Zuweisen von Apps zu Gruppen mit Microsoft Intune

Nachdem Sie eine App zu Microsoft Intune hinzugefügt haben, können Sie die App Benutzern und Geräten zuweisen. Es ist wichtig zu beachten, dass Sie eine App auf einem Gerät bereitstellen können, unabhängig davon, ob das Gerät von Intune verwaltet wird.

Hinweis

Die Bereitstellungsabsicht für registrierte Geräte wird für Benutzergruppen und Gerätegruppen unterstützt, wenn sie auf vollständig verwaltete Android Enterprise-Geräte (FULLY Managed Devices, COBO) und COPE-Geräte (Personally Enabled) im Unternehmensbesitz von Android Enterprise ausgerichtet sind.

In der folgenden Tabelle sind die verschiedenen Optionen zum Zuweisen von Apps zu Benutzern und Geräten aufgeführt:

Option Bei Intune registrierte Geräte Geräte, die nicht bei Intune registriert sind
Benutzern zuweisen Ja Ja
Geräte zuweisen Ja Nein
Zuweisen von umschlossenen Apps oder Apps, die das Intune SDK enthalten (für App-Schutzrichtlinien) Ja Ja
Apps als verfügbar zuweisen Ja Ja
Zuweisen von Apps als erforderlich Ja Nein
Deinstallieren von Apps Ja Nein
Empfangen von App-Updates von Intune Ja Nein
Endbenutzer installieren verfügbare Apps aus der Unternehmensportal-App Ja Nein
Endbenutzer installieren verfügbare Apps aus dem webbasierten Unternehmensportal Ja Ja

Hinweis

Derzeit können Sie iOS-/iPadOS- und Android-Apps (branchenspezifische und vom Store erworbene Apps) Geräten zuweisen, die nicht bei Intune registriert sind.

Um App-Updates auf Geräten zu erhalten, die nicht mit Intune registriert sind, müssen Gerätebenutzer auf das Unternehmensportal ihrer Organisation zugreifen und App-Updates manuell installieren.

Verfügbare Zuweisungen sind nur für Benutzergruppen gültig, nicht für Gerätegruppen.

Wenn verwaltete Google Play Pre-Production-Track-Apps wie erforderlich auf persönlichen Arbeitsprofilgeräten von Android Enterprise zugewiesen werden, werden sie nicht auf dem Gerät installiert. Um dies zu umgehen, erstellen Sie zwei identische Benutzergruppen, und weisen Sie die Vorproduktionsspur einer und der anderen als "erforderlich" zu. Das Ergebnis ist, dass die Vorproduktionsspur erfolgreich auf dem Gerät bereitgestellt wird.

Zuweisen einer App

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Apps > Alle Apps aus.

  3. Wählen Sie im Bereich "Apps " die App aus, die Sie zuweisen möchten.

  4. Wählen Sie im Abschnitt "Verwalten " des Menüs "Aufgaben" aus.

  5. Wählen Sie "Gruppe hinzufügen" aus, um den Bereich "Gruppe hinzufügen" zu öffnen, der mit der App verknüpft ist.

  6. Wählen Sie für die spezifische App einen Zuordnungstyp aus:

    • Verfügbar für registrierte Geräte: Weisen Sie die App Gruppen von Benutzern zu, die die App über die Unternehmensportal App oder Website installieren können.

    • Verfügbar mit oder ohne Registrierung: Weisen Sie diese App Gruppen von Benutzern zu, deren Geräte nicht bei Intune registriert sind. Benutzern muss eine Intune Lizenz zugewiesen werden, siehe Intune Lizenzen.

    • Erforderlich: Die App wird auf Geräten in den ausgewählten Gruppen installiert. Auf einigen Plattformen werden möglicherweise zusätzliche Aufforderungen angezeigt, die der Endbenutzer bestätigen muss, bevor die App-Installation beginnt.

    • Deinstallieren: Die App wird von Geräten in den ausgewählten Gruppen deinstalliert, wenn Intune die Anwendung zuvor über eine Zuordnung "Für registrierte Geräte verfügbar" oder "Erforderlich" mit derselben Bereitstellung auf dem Gerät installiert hat.

      Hinweis

      Nur für iOS/iPadOS-Apps:

      • Um zu konfigurieren, was mit verwalteten Apps geschieht, wenn Geräte nicht mehr verwaltet werden, können Sie die beabsichtigte Einstellung unter "Beim Entfernen des Geräts deinstallieren" auswählen. Weitere Informationen finden Sie unter App-Deinstallationseinstellung für verwaltete iOS/iPadOS-Apps.
      • Wenn Sie ein iOS/iPadOS-VPN-Profil erstellt haben, das VPN-Einstellungen pro App enthält, können Sie das VPN-Profil unter VPN auswählen. Wenn die App ausgeführt wird, wird die VPN-Verbindung geöffnet. Weitere Informationen finden Sie unter VPN-Einstellungen für iOS/iPadOS-Geräte.
      • Um zu konfigurieren, ob eine erforderliche iOS/iPadOS-App von Endbenutzern als Wechselmedien-App installiert wird, können Sie die Einstellung unter "Als wechselbar installieren" auswählen.

      Nur für Android-Apps:

      • Wenn Sie eine Android-App mit oder ohne Registrierung als verfügbar bereitstellen, ist der Berichtsstatus nur auf registrierten Geräten verfügbar.

      Für registrierte Geräte verfügbar:

      • Die App wird nur als verfügbar angezeigt, wenn sich der Benutzer bei der Unternehmensportal der primäre Benutzer ist, der das Gerät registriert hat, und die App auf das Gerät anwendbar ist.
  7. Um die Gruppen von Benutzern auszuwählen, die von dieser App-Zuweisung betroffen sind, wählen Sie "Eingeschlossene Gruppen" aus.

  8. Nachdem Sie eine oder mehrere Gruppen ausgewählt haben, die eingeschlossen werden sollen, wählen Sie "Auswählen" aus.

  9. Wählen Sie im Bereich "Zuweisen " die Option "OK " aus, um die Auswahl der enthaltenen Gruppen abzuschließen.

  10. Wenn Sie Benutzergruppen von dieser App-Zuweisung ausschließen möchten, wählen Sie Gruppen ausschließen aus.

  11. Wenn Sie auszuschließende Gruppen ausgewählt haben, wählen Sie in Gruppen auswählen die Option Auswählen aus.

  12. Wählen Sie im Bereich "Gruppe hinzufügen " die Option "OK" aus.

  13. Wählen Sie im App-Aufgabenbereich " Speichern" aus.

Die App ist jetzt den ausgewählten Gruppen zugewiesen. Weitere Informationen zum Einschließen und Ausschließen von App-Zuweisungen finden Sie unter "App-Zuweisungen einschließen und ausschließen".

Tipp

Intune unterstützt auch das Zuweisen von Apps zu geschachtelten Gruppen. Wenn Sie z. B. der Gruppe "Engineering Global" eine App zugewiesen haben und "Engineering APAC", "Engineering EMEA" und "Engineering US" als untergeordnete Gruppen geschachtelt sind, werden die Mitglieder dieser untergeordneten Gruppen ebenfalls auf die Zuordnung ausgerichtet.

Wie Konflikte zwischen App-Absichten gelöst werden

Eine einzelne Gruppe wird daran gehindert, für mehrere App-Zuweisungsabsichten ins Visier genommen zu werden. Wenn jedoch ein Benutzer oder ein Gerät Mitglied mehrerer Gruppen ist, die jeweils mit unterschiedlichen Absichten zugewiesen werden, führt dies zu einem Konflikt. Das Erstellen von Zuordnungskonflikten für Anwendungen wird nicht empfohlen. Die Informationen in der folgenden Tabelle können Ihnen helfen, die resultierende Absicht zu verstehen, wenn ein Konflikt auftritt:

Gruppenabsicht 1 Gruppenabsicht 2 Resultierende Absicht
Benutzer erforderlich Benutzer verfügbar Erforderlich und verfügbar
Benutzer erforderlich Benutzer deinstallieren Erforderlich
Benutzer verfügbar Benutzer deinstallieren Deinstallieren
Benutzer erforderlich Gerät erforderlich Beide sind vorhanden, Intune Behandelt erforderlich
Benutzer erforderlich Deinstallieren des Geräts Beide sind vorhanden, Intune löst "Erforderlich" auf.
Benutzer verfügbar Gerät erforderlich Beide sind vorhanden, Intune löst "Erforderlich" ("Erforderlich" und "Verfügbar") auf.
Benutzer verfügbar Deinstallieren des Geräts Beide sind vorhanden, Intune "Verfügbar" aufgelöst.

Die App wird im Unternehmensportal angezeigt.

Wenn die App bereits installiert ist (als erforderliche App mit vorheriger Absicht), wird die App deinstalliert.

Wenn der Benutzer "Installieren" aus dem Unternehmensportal auswählt, wird die App installiert, und die Deinstallationsabsicht wird nicht berücksichtigt.
Benutzer deinstallieren Gerät erforderlich Beide sind vorhanden, Intune löst "Erforderlich" auf.
Benutzer deinstallieren Deinstallieren des Geräts Beide sind vorhanden, Intune die Deinstallation auflöst.
Gerät erforderlich Deinstallieren des Geräts Erforderlich
Benutzer erforderlich und verfügbar Benutzer verfügbar Erforderlich und verfügbar
Benutzer erforderlich und verfügbar Benutzer deinstallieren Erforderlich und verfügbar
Benutzer erforderlich und verfügbar Gerät erforderlich Beide vorhanden, erforderlich und verfügbar
Benutzer erforderlich und verfügbar Deinstallieren des Geräts Beide sind vorhanden, Intune löst "Erforderlich" ("Erforderlich" und "Verfügbar") auf.
Benutzer ohne Registrierung verfügbar Benutzer erforderlich und verfügbar Erforderlich und verfügbar
Benutzer ohne Registrierung verfügbar Benutzer erforderlich Erforderlich
Benutzer ohne Registrierung verfügbar Benutzer verfügbar Available
Benutzer ohne Registrierung verfügbar Gerät erforderlich Erforderlich und verfügbar ohne Registrierung
Benutzer ohne Registrierung verfügbar Deinstallieren des Geräts Uninstall and Available without enrollment.

Wenn der Benutzer die App nicht über die Unternehmensportal installiert hat, wird die Deinstallation berücksichtigt.

Wenn der Benutzer die App über die Unternehmensportal installiert, wird die Installation gegenüber der Deinstallation priorisiert.

Hinweis

Wenn Sie diese Apps nur für verwaltete iOS-Store-Apps Microsoft Intune hinzufügen und als "Erforderlich" zuweisen, werden die Apps automatisch mit den Absichten "Erforderlich" und "Verfügbar" erstellt.

iOS Store-Apps (nicht iOS/iPadOS-VPP-Apps), die mit der erforderlichen Absicht ausgerichtet sind, werden beim Einchecken des Geräts auf dem Gerät erzwungen und auch in der Unternehmensportal-App angezeigt.

Wenn Konflikte in der Einstellung zum Deinstallieren auf dem Gerät auftreten, wird die App nicht vom Gerät entfernt, wenn das Gerät nicht mehr verwaltet wird.

Hinweis

Apps, die auf unternehmenseigenen Arbeitsprofilgeräten als erforderlich bereitgestellt werden, können vom Benutzer nicht manuell deinstalliert werden.

Verwaltete Google Play-App-Bereitstellung auf nicht verwalteten Geräten

Für nicht registrierte Android-Geräte können Sie verwaltetes Google Play verwenden, um Store-Apps und Branchen-Apps für Benutzer bereitzustellen. Nach der Bereitstellung können Sie die Anwendungen mithilfe der Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) verwalten. Verwaltete Google Play-Apps, die mit oder ohne Registrierung als verfügbar bestimmt sind, werden in der Play Store-App auf dem Gerät des Endbenutzers und nicht in der Unternehmensportal-App angezeigt. Endbenutzer durchsuchen und installieren Apps, die auf diese Weise über die Wiedergabe-App bereitgestellt werden. Da die Apps von verwalteten Google Play installiert werden, muss der Endbenutzer seine Geräteeinstellungen nicht ändern, um die App-Installation aus unbekannten Quellen zuzulassen, was bedeutet, dass die Geräte sicherer sind. Wenn der App-Entwickler eine neue Version einer Aufspiel-App veröffentlicht, die auf dem Gerät eines Benutzers installiert wurde, wird die App automatisch von Play aktualisiert.

Schritte zum Zuweisen einer verwalteten Google Play-App zu nicht verwalteten Geräten:

  1. Verbinden Sie Ihren Intune Mandanten mit verwalteten Google Play. Wenn Sie dies bereits getan haben, um Geräte für eigene, dedizierte, vollständig verwaltete oder unternehmenseigene Arbeitsprofilgeräte von Android Enterprise zu verwalten, müssen Sie dies nicht erneut tun.

  2. Fügen Sie Ihrer Intune Konsole Apps aus verwalteten Google Play hinzu.

  3. Ziel verwalteter Google Play-Apps als verfügbar mit oder ohne Registrierung für die gewünschte Benutzergruppe. Die App-Zielbestimmung "Erforderlich" und "Deinstallieren" werden für nicht registrierte Geräte nicht unterstützt.

  4. Weisen Sie der Benutzergruppe eine App-Schutzrichtlinie zu.

  5. Der Benutzer meldet sich in einer geschützten App an.

  6. Wenn der Endbenutzer das nächste Mal die Unternehmensportal-App öffnet und den Anmeldevorgang abschließt, wird eine Meldung angezeigt, die im Abschnitt "Apps" angibt, dass apps für sie verfügbar sind. Der Benutzer kann diese Benachrichtigung auswählen, um zum Play Store zu navigieren.

    Hinweis

    Sie können die Einstellungsoptionen für die Geräteregistrierung so konfigurieren , dass sie verfügbar, keine Eingabeaufforderungen oder nicht verfügbar sind. Diese Einstellung verhindert, dass Benutzer ihr Gerät versehentlich registrieren oder Benachrichtigungen erhalten, um ihr Gerät zu registrieren, nachdem sie sich bei der Unternehmensportal angemeldet haben.

  7. Der Endbenutzer kann das Kontextmenü in der Play Store-App erweitern und zwischen dem persönlichen Google-Konto (in dem seine persönlichen Apps angezeigt werden) und dem Geschäftskonto (wo store- und LOB-Apps für sie angezeigt werden) wechseln. Endbenutzer installieren die Apps, indem sie in der Play Store-App auf "Installieren" tippen.

Wenn eine selektive App-Zurücksetzung in der Intune-Konsole ausgestellt wird, wird das Geschäftskonto automatisch aus der Play Store-App entfernt, und dem Endbenutzer werden ab diesem Zeitpunkt keine Arbeits-Apps mehr im Play Store-App-Katalog angezeigt. Wenn das Geschäftskonto von einem Gerät entfernt wird, bleiben Apps, die aus dem Play Store installiert sind, auf dem Gerät installiert und werden nicht deinstalliert.

App-Deinstallationseinstellung für von iOS verwaltete Apps

Für iOS-/iPadOS-Geräte können Sie auswählen, was mit verwalteten Apps geschieht, wenn Sie die Registrierung des Geräts von Intune aufheben oder das Verwaltungsprofil mithilfe der Einstellung "Deinstallieren auf Gerät entfernen" entfernen. Diese Einstellung gilt nur für Apps, nachdem das Gerät registriert und Apps als verwaltet installiert wurden. Die Einstellung kann nicht für Web-Apps oder Weblinks konfiguriert werden. Nur durch die mobile Anwendungsverwaltung (MAM) geschützte Daten werden nach der Einstellung durch eine selektive App-Zurücksetzung entfernt.

Standardwerte für die Einstellung werden für neue Zuordnungen wie folgt vorgefüllt:

iOS-App-Typ Standardeinstellung für "Deinstallieren auf Dem Gerät entfernen"
Branchenspezifische App Ja
Store-App Nein
VPP-App Nein
Integrierte App Nein

Hinweis

"Verfügbare" Zuordnungstypen: Wenn Sie diese Einstellung für Gruppen "für registrierte Geräte verfügbar" oder "verfügbar mit oder ohne Registrierung" aktualisieren, erhalten Benutzer, die bereits über die verwaltete App verfügen, die aktualisierte Einstellung erst, wenn sie das Gerät mit Intune synchronisieren und die App erneut installieren.

Bereits vorhandene Zuordnungen: Die App-Deinstallationseinstellung wurde im Mai 2019 eingeführt. Zuordnungen, die vor diesem Datum vorhanden waren, sind unverändert, und alle verwalteten Apps werden beim Entfernen von Geräten aus der Verwaltung entfernt. Wenn Ihre Aufgabe vor Mai 2019 erstellt wurde, müssen Sie möglicherweise explizit die App-Deinstallationseinstellung festlegen, da die oben genannten Standardeinstellungen möglicherweise nicht gelten.

Nächste Schritte

Weitere Informationen zum Überwachen von App-Zuweisungen finden Sie unter "Überwachen von Apps".