Lägga till App Configuration principer för hanterade Android Enterprise-enheter

Appkonfigurationsprinciper i Microsoft Intune ange inställningar för hanterade Google Play-appar och direktdistribuerade verksamhetsspecifika appar (LOB) på hanterade Android Enterprise-enheter. Apputvecklaren exponerar konfigurationsinställningar för Android-hanterade appar. Intune använder dessa exponerade inställningar för att låta administratören konfigurera funktioner för appen. Appkonfigurationsprincipen tilldelas dina användargrupper. Principinställningarna används när appen söker efter dem, vanligtvis första gången appen körs.

Viktigt

När en verksamhetsspecifik Android-app som distribueras direkt till Intune uppdateras till en ny version tillämpas inte befintliga appkonfigurationsprinciper som är associerade med den tidigare versionen automatiskt på den uppdaterade appen. Du måste skapa och tilldela en ny appkonfigurationsprincip för den nya appversionen för att säkerställa att konfigurationsinställningarna tillämpas.

Obs!

Appkonfigurationsprinciper för direktdistribuerade Android LOB-appar stöds på fullständigt hanterade Android Enterprise-enheter (COBO) och dedikerade enheter (COSU). Enheter med personligt ägd arbetsprofil och företagsägd arbetsprofil (COPE) stöder inte direkt LOB-appdistribution eller appkonfiguration för direkta LOB-appar.

Alla appar stöder inte appkonfigurationen. Kontakta apputvecklaren för att se om deras app stöder appkonfigurationsprinciper.

Obs!

Det här kravet gäller inte för Microsoft Teams Android-enheter eftersom dessa enheter kommer att fortsätta att stödjas.

För Intune appskyddsprinciper och appkonfiguration som levereras via konfigurationsprinciper för hanterade appar kräver Intune Android 10.0 eller senare.

E-postappar

Android Enterprise har flera registreringsmetoder. Registreringstypen beror på hur e-post konfigureras på enheten:

  • På Fullständigt hanterade, dedikerade och företagsägda Android Enterprise-arbetsprofiler använder du en appkonfigurationsprincip och stegen i den här artikeln. Appkonfigurationsprinciper stöder e-postappar för Gmail och Nine Work.
  • På personligt ägda Android Enterprise-enheter med en arbetsprofil skapar du en konfigurationsprofil för Android Enterprise-e-postenhet. När du skapar profilen kan du konfigurera inställningar för e-postklienter som stöder appkonfigurationsprinciper. När du använder konfigurationsdesignern innehåller Intune e-postinställningar som är specifika för Gmail- och Nine Work-appar.

Skapa en appkonfigurationsprincip

  1. Logga in på Microsoft Intune administrationscenter.

  2. VäljAppkonfiguration>>Skapa>hanterade enheter. Du kan välja mellan Hanterade enheter och Hanterade appar. Mer information finns i Appar som stöder appkonfiguration.

  3. Ange följande information på sidan Grundläggande:

    • Namn – namnet på profilen som visas i portalen.
    • Beskrivning – beskrivningen av profilen som visas i portalen.
    • Enhetsregistreringstyp – Den här inställningen är inställd på hanterade enheter.

  4. Välj Android Enterprise som plattform.

  5. Välj Välj app bredvid Målapp. Fönstret associerad app visas.

  6. I fönstret Associerad app väljer du den hanterade app som ska associeras med konfigurationsprincipen och väljer OK.

  7. Välj Nästa för att visa sidan Inställningar .

  8. Välj Lägg till för att visa fönstret Lägg till behörigheter .

  9. Välj de behörigheter som du vill åsidosätta. Behörigheter som beviljas åsidosätter principen "Standardappbehörigheter" för de valda apparna.

  10. Ange Behörighetstillståndet för varje behörighet. Du kan välja från Fråga, Bevilja automatiskt eller Neka automatiskt.

    Obs!

    Från och med Android 12 stöds inte konfiguration av automatiskt beviljande för följande behörigheter för företagsägda arbetsprofiler eller företagsägda dedikerade enheter.

    • SMS (läst)
    • Platsåtkomst (grov)
    • Platsåtkomst (fin)
    • Platsåtkomst (bakgrund)
    • Kamera
    • Spela in ljud
    • Tillåt kroppssensordata

    Obs!

    Från och med Android 16 stöds inte längre konfiguration av automatisk beviljande av behörigheter under behörighetsgruppen HÄLSA .

  11. Om den hanterade appen stöder konfigurationsinställningar visas listrutan Format för konfigurationsinställningar. Välj någon av följande metoder för att lägga till konfigurationsinformation:

    • Använd configuration designer
    • Ange JSON-data

    Mer information om hur du använder konfigurationsdesignern finns i Använda Configuration Designer. Mer information om hur du anger XML-data finns i Ange JSON-data.

  12. Om du behöver göra det möjligt för användare att ansluta målappen till både arbetsprofiler och personliga profiler väljer du Aktiverad bredvid Anslutna appar.

    Skärmbild av konfigurationsprincip – Inställningar

    Obs!

    Den här inställningen fungerar endast för personligt ägda och företagsägda arbetsprofilenheter.

    Om du ändrar inställningen Anslutna appar till Inte konfigurerad tas inte konfigurationsprincipen bort från enheten. Om du vill ta bort funktionen Anslutna appar från en enhet måste du ta bort tilldelningen av den relaterade konfigurationsprincipen.

  13. Om du vill tillåta att specifika appar fungerar som systemautentiseringsprovider väljer du Provider för autentiseringsuppgifter. Som standard blockerar Android leverantörer av autentiseringsuppgifter från tredje part från att ange autentiseringsuppgifter. Mer information finns i Tillåt att en app är en provider för autentiseringsuppgifter.

  14. Välj Nästa för att visa sidan Omfångstaggar .

  15. [Valfritt] Du kan konfigurera omfångstaggar för din appkonfigurationsprincip. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.

  16. Välj Nästa för att visa sidan Tilldelningar .

  17. I listrutan bredvid Tilldela till väljer du antingen Lägg till grupper, Lägg till alla användare eller Lägg till alla enheter för att tilldela appkonfigurationsprincipen. När du har valt en tilldelningsgrupp kan du välja ett filter för att förfina tilldelningsomfånget när du distribuerar appkonfigurationsprinciper för hanterade enheter.

    Skärmbild av principtilldelningar – Tilldelningar

  18. Välj Alla användare i listrutan.

    Skärmbild av principtilldelningar – listrutealternativet Alla användare

  19. [Valfritt] välj Redigera filter för att lägga till ett filter och förfina tilldelningsomfånget.

    Skärmbild av principtilldelningar – Redigera

  20. Välj Välj grupper att exkludera för att visa det relaterade fönstret.

  21. Välj de grupper som du vill exkludera och välj sedan Välj.

    Obs!

    När du lägger till en grupp, om någon annan grupp redan ingår för en viss tilldelningstyp, är den förvald och oföränderlig för andra inkluderingstilldelningstyper. Därför kan en grupp som redan används inte väljas som en exkluderad grupp.

  22. Välj Nästa för att visa sidan Granska + skapa .

  23. Välj Skapa för att lägga till appkonfigurationsprincipen i Intune.

Använd Configuration Designer

Du kan använda Configuration Designer för hanterade Google Play-appar när appen har utformats för att stödja konfigurationsinställningar. Konfigurationen gäller för enheter som har registrerats i Intune. Med Designer kan du konfigurera specifika konfigurationsvärden för de inställningar som exponeras av appen.

  1. Välj Lägg till. Välj listan över konfigurationsinställningar som du vill ange för appen.

    Om du använder Gmail- eller Nine Work-e-postappar innehåller Android Enterprise-enhetsinställningar för att konfigurera e-post mer information om dessa specifika inställningar.

  2. Ange följande för varje nyckel och värde i konfigurationen:

    • Värdetyp: – konfigurationsvärdets datatyp. För Strängvärdetyper kan du välja en variabel eller certifikatprofil som värdetyp. När principen har skapats visas dessa värdetyper som sträng.
    • Konfigurationsvärde: – Värdet för konfigurationen. Om du väljer variabel eller certifikat för värdetypen väljer du från en lista med variabler eller certifikatprofiler. Om du väljer ett certifikat fylls certifikataliaset för certifikatet som distribuerats till enheten vid körning.

Variabler som stöds för konfigurationsvärden

Du kan välja följande alternativ om du väljer variabel som värdetyp:

Alternativ Exempel
Microsoft Entra enhetens ID dc0dc142-11d8-4b12-bfea-cae2a8514c82
Konto-ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
IMEI 123456789012345
Enhets-ID för Intune b9841cd9-9843-405f-be28-b2265c59ef97
E-post john@contoso.com
Partiellt UPN john
Användar-ID 3ec2c00f-b125-4519-acf0-302ac3761822
Användarnamn John Berg
Användarhuvudnamn john@contoso.com
Kontonamn Contoso
Enhetsnamn John_AndroidEnterprise_1/2/2025_12:00 PM
Medarbetar-ID 123456
MEID 12345678901234
Serienummer 1A2B3C4D5E6F7G
De sista fyra siffrorna i serienumret 6F7G

Tillåt endast konfigurerade organisationskonton i appar

Som Microsoft Intune administratör kan du styra vilka arbets- eller skolkonton som läggs till i Microsoft-appar på hanterade enheter. Du kan begränsa åtkomsten till endast tillåtna användarkonton i organisationen och blockera personliga konton på registrerade enheter. För Android-enheter använder du följande nyckel/värde-par i en appkonfigurationsprincip för hanterade enheter:

Tangent com.microsoft.intune.mam.AllowedAccountUPNs
Värden
  • En eller flera ; avgränsade UPN:er.
  • Endast de hanterade användarkonton som definieras av den här nyckeln tillåts.
  • För Intune registrerade enheter {{userprincipalname}} kan token användas för att representera det registrerade användarkontot.

Obs!

Följande appar bearbetar den tidigare appkonfigurationen och tillåter endast organisationskonton:

  • Copilot för Android (28.1.420328045 och senare)
  • Edge för Android (42.0.4.4048 och senare)
  • Office, Word, Excel, PowerPoint för Android (16.0.9327.1000 och senare)
  • OneDrive för Android (5.28 och senare)
  • OneNote för Android (16.0.13231.20222 eller senare)
  • Outlook för Android (2.2.222 och senare)
  • Teams för Android (1416/1.0.0.2020073101 och senare)

Ange JSON-data

Vissa konfigurationsinställningar för appar (till exempel appar med pakettyper) kan inte konfigureras med Configuration Designer. Använd JSON-redigeraren för dessa värden. Inställningarna tillhandahålls automatiskt till appar när appen installeras.

  1. För Format för konfigurationsinställningar väljer du Ange JSON-redigerare.
  2. I redigeraren kan du definiera JSON-värden för konfigurationsinställningar. Du kan välja Ladda ned JSON-mall för att ladda ned en exempelfil som du sedan kan konfigurera.
  3. Välj OK och välj sedan Lägg till.

Principen skapas och visas i listan.

När den tilldelade appen körs på en enhet körs den med de inställningar som du konfigurerade i appkonfigurationsprincipen.

Aktivera anslutna appar

Gäller för:
Android 11+

Användare av personligt ägd arbetsprofil måste ha företagsportalversion 5.0.5291.0 eller senare. Företagsägda arbetsprofilanvändare behöver inte någon specifik version av Microsoft Intune-appen för support.

Du kan tillåta användare som använder personligt ägda och företagsägda Android-arbetsprofiler att aktivera anslutna appar för appar som stöds. Med den här appkonfigurationsinställningen kan appar ansluta och integrera appdata över arbets- och personliga appinstanser.

För att en app ska kunna tillhandahålla den här upplevelsen måste appen integreras med Googles SDK för anslutna appar, så endast begränsade appar stöder det. Du kan aktivera inställningen för anslutna appar proaktivt, och när appar lägger till stöd kan användarna aktivera upplevelsen för anslutna appar.

Om du ändrar inställningen Anslutna appar till Inte konfigurerad tas inte konfigurationsprincipen bort från enheten. Om du vill ta bort funktionen Anslutna appar från en enhet måste du ta bort tilldelningen av den relaterade konfigurationsprincipen.

Varning

Om du aktiverar funktionerna för anslutna appar för en app skyddas inte arbetsdata i personliga appar av en appskyddsprincip.

Oavsett konfigurationen av anslutna appar kan dessutom vissa OEM-tillverkare ansluta vissa appar automatiskt eller begära användargodkännande för att ansluta appar som du inte har konfigurerat. Ett exempel på en app i det här fallet kan vara OEM-tillverkarens tangentbordsapp.

Det finns två sätt för användare att ansluta arbetsappar och personliga appar när du har aktiverat inställningen för anslutna appar:

  1. En app som stöds kan välja att uppmana en användare att godkänna anslutningen mellan profiler.
  2. Användare kan öppna appen Inställningar och gå till avsnittet Anslutet arbete & personliga appar, där de ser alla appar som stöds i listan.

Viktigt

Om flera appkonfigurationsprinciper riktar sig mot samma app och enhet och en princip anger Anslutna appar till Enabled medan en annan inte gör det, rapporterar appkonfigurationen en konflikt. Enheten tillåter sedan inte anslutna appar.

Tillåt att en app är en provider för autentiseringsuppgifter

Gäller för:

  • Fullständigt hanterade Android Enterprise-enheter (COBO)
  • Dedikerade Android Enterprise-enheter (COSU)
  • Företagsägda Android Enterprise-enheter med en arbetsprofil (COPE)
  • Android Enterprise-enheter med personligt ägd arbetsprofil (BYOD) efter migrering till Android Management API (AM API)

Med Androids autentiseringsprovider kan du styra vilka program som kan fungera som leverantörer av autentiseringsuppgifter på systemnivå, som ansvarar för automatisk ifyllning av lösenord och nyckellagring på hanterade Android Enterprise-enheter, både företagsägda och personligt ägda arbetsprofilenheter (BYOD).

Som standard blockerar Android appar för autentiseringsuppgifter från tredje part från att ange autentiseringsuppgifter. Använd inställningen Provider för autentiseringsuppgifter för att tillåta att specifika appar (till exempel en lösenordshanterare från tredje part) fungerar som systemautentiseringsprovider. Microsoft Authenticator tillåts automatiskt.

Om du vill konfigurera providerbehörigheter för autentiseringsuppgifter går du till Appkonfiguration>>Skapa>hanterade enheter och väljer Android Enterprise som plattform. Välj Provider för autentiseringsuppgifter i inställningarna för att tillåta att specifika appar fungerar som leverantörer av autentiseringsuppgifter.

Med den här inställningen kan du:

  • Tillåt att specifika appar fungerar som leverantörer av autentiseringsuppgifter
  • Aktivera nyckelbaserad inloggning på hanterade Android Enterprise-enheter
  • Behåll kontrollen över vilka källor för autentiseringsuppgifter som är betrodda på företagsägda och personligt ägda enheter

Obs!

För enheter med personligt ägd arbetsprofil (BYOD) stöds providern för autentiseringsuppgifter endast efter att dina personligt ägda enheter med en arbetsprofil har flyttats till Android Management API (AM API).

Viktigt

Google Password Manager får inte fungera som leverantör av autentiseringsuppgifter på företagsägda arbetsprofilenheter och personligt ägda enheter med en arbetsprofil. Den blockeras på slutanvändarens enhet. Använd en annan autentiseringsapp som en lösning.

Innan du migrerar personligt ägda enheter till AM API

När du migrerar personligt ägda arbetsprofilenheter (BYOD) till Android Management API (AM API) måste du skapa appkonfigurationsprinciper för alla appar för autentiseringsprovidern som användarna förlitar sig på innan de påbörjar migreringen eller väljer webbaserad registrering. Vanliga appar för autentiseringsprovidern är:

  • Microsoft Authenticator (tillåts automatiskt, ingen appkonfigurationsprincip krävs)
  • Lastpass
  • 1Password
  • Okta
  • Bitwarden
  • Dashlane
  • Proton
  • Callpod
  • Nordpass
  • Roboform

Om appkonfigurationsprinciper inte är på plats före migreringen för tredjepartsleverantörer av autentiseringsuppgifter:

  • Autofyll kanske inte fungerar som förväntat för användare på Android 14- och senare enheter.
  • Nyckelbaserad inloggning kan vara otillgänglig på Android 14- och senare enheter.

Migrering från personligt ägd arbetsprofil till AM API kan inte ångras. Om du fortsätter utan de nödvändiga appkonfigurationsprinciperna kan du fortfarande skapa dem när migreringen är klar för att återställa autentiseringsproviderns funktioner för dina användare.

Förkonfigurera behörighetsbeviljandetillståndet för appar

Du kan också förkonfigurera appbehörigheter för åtkomst till Android-enhetsfunktioner. Som standard uppmanar Android-appar som kräver enhetsbehörigheter, till exempel åtkomst till platsen eller enhetens kamera, användarna att acceptera eller neka behörigheter.

En app använder till exempel enhetens mikrofon. Användaren uppmanas att ge appen behörighet att använda mikrofonen.

  1. I Microsoft Intune administrationscenter väljer duAppkonfiguration>>Skapa>hanterade enheter.
  2. Lägg till följande egenskaper:
    • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel Appprincip för Android Enterprise-promptbehörigheter för hela företaget.
    • Beskrivning. Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
    • Enhetsregistreringstyp: den här inställningen är inställd på hanterade enheter.
    • Plattform: Välj Android Enterprise.
  3. Välj Profiltyp:
  4. Välj Målapp. Välj den app som du vill associera en konfigurationsprincip med. Välj i listan över fullständigt hanterade Android Enterprise-arbetsprofilappar som du godkänner och synkroniserar med Intune.
  5. Välj Behörigheter>Lägg till. I listan väljer du de tillgängliga appbehörigheterna >OK.
  6. Välj ett alternativ för varje behörighet att bevilja med den här principen:
    • Prompt. Uppmana användaren att acceptera eller neka.
    • Bevilja automatiskt. Godkänn automatiskt utan att meddela användaren.
    • Neka automatiskt. Neka automatiskt utan att meddela användaren.
  7. Om du vill tilldela appkonfigurationsprincipen väljer du appkonfigurationsprincipen >Tilldelning>Välj grupper. Välj de användargrupper som ska tilldelas> Välj.
  8. Välj Spara för att tilldela principen.

Ytterligare information

Nästa steg

Fortsätt att tilldela och övervaka appen.

  • Last updated on