)
  • Android 版 Teams (1416/1.0.0.2020073101 和更新版本)

輸入 JSON 資料

應用程式上的某些元件設定 (例如,具有套件組合類型的應用程式),無法使用組態設計工具進行設定。 針對這些值,使用 JSON 編輯器。 安裝應用程式時,系統會自動將設定提供給應用程式。

  1. 針對 [組態設定格式],選取 [輸入 JSON 編輯器]
  2. 在編輯器中,您可以定義組態設定的 JSON 值。 您可以選擇 [下載 JSON 範本],以下載範例檔案,然後再進行設定。
  3. 選擇 [確定],然後選擇 [新增]

該原則會在清單中建立並顯示。

當指派的應用程式在裝置上執行時,它會使用您在應用程式設定原則中設定的設定執行。

啟用已連結的應用程式

適用於:
Android 11+

個人擁有的工作設定檔使用者必須具有公司入口網站版本 5.0.5291.0 或更新版本。 公司擁有的工作設定檔使用者不需要特定版本的 Microsoft Intune 應用程式來提供支援。

您可以允許使用者使用 Android 個人擁有和公司擁有的工作設定檔,針對支援的應用程式,開啟已連結的應用程式體驗。 此應用程式組態設定可讓應用程式跨工作和個人應用程式執行個體連線並整合應用程式資料。

若要讓應用程式提供此體驗,該應用程式必須與 Google 的已連結應用程式 SDK 整合,因此只支援有限的應用程式。 您可以主動開啟已連結的應用程式設定,而當應用程式新增支援時,使用者將能夠啟用已連結的應用程式體驗。

[已連結的應用程式] 設定變更為 [未設定] 不會從該裝置移除設定原則。 若要從裝置移除 [已連結的應用程式] 功能,您必須取消指派相關的設定原則。

警告

如果您針對應用程式啟用已連結應用程式功能,個人應用程式中的工作資料將不會受到應用程式保護原則的保護。

此外,不論已連結的應用程式設定為何,某些 OEM 可能會自動連結特定應用程式,或是可能可以要求使用者核准,以連結您未設定的應用程式。 在此案例中,應用程式的範例可能是 OEM 的鍵盤應用程式。

在您啟用已連結的應用程式設定之後,使用者有兩種方式可以連結公司和個人應用程式:

  1. 支援的應用程式可以選擇提示使用者核准跨設定檔進行連結。
  2. 使用者可以開啟 [設定] 應用程式,並移至 [已連結的工作和個人應用程式] 區段,其中會列出所有支援的應用程式。

重要事項

如果針對以相同裝置為目標的相同應用程式指派多個應用程式設定原則,且其中一個原則將 [已連結應用程式] 設定為 Enabled,而其他原則未如此設定,則該應用程式設定會報告衝突,而在裝置上套用的結果行為將不允許已連結的應用程式。

預先設定應用程式的權限授與狀態

您也可以預先設定應用程式權限,以存取 Android 裝置功能。 根據預設,需要裝置權限的 Android 應用程式 (例如位置或裝置相機的存取權),會提示使用者接受或拒絕權限。

例如,應用程式會使用裝置的麥克風。 系統會提示使用者授與應用程式使用麥克風的權限。

  1. [Microsoft Intune 系統管理中心] 中,選取 [應用程式]>[應用程式設定原則]>[新增]>[受管理裝置]
  2. 新增下列屬性:
    • 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 適用於整個公司的 Android 企業版提示權限應用程式原則
    • 描述。 輸入設定檔的描述。 這是選擇性設定,但建議進行。
    • 裝置註冊類型: 此設定設為 [受管理裝置]
    • 平台: 選取 [Android 企業版]
  3. 選取 [設定檔類型]:
  4. 選取 [目標應用程式]。 選擇您要與設定原則建立關聯的應用程式。 從您已核准並與 Intune 同步處理的 Android 企業版完全受管理工作設定檔應用程式清單中進行選取。
  5. 選取 [權限]>[新增]。 從清單中,選取可用的應用程式權限 >[確定]
  6. 針對要使用此原則授與的每個權限選取一個選項:
    • 提示。 提示使用者接受或拒絕。
    • 自動授與。 自動核准而不通知使用者。
    • 自動拒絕。 自動拒絕而不通知使用者。
  7. 若要指派應用程式設定原則,請選取應用程式設定原則 >[指派]>[選取群組]。 選擇要指派的使用者群組 >[選取]
  8. 選擇 [儲存] 以指派原則。

其他資訊

後續步驟

繼續 指派監視 該應用程式。