Microsoft Intune 中的应用配置策略可为托管 Android Enterprise 设备上的托管 Google Play 应用提供设置。 应用开发人员可公开 Android 托管应用配置设置。 Intune 使用这些公开的设置来支持管理员配置应用的功能。 应用配置策略会分配给用户组。 当应用检查这些策略(通常是第一次运行应用)时,将使用策略设置。
并非每个应用都支持应用配置。 请与应用开发人员联系,以查看其应用是否支持应用配置策略。
注意
此要求不适用于 Microsoft Teams Android 设备,因为将这些设备将继续受支持。
对于通过托管应用应用配置策略提供的 Intune 应用保护策略和应用配置,Intune 需要 Android 10.0 或更高版本。
电子邮件应用
Android Enterprise 提供了多种注册方法。 注册类型取决于如何在设备上配置电子邮件:
- 在 Android Enterprise 完全托管、专用和公司自有工作配置文件上,使用应用配置策略和本文中的步骤。 应用配置策略支持 Gmail 和 Nine Work 电子邮件应用。
- 在包含工作配置文件的 Android Enterprise 个人自有设备上,创建 Android Enterprise 电子邮件设备配置文件。 创建配置文件时,可以为支持应用配置策略的电子邮件客户端配置设置。 使用配置设计器时,Intune 包括特定于 Gmail 和 Nine Work 应用的电子邮件设置。
创建应用配置策略
选择 “应用>配置>创建>托管设备”。 可以在托管设备和托管应用之间进行选择。 有关详细信息,请参阅 支持应用配置的应用。
在“基本信息”页上,设置以下详细信息:
- “名称”- 显示在门户中的配置文件的名称。
- “说明”- 显示在门户中的配置文件的说明。
- “设备注册类型”- 将此设置设为“托管设备”。
选择“Android Enterprise”作为“平台”。
选择“目标应用”旁边的“选择应用”。 此时会显示“关联的应用”窗格。
在 “关联的应用 ”窗格中,选择要与配置策略关联的托管应用,然后选择“ 确定”。
选择“ 下一步 ”以显示 “设置” 页。
选择“ 添加” 以显示“ 添加权限 ”窗格。
选择要替代的权限。 授予的权限将覆盖所选应用的“默认应用权限”策略。
设置每个权限的“权限状态”。 可以在“提示”、“自动授予”或“自动拒绝”中进行选择。
注意
从 Android 12 开始,公司拥有的工作配置文件或公司拥有的专用设备不支持为以下权限配置 自动授予 。
- 短信 (读取)
- 位置访问 (粗略)
- 位置访问 ()
- 位置访问 (后台)
- 照相机
- 录音
- 允许人体传感器数据
注意
从 Android 16 开始,不再支持在 HEALTH 权限组下配置权限的自动授予。
如果托管应用支持配置设置,则会显示“配置设置格式”下拉框。 选择以下方法之一来添加配置信息:
- “使用配置设计器”
- 输入 JSON 数据
有关使用配置设计器的详细信息,请参阅使用配置设计器。 有关输入 XML 数据的详细信息,请参阅输入 JSON 数据。
如果需要支持用户跨工作和个人配置文件连接目标应用,请选择“已连接的应用”旁边的“启用”。
注意
此设置仅适用于个人自有工作配置文件和公司自有工作配置文件设备。
将 “连接的应用” 设置更改为 “未配置” 不会从设备中删除配置策略。 要从设备中移除“连接的应用”功能,必须取消分配相关的配置策略。
选择“ 下一步 ”以显示“ 作用域标记 ”页。
[可选] 可以为应用配置策略配置范围标记。 有关范围标记的详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
选择“ 下一步 ”以显示 “分配” 页。
在“分配给”旁边的下拉框中,可以选择“添加组”、“添加所有用户”或“添加所有设备”以分配应用配置策略。 选择分配组后,可以选择 筛选器 以在为托管设备部署应用配置策略时优化分配范围。
在下拉框中选择“所有用户”。
[可选] 选择 “编辑筛选器” 以添加 筛选器 并优化分配范围。
选择“ 选择要排除的组 ”以显示相关窗格。
选择要排除的组,然后选择 “选择”。
注意
添加组时,如果已为给定的工作分配类型包括任何其他组,则对于其他包含分配类型,该组将预选且不可更改。 因此,不能将已使用的组选为已排除的组。
选择“ 下一步 ”以显示“ 查看 + 创建 ”页。
选择“ 创建 ”,将应用配置策略添加到 Intune。
使用配置设计器
如果应用设计为支持配置设置,则可以将配置设计器用于托管 Google Play 应用。 配置适用于已在 Intune 中注册的设备。 使用设计器,可以为应用公开的设置配置特定的配置值。
选择“添加”。 选择要为应用输入的配置设置列表。
如果使用的是 Gmail 或 Nine Work 电子邮件应用,则要配置电子邮件的 Android Enterprise 设备设置可提供有关这些特定设置的详细信息。
对于配置中的每个键和值,请设置:
- 值类型:配置值的数据类型。 对于字符串值类型,可以选择变量或证书配置文件作为值类型。 创建策略后,这些值类型显示为字符串。
- 配置值:配置的值。 如果为“值类型”选择变量或证书,请从变量或证书配置文件列表中进行选择。 如果选择证书,则会在运行时填充已部署到设备的证书的证书别名。
配置值支持的变量
如果选择变量作为值类型,则可以选择以下选项:
| 选项 | 示例 |
|---|---|
| Microsoft Entra 设备 ID | dc0dc142-11d8-4b12-bfea-cae2a8514c82 |
| 帐户 ID | fc0dc142-71d8-4b12-bbea-bae2a8514c81 |
| IMEI | 123456789012345 |
| Intune 设备 ID | b9841cd9-9843-405f-be28-b2265c59ef97 |
| 邮件 | john@contoso.com |
| 部分 UPN | john |
| 用户 ID | 3ec2c00f-b125-4519-acf0-302ac3761822 |
| 用户名 | John Doe |
| 用户主体名称 | john@contoso.com |
| 帐户名 | Contoso |
| 设备名称 | John_AndroidEnterprise_1/2/2025_12:00 PM |
| 员工 ID | 123456 |
| MEID | 12345678901234 |
| 序列号 | 1A2B3C4D5E6F7G |
| 序列号的最后四位数字 | 6F7G |
仅允许使用应用中配置的组织帐户
作为 Microsoft Intune 管理员,可以控制将哪些工作或学校帐户添加到托管设备上的 Microsoft 应用。 可以将访问限制为仅允许的组织用户帐户,并阻止已注册设备上的个人帐户。 对于 Android 设备,请在托管设备应用配置策略中使用以下键/值对:
| 键 | com.microsoft.intune.mam.AllowedAccountUPNs |
|---|---|
| 值 |
|
注意
以下应用处理以前的应用配置,并且仅允许组织帐户:
- 适用于 Android 的 Copilot(28.1.420328045 及更高版本)
- 适用于 Android 的 Edge(42.0.4.4048 及更高版本)
- 适用于 Android 的 Office、Word、Excel、PowerPoint(16.0.9327.1000 及更高版本)
- OneDrive for Android(5.28 及更高版本)
- OneNote for Android(16.0.13231.20222 或更高版本)
- Outlook for Android(2.2.222 及更高版本)
- 适用于 Android 的 Teams(1416/1.0.0.2020073101 及更高版本)
输入 JSON 数据
无法使用配置设计器配置应用(例如具有捆绑包类型的应用)上的某些配置设置。 请对这些值使用 JSON 编辑器。 安装应用时,系统会自动向应用提供设置。
- 对于“配置设置格式”,请选择“输入 JSON 编辑器”。
- 在编辑器中,可以为配置设置定义 JSON 值。 可以选择“下载 JSON 模板”来下载随后可以配置的示例文件。
- 选择“确定”,然后选择“添加”。
策略已创建并显示在列表中。
当分配的应用在设备上运行时,它将使用你在应用配置策略中配置的设置运行。
启用连接的应用
应用于:
Android 11+
个人自有工作配置文件用户必须具有公司门户版本 5.0.5291.0 或更高版本。 公司拥有的工作配置文件用户不需要特定版本的 Microsoft Intune 应用来支持。
可以允许使用 Android 个人自有和公司自有工作配置文件的用户为受支持的应用启用连接的应用体验。 通过此应用配置设置,应用能够跨工作和个人应用实例连接和集成应用数据。
对于要提供此体验的应用,该应用需要与 Google 的已连接应用 SDK 集成,因此只有有限的应用支持它。 可以主动打开连接应用设置,当应用添加支持时,用户能够启用连接的应用体验。
将 “连接的应用” 设置更改为 “未配置” 不会从设备中删除配置策略。 要从设备中移除“连接的应用”功能,必须取消分配相关的配置策略。
警告
如果为应用启用连接应用功能,个人应用中的工作数据将不受应用保护策略的保护。
此外,无论连接的应用配置如何,某些 OEM 都可以自动连接某些应用,或者可能能够请求用户批准来连接未配置的应用。 在这种情况下,应用的一个示例可能是 OEM 的键盘应用。
启用连接应用设置后,用户可以通过两种方式连接工作和个人应用:
- 受支持的应用可能会选择提示用户批准跨配置文件连接它。
- 用户可以打开“设置”应用,并转到“连接的工作 & 个人应用”部分,其中他们可以看到列出所有受支持的应用。
重要
如果多个应用配置策略针对同一应用和设备,并且一个策略将 “连接应用” 设置为 Enabled ,而另一个策略不设置为 ,则应用配置将报告冲突。 然后,设备不允许连接的应用。
预配置应用的权限授予状态
还可以预配置应用权限以访问 Android 设备功能。 默认情况下,需要设备权限(例如对位置或设备相机的访问权限)的 Android 应用会提示用户接受或拒绝权限。
例如,应用会使用设备的麦克风。 系统会提示用户授予应用使用麦克风的权限。
- 在 Microsoft Intune 管理中心,选择“ 应用>配置>创建>托管设备”。
- 添加下列属性:
- 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的策略名称是面向整个公司的 Android Enterprise 提示权限应用策略。
- 说明。 输入配置文件的说明。 此设置是可选的,但建议进行。
- “设备注册类型”:将此设置设为“托管设备”。
- 平台:选择“Android Enterprise”。
- 选择“配置文件类型”:
- 选择“目标应用”。 选择要将配置策略与之关联的应用。 从你批准并与 Intune 同步的 Android Enterprise 完全托管工作配置文件应用列表中选择。
- 选择“权限”>“添加”。 从列表中,选择可用的应用权限 >“确定”。
- 为使用此策略授予的每个权限选择一个选项:
- “提示”。 提示用户接受或拒绝。
- “自动授予”。 在不通知用户的情况下自动批准。
- “自动拒绝”。 在不通知用户的情况下自动拒绝。
- 要分配应用配置策略,请选择应用配置策略 >“分配”>“选择组”。 选择要分配的用户组 >“选择”。
- 选择“保存”以分配策略。
其他信息
- 将托管 Google Play 应用分配给 Android Enterprise 个人自有和公司自有工作配置文件设备
- 部署 Outlook for iOS/iPadOS 和 Android 应用配置设置