Genehmigen von Anwendungen in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Wenn Sie eine Anwendung in Configuration Manager bereitstellen, können Sie vor der Installation eine Genehmigung anfordern. Benutzer fordern die Anwendung im Softwarecenter an, und Sie überprüfen die Anforderung dann in der Configuration Manager-Konsole. Sie können die Anforderung genehmigen oder ablehnen.
Hinweis
Ab Version 2111 können Sie auch die meisten Genehmigungsverhalten für Anwendungsgruppen verwenden.
Genehmigungseinstellungen
Das Verhalten der Anwendungsgenehmigung hängt davon ab, ob Sie die empfohlene optionale App-Genehmigung aktivieren. Eine der folgenden Genehmigungseinstellungen wird auf der Seite Bereitstellungseinstellungen der Anwendungsbereitstellung angezeigt:
Ein Administrator muss eine Anforderung für diese Anwendung auf dem Gerät genehmigen.
Hinweis
Configuration Manager aktiviert dieses Feature nicht standardmäßig. Aktivieren Sie vor der Verwendung das optionale Feature Anwendungsanforderungen für Benutzer pro Gerät genehmigen. Weitere Informationen finden Sie unter Aktivieren optionaler Features von Updates.
Wenn Sie dieses Feature nicht aktivieren, wird die vorherige Benutzeroberfläche angezeigt.
Der Administrator genehmigt alle Benutzeranforderungen für die Anwendung, bevor der Benutzer sie auf dem angeforderten Gerät installieren kann. Wenn der Administrator die Anforderung genehmigt, kann der Benutzer die Anwendung nur auf diesem Gerät installieren. Der Benutzer muss eine weitere Anforderung übermitteln, um die Anwendung auf einem anderen Gerät zu installieren. Diese Option ist abgeblendet, wenn der Bereitstellungszweck Erforderlich ist oder wenn Sie die Anwendung in einer Gerätesammlung bereitstellen.
Hinweis
Um die neuen Configuration Manager-Features nutzen zu können, aktualisieren Sie zuerst Clients auf die neueste Version. Während neue Funktionen in der Configuration Manager-Konsole angezeigt werden, wenn Sie den Standort und die Konsole aktualisieren, ist das vollständige Szenario erst funktionsfähig, wenn die Clientversion ebenfalls die neueste ist.
Zeigen Sie Anwendungsanforderungen unter Anwendungsverwaltung im Arbeitsbereich Softwarebibliothek der Configuration Manager-Konsole an. Die Liste enthält eine Spalte Gerät für jede Anforderung. Wenn Sie Maßnahmen für die Anforderung ergreifen, enthält das Dialogfeld Anwendungsanforderung auch den Gerätenamen, von dem aus der Benutzer die Anforderung übermittelt hat.
Wenn eine Anforderung nicht innerhalb von 30 Tagen genehmigt wird, wird sie entfernt. Durch eine erneute Installation des Clients werden möglicherweise alle ausstehenden Genehmigungsanforderungen abgebrochen.
Wenn Sie eine Genehmigung für eine Bereitstellung für eine Gerätesammlung benötigen, wird die App nicht im Softwarecenter angezeigt. Wenn Sie eine Genehmigung für eine Bereitstellung in einer Benutzersammlung benötigen, wird die App im Softwarecenter angezeigt. Sie können es weiterhin für Benutzer mit der Clienteinstellung Ausblenden nicht genehmigter Anwendungen im Softwarecenter ausblenden. Weitere Informationen finden Sie unter Clienteinstellungen des Softwarecenters.
Nachdem Sie eine Anwendung für die Installation genehmigt haben, können Sie die Anforderung in der Configuration Manager-Konsole ablehnen . Wenn Benutzer die Anwendung noch nicht installiert haben, verhindert diese Aktion, dass sie neue Kopien der Anwendung aus dem Softwarecenter installieren. Wenn eine Anwendung zuvor genehmigt und installiert wurde, wenn Sie die Anforderung für die Anwendung ablehnen , deinstalliert der Client die Anwendung vom Gerät des Benutzers.
Wenn Sie eine App-Anforderung in der Konsole genehmigen und dann ablehnen, können Sie sie erneut genehmigen. Die App wird auf dem Client neu installiert, nachdem Sie sie genehmigt haben.
Automatisieren Sie den Genehmigungsprozess mit dem PowerShell-Cmdlet Approve-CMApprovalRequest . Dieses Cmdlet enthält den Parameter InstallActionBehavior . Verwenden Sie diesen Parameter, um anzugeben, ob die Anwendung sofort oder außerhalb der Geschäftszeiten installiert werden soll.
Sie können sehen, welche Bereitstellungen genehmigt werden müssen. Wählen Sie im Knoten Anwendungen eine App aus. Wechseln Sie im Detailbereich zur Registerkarte Bereitstellungen . Standardmäßig wird eine Spalte mit der Option Genehmigung erforderlich angezeigt.
Versuchen Sie erneut, vorab genehmigte Anwendungen zu installieren.
Sie können die Installation einer App wiederholen, die Sie zuvor für einen Benutzer oder ein Gerät genehmigt haben. Die Genehmigungsoption gilt nur für verfügbare Bereitstellungen. Wenn der Benutzer die App deinstalliert oder der erste Installationsvorgang fehlschlägt, wertet Configuration Manager den Zustand nicht neu aus und installiert sie erneut. Dieses Feature ermöglicht es einem Supporttechniker, die App-Installation für einen Benutzer, der hilferuft, schnell erneut zu versuchen.
Öffnen Sie die Configuration Manager-Konsole als Benutzer, der über die Berechtigung Genehmigen für das Application-Objekt verfügt. Beispielsweise verfügen die integrierten Rollen Anwendungsadministrator oder Anwendungsautor über diese Berechtigung.
Stellen Sie eine App bereit, die genehmigt werden muss, und genehmigen Sie sie.
Tipp
Alternativ können Sie eine Anwendung für ein Gerät installieren. Es erstellt eine genehmigte Anforderung für die App auf dem Gerät.
Wenn die Anwendung nicht erfolgreich installiert wird oder der Benutzer die App deinstalliert, versuchen Sie es mit dem folgenden Verfahren:
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Softwarebibliothek , erweitern Sie Anwendungsverwaltung, und wählen Sie den Knoten Anwendungsanforderungen aus.
Wählen Sie die zuvor genehmigte App aus. Wählen Sie im Menüband in der Gruppe Genehmigungsanforderung die Option Erneut installieren aus.
Andere App-Genehmigungsressourcen
- Verbesserungen bei der Anwendungsgenehmigung in ConfigMgr 1810
- Updates des Anwendungsgenehmigungsprozesses in Configuration Manager
Anfordern der Administratorgenehmigung, wenn Benutzer diese Anwendung anfordern
Hinweis
Diese Erfahrung gilt, wenn Sie die empfohlene optionale App-Genehmigung nicht aktivieren.
Der Administrator genehmigt alle Benutzeranforderungen für die Anwendung, bevor der Benutzer sie installieren kann. Diese Option ist abgeblendet, wenn der Bereitstellungszweck Erforderlich ist oder wenn Sie die Anwendung in einer Gerätesammlung bereitstellen.
Anwendungsgenehmigungsanforderungen werden im Arbeitsbereich Softwarebibliothek im Knoten Anwendungsanforderungen unter Anwendungsverwaltung angezeigt. Wenn eine Anforderung nicht innerhalb von 30 Tagen genehmigt wird, wird sie entfernt. Durch eine erneute Installation des Clients werden möglicherweise alle ausstehenden Genehmigungsanforderungen abgebrochen.
Nachdem Sie eine Anwendung für die Installation genehmigt haben, können Sie die Anforderung in der Configuration Manager-Konsole ablehnen . Diese Aktion bewirkt nicht, dass der Client die Anwendung von geräten deinstalliert. Benutzer werden daran gehindert, neue Kopien der Anwendung aus dem Softwarecenter zu installieren.
E-Mail-Benachrichtigungen
Sie können E-Mail-Benachrichtigungen für Anwendungsgenehmigungsanforderungen konfigurieren. Wenn ein Benutzer eine Anwendung anfordert, erhalten Sie eine E-Mail. Klicken Sie in der E-Mail auf Links, um die Anforderung zu genehmigen oder zu verweigern, ohne dass die Configuration Manager-Konsole erforderlich ist.
Sie können die E-Mail-Adressen der Benutzer definieren, die die Anforderung genehmigen oder ablehnen können, während sie eine neue Bereitstellung für die Anwendung erstellen. Wenn Sie die Liste der E-Mail-Adressen anschließend ändern müssen, wechseln Sie zum Arbeitsbereich Überwachung , erweitern Sie Warnungen, und wählen Sie den Knoten Abonnements aus. Wählen Sie Eigenschaften in einem der Genehmigungsanwendung über E-Mail-Abonnements aus, die sich auf Ihre Anwendungsbereitstellung beziehen.
Wenn mehr als eine Warnung vorhanden ist, können Sie bestimmen, welche Warnung mit welcher Bereitstellung verwendet wird. Öffnen Sie die Warnungseigenschaften, und zeigen Sie die Liste der ausgewählten Warnungen auf der Registerkarte Allgemein an. Die Bereitstellung wird als Warnung für dieses Abonnement aktiviert.
Benutzer können der Anforderung aus dem Softwarecenter einen Kommentar hinzufügen. Dieser Kommentar wird in der Anwendungsanforderung in der Configuration Manager-Konsole angezeigt. Dieser Kommentar wird auch in der E-Mail angezeigt. Das Einfügen dieses Kommentars in die E-Mail hilft den genehmigenden Personen, eine bessere Entscheidung zu treffen, die Anforderung zu genehmigen oder zu verweigern.
Voraussetzungen
So senden Sie E-Mail-Benachrichtigungen und ergreifen Maßnahmen im internen Netzwerk
Mit diesen Voraussetzungen erhalten Empfänger eine E-Mail mit einer Benachrichtigung über die Anforderung. Wenn sie sich im internen Netzwerk befinden, können sie die Anforderung auch in der E-Mail genehmigen oder ablehnen.
Aktivieren Sie das optionale FeatureAnwendungsanforderungen für Benutzer pro Gerät genehmigen.
Konfigurieren sie E-Mail-Benachrichtigungen für Warnungen.
Hinweis
Der Administrator, der die Anwendung bereitstellt, benötigt die Berechtigung zum Erstellen einer Warnung und eines Abonnements. Wenn dieser Benutzer nicht über diese Berechtigungen verfügt, wird am Ende des Assistenten zum Bereitstellen von Software ein Fehler angezeigt: "Sie verfügen nicht über Sicherheitsrechte, um diesen Vorgang auszuführen."
Richten Sie den Verwaltungsdienst in Configuration Manager ein.
Hinweis
Wenn Sie mehrere untergeordnete primäre Standorte in einer Hierarchie haben, konfigurieren Sie diese Voraussetzungen für jeden primären Standort, an dem Sie dieses Feature aktivieren möchten. Die Links in der E-Mail-Benachrichtigung gelten für den Verwaltungsdienst am primären Standort.
So ergreifen Sie Maßnahmen aus dem Internet
Mit diesen zusätzlichen optionalen Voraussetzungen können Empfänger die Anforderung von überall aus genehmigen oder ablehnen, wo sie über Internetzugriff verfügen.
Aktivieren Sie den SMS-Anbieter-Verwaltungsdienst über das Cloudverwaltungsgateway. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Server und Standortsystemrollen aus. Wählen Sie den Server mit der Rolle SMS-Anbieter aus. Wählen Sie im Detailbereich die Rolle SMS-Anbieter aus, und wählen Sie im Menüband auf der Registerkarte Standortrolle die Option Eigenschaften aus. Wählen Sie die Option Configuration Manager-Cloudverwaltungsgatewaydatenverkehr für den Verwaltungsdienst zulassen aus.
Installieren Sie eine unterstützte Version von .NET Framework. Ab Version 2107 erfordert der SMS-Anbieter .NET Version 4.6.2, und Version 4.8 wird empfohlen. In Version 2103 und früher erfordert diese Rolle .NET 4.5 oder höher. Weitere Informationen unter Voraussetzungen für Standort und Standortsystem.
Richten Sie ein Cloudverwaltungsgateway ein.
Hinweis
Dieses Szenario unterstützt CMG-Bereitstellungen mit einer VM-Skalierungsgruppe erst, wenn Configuration Manager Version 2207 oder höher installiert ist.
Integrieren Sie den Standort in Azure-Dienste für die Cloudverwaltung.
Aktivieren Sie die Microsoft Entra-Benutzerermittlung.
Manuelles Konfigurieren von Einstellungen in Microsoft Entra ID:
Navigieren Sie als Benutzer mit globalen Administratorberechtigungen zum Azure-Portal. Navigieren Sie zu Microsoft Entra ID, und wählen Sie App-Registrierungen aus.
Wählen Sie die Clientanwendung aus, die für die Integration der Configuration Manager-Cloudverwaltung erstellt wurde.
Wählen Sie im Menü Verwalten die Option Authentifizierung aus.
Fügen Sie einen neuen Single-Page-Anwendungstyp hinzu, falls noch nicht vorhanden.
Fügen Sie im Abschnitt Umleitungs-URIs den folgenden Pfad ein:
https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth
Ersetzen Sie durch
<CMG FQDN>
den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) Ihres CmG-Diensts (Cloud Management Gateway). Beispiel: GraniteFalls.Contoso.com.Wählen Sie für Configuration Manager Version 2111 und höher im Abschnitt Implizite Genehmigung und Hybridflows die folgenden Optionen aus:
- Zugriffstoken (werden für implizite Flows verwendet)
- ID-Token (werden für implizite und hybride Flows verwendet)
Klicken Sie dann auf Speichern.
Hinweis
Wenn in einer vorhandenen Clientregistrierungsanwendung der Umleitungs-URI aktualisiert werden muss, muss er als SPA erstellt und ein älterer Umleitungs-URI entfernt werden.
Konfigurieren der E-Mail-Genehmigung
Stellen Sie in der Configuration Manager-Konsole eine Anwendung bereit, die für eine Benutzersammlung verfügbar ist. Aktivieren Sie sie auf der Seite Bereitstellungseinstellungen zur Genehmigung. Geben Sie dann eine oder mehrere E-Mail-Adressen ein, um eine Benachrichtigung zu erhalten. Trennen Sie E-Mail-Adressen durch einen Semikolon (
;
).Hinweis
Jeder in Ihrer Microsoft Entra-Organisation, der die E-Mail erhält, kann die Anforderung genehmigen. Leiten Sie die E-Mail nicht an andere Personen weiter, es sei denn, Sie möchten, dass diese Maßnahmen ergreifen.
Fordern Sie als Benutzer die Anwendung im Softwarecenter an.
Sie erhalten innerhalb von fünf Minuten eine E-Mail-Benachrichtigung. Der Inhalt der E-Mail ähnelt dem folgenden Beispiel:
Hinweis
Der Link zum Genehmigen oder Verweigern ist für die einmalige Verwendung vorgesehen. Beispielsweise konfigurieren Sie einen Gruppenalias für den Empfang von Benachrichtigungen. Meg genehmigt die Anforderung. Jetzt kann Bruce die Anforderung nicht ablehnen.
Überprüfen Sie die NotiCtrl.log-Datei auf dem Standortserver zur Problembehandlung.
Wartung
Configuration Manager speichert die Informationen zur Anwendungsgenehmigungsanforderung in der Standortdatenbank. Bei Anforderungen, die abgebrochen oder abgelehnt werden, löscht die Website den Anforderungsverlauf nach 30 Tagen. Sie können dieses Löschverhalten mit dem StandortwartungstaskVeraltete Anwendungsanforderungsdaten löschen konfigurieren. Die Website löscht niemals genehmigte oder ausstehende Anwendungsanforderungen.
Nächste Schritte
Überwachen von Anwendungen über die Configuration Manager-Konsole