Microsoft Intune 中的應用程式設定原則會將設定提供給受管理 Android 企業版裝置上的受管理 Google Play 應用程式。 應用程式開發人員會公開 Android 管理的應用程式組態設定。 Intune 會使用這些公開設定,讓系統管理員設定應用程式的功能。 應用程式設定原則會指派給您的使用者群組。 原則設定會在應用程式檢查這些設定時使用,通常是在應用程式第一次執行時。
並非每個應用程式都支援應用程式設定。 請與應用程式開發人員確認其應用程式是否支援應用程式設定原則。
注意事項
此需求不適用 Microsoft Teams Android 裝置,因為這些裝置將繼續受到支援。
針對透過受控應用程式應用程式設定原則傳遞的 Intune 應用程式保護原則和應用程式設定,Intune 需要 Android 10.0 或更新版本。
電子郵件應用程式
Android 企業版有數種註冊方法。 註冊類型取決於在裝置上設定電子郵件的方式:
- 在 Android 企業版完全受控、專用和公司擁有的工作設定檔上,使用應用程式設定原則和本文中的步驟。 應用程式設定原則支援 Gmail 和 Nine Work 電子郵件應用程式。
- 在具有工作設定檔的 Android 企業版個人擁有裝置上,建立 Android 企業版電子郵件裝置設定設定檔。 當您建立設定檔時,可以設定支援應用程式設定原則之電子郵件用戶端的設定。 當您使用設定設計工具時,Intune 會包含 Gmail 和 Nine Work 應用程式特有的電子郵件設定。
建立應用程式設定原則
選擇應用程式>設定>>建立受管理裝置。 您可以在 受管理裝置 和 受管理應用程式之間進行選擇。 如需詳細資訊,請參閱 支援應用程式設定的應用程式。
在 [基本資料] 頁面上,指定下列資訊:
- 名稱 - 顯示在入口網站中的設定檔名稱。
- 描述 - 顯示在入口網站中的設定檔描述。
- 裝置註冊類型 - 此設定設為 [受管理裝置]。
選取 [Android 企業版] 作為 [平台]。
選取 [目標應用程式] 旁的 [選取應用程式]。 [相關聯的應用程式] 窗格隨即顯示。
在 [ 相關聯的應用程式 ] 窗格中,選擇要與組態原則相關聯的受控應用程式,然後選取 [ 確定]。
選取 [下一步 ] 以顯示 [ 設定 ] 頁面。
選取 [ 新增 ] 以顯示 [新增許可權 ] 窗格。
選取您要覆寫的權限。 授與的權限會覆寫所選應用程式的「預設應用程式權限」原則。
針對每個權限,設定 [權限狀態]。 您可以從 [提示]、[自動授與] 或 [自動拒絕] 中選擇。
注意事項
從 Android 12 開始,公司擁有的工作配置檔或公司擁有的專用裝置不支援為下列權限設定 自動授與 。
- SMS (讀取)
- 位置存取權 (粗略)
- 位置存取權 (精細)
- 位置存取 (背景)
- 相機
- 錄製音訊
- 允許身體感測器資料
注意事項
自 Android 16 起,不再支援為 HEALTH 權限群組下的權限設定自動授與。
如果受管理應用程式支援組態設定,則會顯示 [組態設定格式] 下拉式方塊。 選取下列其中一種方法來新增組態資訊:
- 使用組態設計工具
- 輸入 JSON 資料
如需使用組態設計工具的詳細資訊,請參閱 使用組態設計工具。 如需輸入 XML 資料的詳細資訊,請參閱 輸入 JSON 資料。
如果您需要讓使用者跨工作和個人設定檔連結目標應用程式,請選取 [已連結的應用程式] 旁的 [啟用]。
注意事項
此設定僅適用於個人擁有的工作設定檔和公司擁有的工作設定檔裝置。
將 [連線的應用程式] 設定變更為 [未設定 ] 不會從裝置移除組態原則。 若要從裝置移除 [已連結的應用程式] 功能,您必須取消指派相關的設定原則。
選取 [ 下一步 ] 以顯示 [範圍標籤] 頁面。
[選擇性] 您可以設定應用程式設定原則的範圍標籤。 如需範圍標籤的詳細資訊,請參閱針對 分散式 IT 使用角色型存取控制和範圍標籤。
選取 [下一步 ] 以顯示 [指派 ] 頁面。
在 [指派對象] 旁的下拉式方塊中,選取 [新增群組]、[新增所有使用者] 或 [新增所有裝置],以指派應用程式設定原則。 選取指派群組之後,您可以選取 篩選 條件,以在部署受控裝置的應用程式設定原則時精簡指派範圍。
在下拉式方塊中選取 [所有使用者]。
![原則指派的螢幕擷取畫面 - [所有使用者] 下拉式清單選項](media/app-configuration-policies-use-android/app-configuration-policies-use-android-03.png)
[選擇性] 選取 [編輯篩選器] 以新增 篩選器 並精簡指派範圍。
選取 [選取要排除的群組 ] 以顯示相關窗格。
選擇您要排除的群組,然後選擇 Select (選取)。
注意事項
當您新增群組時,如果指定指派類型已包含任何其他群組,則該群組會預先選取,且無法變更其他包含指派類型。 因此,無法選取已使用的群組作為排除的群組。
選取 [下一步 ] 以顯示 [ 檢閱 + 建立 ] 頁面。
選取 [ 建立 ] 以將應用程式設定原則新增至 Intune。
使用組態設計工具
當應用程式設計為支援組態設定時,您可以使用受管理 Google Play 應用程式的組態設計工具。 設定適用於在 Intune 中註冊的裝置。 設計工具可讓您針對應用程式所公開的設定,設定特定組態值。
選取 新增。 選擇您要針對應用程式輸入的組態設定清單。
如果您使用 Gmail 或 Nine Work 電子郵件應用程式,則 設定電子郵件的 Android 企業版裝置設定 擁有這些特定設定的詳細資訊。
針對組態中的每個金鑰和值,設定:
- 值類型: 組態值的資料類型。 對於字串值類型,您可以選擇選擇變數或憑證設定檔作為值類型。 建立原則之後,這些值型別會顯示為字串。
- 組態值: 組態的值。 如果您針對 [值類型] 選取變數或憑證,請從變數或憑證設定檔清單中進行選擇。 如果您選擇憑證,則會在運行時間填入部署至裝置之憑證的憑證別名。
組態值支援的變數
如果您選擇變數作為值類型,您可以選擇下列選項:
| 選項 | 範例 |
|---|---|
| Microsoft Entra 裝置識別碼 | dc0dc142-11d8-4b12-bfea-cae2a8514c82 |
| 帳戶識別碼 | fc0dc142-71d8-4b12-bbea-bae2a8514c81 |
| IMEI | 123456789012345 |
| Intune 裝置識別碼 | b9841cd9-9843-405f-be28-b2265c59ef97 |
| 郵件 | john@contoso.com |
| 部分 UPN | John |
| 使用者識別碼 | 3ec2c00f-b125-4519-acf0-302ac3761822 |
| 使用者名稱 | John Doe |
| 使用者主體名稱 | john@contoso.com |
| 帳戶名稱 | Contoso |
| 裝置名稱 | John_AndroidEnterprise_1/2/2025_12:00 下午 |
| 員工 ID | 123456 |
| 梅德 | 12345678901234 |
| 序號 | 1A2B3C4D5E6F7G |
| 序號的最後四位數字 | 6F7G |
只允許應用程式中已設定的組織帳戶
作為 Microsoft Intune 系統管理員,您可以控制要將哪些公司或學校帳戶新增至受管理裝置上的 Microsoft 應用程式。 您可以限制只能存取允許的組織使用者帳戶,並封鎖已註冊裝置上的個人帳戶。 針對 Android 裝置,請在 [受管理裝置] 應用程式設定原則中使用下列金鑰/值組:
| 機碼 | com.microsoft.intune.mam.AllowedAccountUPNs |
|---|---|
| 值 |
|
注意事項
下列應用程式會處理先前的應用程式設定,且只允許組織帳戶:
- Android 版 Copilot (28.1.420328045 和更新版本)
- Android 版 Edge (42.0.4.4048 和更新版本)
- Android 版 Office、Word、Excel、PowerPoint (16.0.9327.1000 和更新版本)
- Android 版 OneDrive (5.28 和更新版本)
- Android 版 OneNote (16.0.13231.20222 或更新版本)
- Android 版 Outlook (2.2.222 和更新版本)
- Android 版 Teams (1416/1.0.0.2020073101 和更新版本)
輸入 JSON 資料
應用程式上的某些元件設定 (例如,具有套件組合類型的應用程式),無法使用組態設計工具進行設定。 針對這些值,使用 JSON 編輯器。 安裝應用程式時,系統會自動將設定提供給應用程式。
- 針對 [組態設定格式],選取 [輸入 JSON 編輯器]。
- 在編輯器中,您可以定義組態設定的 JSON 值。 您可以選擇 [下載 JSON 範本],以下載範例檔案,然後再進行設定。
- 選擇 [確定],然後選擇 [新增]。
該原則會在清單中建立並顯示。
當指派的應用程式在裝置上執行時,它會使用您在應用程式設定原則中設定的設定執行。
啟用已連結的應用程式
適用於:
Android 11+
個人擁有的工作設定檔使用者必須具有公司入口網站版本 5.0.5291.0 或更新版本。 公司擁有的工作配置檔使用者不需要特定版本的 Microsoft Intune 應用程式來取得支援。
您可以允許使用者使用 Android 個人擁有和公司擁有的工作設定檔,針對支援的應用程式,開啟已連結的應用程式體驗。 此應用程式組態設定可讓應用程式跨工作和個人應用程式執行個體連線並整合應用程式資料。
若要讓應用程式提供此體驗,該應用程式必須與 Google 的已連結應用程式 SDK 整合,因此只支援有限的應用程式。 您可以主動開啟連線的應用程式設定,當應用程式新增支援時,使用者可以啟用連線的應用程式體驗。
將 [連線的應用程式] 設定變更為 [未設定 ] 不會從裝置移除組態原則。 若要從裝置移除 [已連結的應用程式] 功能,您必須取消指派相關的設定原則。
警告
如果您啟用應用程式的連線應用程式功能,則個人應用程式中的工作資料將不會受到應用程式保護原則的保護。
此外,無論您的連線應用程式設定為何,某些 OEM 都可以自動連線某些應用程式,或可能能夠請求使用者核准以連線您未設定的應用程式。 在此案例中,應用程式的範例可能是 OEM 的鍵盤應用程式。
啟用已連線的應用程式設定之後,使用者可以透過兩種方式連線工作和個人應用程式:
- 支援的應用程式可能會選擇提示使用者核准跨設定檔連線。
- 使用者可以開啟「設定」應用程式,然後前往「連線的工作 & 個人應用程式」部分,其中會看到列出的所有支援應用程式。
重要事項
如果多個應用程式設定原則以相同的應用程式和裝置為目標,且一個原則將連線的應用程式Enabled設定為 ,而另一個原則則未設定,則應用程式設定會報告衝突。 然後,裝置會禁止連線的應用程式。
預先設定應用程式的權限授與狀態
您也可以預先設定應用程式權限,以存取 Android 裝置功能。 根據預設,需要裝置權限的 Android 應用程式 (例如位置或裝置相機的存取權),會提示使用者接受或拒絕權限。
例如,應用程式會使用裝置的麥克風。 系統會提示使用者授與應用程式使用麥克風的權限。
- 在 Microsoft Intune 系統管理中心中,選取 [應用程式>設定>] [建立>受控裝置]。
- 新增下列屬性:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱是 適用於整個公司的 Android 企業版提示權限應用程式原則。
- 描述。 輸入設定檔的描述。 這是選擇性設定,但建議進行。
- 裝置註冊類型: 此設定設為 [受管理裝置]。
- 平台: 選取 [Android 企業版]。
- 選取 [設定檔類型]:
- 選取 [目標應用程式]。 選擇您要與設定原則建立關聯的應用程式。 從您核准並與 Intune 同步處理的 Android Enterprise 完全受控工作配置檔應用程式清單中選取。
- 選取 [權限]>[新增]。 從清單中,選取可用的應用程式權限 >[確定]。
- 針對要使用此原則授與的每個權限選取一個選項:
- 提示。 提示使用者接受或拒絕。
- 自動授與。 自動核准而不通知使用者。
- 自動拒絕。 自動拒絕而不通知使用者。
- 若要指派應用程式設定原則,請選取應用程式設定原則 >[指派]>[選取群組]。 選擇要指派的使用者群組 >[選取]。
- 選擇 [儲存] 以指派原則。