Atribuir aplicativos a grupos com o Microsoft Intune

Depois de adicionar um aplicativo ao Microsoft Intune, você pode atribuir o aplicativo a usuários e dispositivos. É importante observar que você pode implantar um aplicativo em um dispositivo se o dispositivo é gerenciado ou não por Intune.

Observação

A intenção de implantação de dispositivos registrados é compatível com grupos de usuários e grupos de dispositivos ao direcionar dispositivos totalmente gerenciados do Android Enterprise (COBO) e dispositivos COPE (de propriedade corporativa) do Android Enterprise.

A tabela a seguir lista as várias opções para atribuir aplicativos a usuários e dispositivos:

Opção Dispositivos registrados com Intune Dispositivos não registrados com Intune
Atribuir aos usuários Sim Sim
Atribuir a dispositivos Sim Não
Atribuir aplicativos ou aplicativos encapsulados que incorporam o SDK Intune (para políticas de proteção de aplicativo) Sim Sim
Atribuir aplicativos como Disponíveis Sim Sim
Atribuir aplicativos conforme necessário Sim Não
Desinstalar aplicativos Sim Não
Receber atualizações de aplicativo de Intune Sim Não
Usuários finais instalam aplicativos disponíveis no aplicativo Portal da Empresa Sim Não
Os usuários finais instalam aplicativos disponíveis do Portal da Empresa baseado na Web Sim Sim

Observação

Atualmente, você pode atribuir aplicativos iOS/iPadOS e Android (aplicativos de linha de negócios e comprados na loja) a dispositivos que não estão registrados com Intune.

Para receber as atualizações dos aplicativos que não estão registrados no Intune, os usuários do dispositivo devem acessar o Company Portal sua organização e instalar manualmente as atualizações dos aplicativos.

Para quase todos os tipos e plataformas de aplicativo, as atribuições disponíveis só são válidas quando assiging para grupos de usuários, não grupos de dispositivos. Aplicativos Win32 podem ser atribuídos a grupos de usuários ou dispositivos.

Se os aplicativos de pré-produção gerenciados do Google Play forem atribuídos conforme necessário em dispositivos de perfil de trabalho de propriedade pessoal do Android Enterprise, eles não serão instalados no dispositivo. Para contornar isso, crie dois grupos de usuários idênticos e atribua a faixa de pré-produção como "disponível" a um e "obrigatório" ao outro. O resultado será que a faixa de pré-produção será implantada com êxito no dispositivo.

Atribuir um aplicativo

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Aplicativos>Todos os aplicativos.

  3. No painel Aplicativos , selecione o aplicativo que você deseja atribuir.

  4. Na seção Gerenciar do menu, selecione Propriedades.

  5. Role para baixo até Propriedades e selecione Atribuições.

  6. Selecione Adicionar Grupo para abrir o painel Adicionar grupo relacionado ao aplicativo.

  7. Para o aplicativo específico, selecione um tipo de atribuição:

    • Disponível para dispositivos registrados: atribua o aplicativo a grupos de usuários que podem instalar o aplicativo no Portal da Empresa aplicativo ou site.

    • Disponível com ou sem registro: atribua esse aplicativo a grupos de usuários cujos dispositivos não estão registrados com Intune. Os usuários devem receber uma licença Intune, consulte Licenças Intune.

    • Obrigatório: o aplicativo é instalado nos dispositivos nos grupos selecionados. Algumas plataformas podem ter solicitações adicionais para o usuário final reconhecer antes do início da instalação do aplicativo.

    • Desinstalar: o aplicativo será desinstalado de dispositivos nos grupos selecionados se Intune tiver instalado anteriormente o aplicativo no dispositivo por meio de uma atribuição "Disponível para dispositivos registrados" ou "Obrigatório" usando a mesma implantação.

      Observação

      Somente para aplicativos iOS/iPadOS:

      • Para configurar o que acontece com aplicativos gerenciados quando os dispositivos não são mais gerenciados, você pode selecionar a configuração pretendida em Desinstalar na remoção do dispositivo. Para obter mais informações, consulte Configuração de desinstalação de aplicativo para aplicativos gerenciados iOS/iPadOS.
      • Se você criou um perfil vpn iOS/iPadOS que contém configurações de VPN por aplicativo, você pode selecionar o perfil VPN em VPN. Quando o aplicativo é executado, a conexão VPN é aberta. Para obter mais informações, confira Configurações de VPN para dispositivos iOS/iPadOS.
      • Para configurar se um aplicativo iOS/iPadOS necessário está instalado como um aplicativo removível por usuários finais, você pode selecionar a configuração em Instalar como removível.

      Somente para aplicativos Android:

      • Se você implantar um aplicativo Android como Disponível com ou sem registro, o status do relatório só estará disponível em dispositivos registrados.

      Para disponível para dispositivos registrados:

      • O aplicativo só será exibido conforme disponível se o usuário fizer logon no Portal da Empresa for o usuário principal que registrou o dispositivo e o aplicativo for aplicável ao dispositivo.
  8. Para selecionar os grupos de usuários afetados por essa atribuição de aplicativo, selecione Grupos Incluídos.

  9. Depois de selecionar um ou mais grupos a serem incluídos, selecione Selecionar.

  10. No painel Atribuir , selecione OK para concluir a seleção de grupos incluídos.

  11. Se desejar que alguns grupos de usuários não sejam afetados por esta atribuição de aplicativo, selecione Excluir Grupos.

  12. Se você tiver escolhido excluir algum grupo, em Selecionar Grupos, escolha Selecionar.

  13. No painel Adicionar grupo , selecione OK.

  14. No painel Atribuições do aplicativo, selecione Salvar.

O aplicativo agora é atribuído aos grupos selecionados. Para obter mais informações sobre como incluir e excluir atribuições de aplicativo, confira Incluir e excluir atribuições de aplicativo.

Dica

Intune dá suporte à atribuição de aplicativos a grupos aninhados também. Por exemplo, se você atribuiu um aplicativo ao grupo "Engineering Global" e tiver "APAC de Engenharia", "ENGENHARIA EMEA" e "Engenharia dos EUA" aninhados como grupos filho, os membros desses grupos filho também serão alvo da atribuição.

Como os conflitos entre intenções de aplicativo são resolvidos

Um único grupo é impedido de ser alvo de várias intenções de atribuição de aplicativo, no entanto, se um usuário ou um dispositivo for um membro de vários grupos atribuídos com intenções diferentes, isso resultará em um conflito. Não é recomendável criar conflitos de atribuição para aplicativos. As informações na tabela a seguir podem ajudá-lo a entender a intenção resultante quando ocorre um conflito:

Intenção do grupo 1 Intenção do grupo 2 Intenção resultante
Usuário Obrigatório Usuário Disponível Obrigatório e disponível
Usuário Obrigatório Desinstalar usuário Obrigatório
Usuário Disponível Desinstalar usuário Desinstalar
Usuário Obrigatório Dispositivo Necessário Ambos existem, Intune tratas necessárias
Usuário Obrigatório Desinstalar dispositivo Ambos existem, Intune resolve Obrigatório
Usuário Disponível Dispositivo Necessário Ambos existem, Intune resolve Obrigatório (Obrigatório e Disponível)
Usuário Disponível Desinstalar dispositivo Ambos existem, Intune resolve Disponível.

O aplicativo aparece no Portal da Empresa.

Se o aplicativo já estiver instalado (como um aplicativo necessário com intenção anterior), o aplicativo será desinstalado.

Se o usuário selecionar Instalar no Portal da Empresa, o aplicativo será instalado e a intenção de desinstalação não será honrada.
Desinstalar usuário Dispositivo Necessário Ambos existem, Intune resolve Obrigatório
Desinstalar usuário Desinstalar dispositivo Ambos existem, Intune resolve Desinstalar
Dispositivo Necessário Desinstalar dispositivo Obrigatório
Usuário Obrigatório e Disponível Usuário Disponível Obrigatório e disponível
Usuário Obrigatório e Disponível Desinstalar usuário Obrigatório e disponível
Usuário Obrigatório e Disponível Dispositivo Necessário Ambos existem, Obrigatórios e Disponíveis
Usuário Obrigatório e Disponível Desinstalar dispositivo Ambos existem, Intune resolve Obrigatório (Obrigatório e Disponível)
Usuário Disponível sem registro Usuário Obrigatório e Disponível Obrigatório e disponível
Usuário Disponível sem registro Usuário Obrigatório Obrigatório
Usuário Disponível sem registro Usuário Disponível Disponível
Usuário Disponível sem registro Dispositivo Necessário Obrigatório e Disponível sem registro
Usuário Disponível sem registro Desinstalar dispositivo Desinstalar e disponível sem registro.

Se o usuário não instalou o aplicativo do Portal da Empresa, a desinstalação será honrada.

Se o usuário instalar o aplicativo do Portal da Empresa, a instalação será priorizada na desinstalação.

Observação

Somente para aplicativos gerenciados da loja iOS, quando você adiciona esses aplicativos a Microsoft Intune e os atribui como Necessário, os aplicativos são criados automaticamente com intenções necessárias e disponíveis.

Os aplicativos da Loja iOS (não aplicativos VPP iOS/iPadOS) que são direcionados com a intenção necessária serão aplicados no dispositivo no momento do check-in do dispositivo e também serão exibidos no aplicativo Portal da Empresa.

Quando ocorrem conflitos em Desinstalar na configuração de remoção do dispositivo , o aplicativo não é removido do dispositivo quando o dispositivo não é mais gerenciado.

Observação

Os aplicativos implantados como Obrigatórios para dispositivos de perfil de trabalho de propriedade corporativa não podem ser desinstalados manualmente pelo usuário.

Implantação gerenciada do aplicativo Google Play para dispositivos não gerenciados

Para dispositivos Android não registrados, você pode usar o Google Play Gerenciado para implantar aplicativos de loja e aplicativos LOB (linha de negócios) para usuários. Depois de implantado, você pode usar o MAM (Gerenciamento de Aplicativos Móveis) para gerenciar os aplicativos. Os aplicativos gerenciados do Google Play direcionados como Disponíveis com ou sem registro serão exibidos no aplicativo Play Store no dispositivo do usuário final e não no aplicativo Portal da Empresa. O usuário final navegará e instalará aplicativos implantados dessa maneira no aplicativo Play. Como os aplicativos estão sendo instalados do Google Play gerenciado, o usuário final não precisará alterar suas configurações de dispositivo para permitir a instalação do aplicativo de fontes desconhecidas, o que significa que os dispositivos serão mais seguros. Se o desenvolvedor do aplicativo publicar uma nova versão de um aplicativo para Reprodução instalado no dispositivo de um usuário, o aplicativo será atualizado automaticamente pelo Play.

Etapas para atribuir um aplicativo Gerenciado do Google Play a dispositivos não gerenciados:

  1. Conecte seu locatário Intune ao Google Play gerenciado. Se você já fez isso para gerenciar dispositivos de perfil de trabalho de propriedade pessoal, dedicado, totalmente gerenciado ou de propriedade corporativa do Android Enterprise, você não precisará fazê-lo novamente.

  2. Adicione aplicativos do Google Play gerenciado ao console Intune.

  3. Aplicativos do Google Play gerenciados de destino como Disponíveis com ou sem registro no grupo de usuários desejado. Não há suporte para o direcionamento obrigatório e desinstalar o aplicativo para dispositivos não registrados.

  4. Atribua uma Política de Proteção de Aplicativo ao grupo de usuários.

  5. O usuário faz logon em qualquer aplicativo protegido.

  6. Na próxima vez que o usuário final abrir o aplicativo Portal da Empresa e concluir o processo de logon, ele verá uma mensagem indicando na seção Aplicativos que há aplicativos disponíveis para eles. O usuário pode selecionar essa notificação para navegar até a Play Store.

    Observação

    Você pode configurar opções de configuração de registro de dispositivo para estar Disponível, sem prompts ou Indisponível. Essa configuração impedirá que o usuário registre involuntariamente seu dispositivo ou receba notificações para registrar seu dispositivo depois de fazer logon no Portal da Empresa.

  7. O usuário final pode expandir o menu de contexto dentro do aplicativo Play Store e alternar entre sua conta pessoal do Google (onde eles veem seus aplicativos pessoais) e sua conta de trabalho (onde verão aplicativos de armazenamento e LOB direcionados a eles). Os usuários finais instalam os aplicativos tocando em Instalar no aplicativo Play Store.

Quando um apagamento seletivo do APP é emitido no console Intune, a conta de trabalho será removida automaticamente do aplicativo Play Store e o usuário final não verá mais aplicativos de trabalho no catálogo de aplicativos da Play Store. Quando a conta de trabalho for removida de um dispositivo, os aplicativos instalados na Play Store permanecerão instalados no dispositivo e não serão desinstalados.

Configuração de desinstalação de aplicativos para iOS

Para dispositivos iOS/iPadOS, você pode escolher o que acontece com aplicativos gerenciados ao desativar o dispositivo de Intune ou remover o perfil de gerenciamento usando Desinstalar na configuração de remoção do dispositivo. Essa configuração só se aplica a aplicativos depois que o dispositivo é registrado e os aplicativos são instalados como gerenciados. A configuração não pode ser configurada para aplicativos Web ou links da Web. Somente os dados protegidos pelo MAM (Gerenciamento de Aplicativos Móveis) são removidos após a aposentadoria por um Apagamento Seletivo de Aplicativo.

Os valores padrão para a configuração são prepovoados para novas atribuições da seguinte maneira:

Tipo de aplicativo iOS Configuração padrão para "Desinstalar na remoção do dispositivo"
Aplicativo de linha de negócios Sim
Aplicativo da Store Não
Aplicativo VPP Não
Aplicativo interno Não

Observação

Tipos de atribuição "disponíveis": Se você estiver atualizando essa configuração para grupos "disponíveis para dispositivos registrados" ou "disponíveis com ou sem registro", os usuários que já têm o aplicativo gerenciado não receberão a configuração atualizada até sincronizar o dispositivo com Intune e instalar novamente o aplicativo.

Atribuições pré-existentes: A configuração de desinstalação do aplicativo foi introduzida em maio de 2019. As atribuições que existiam antes dessa data não são modificadas e todos os aplicativos gerenciados serão removidos na remoção do dispositivo do gerenciamento. Se sua atribuição foi criada antes de maio de 2019, talvez seja necessário definir explicitamente a configuração de desinstalação do aplicativo, pois as configurações padrão acima podem não se aplicar.

Próximas etapas

Para saber mais sobre como monitorar atribuições de aplicativo, confira Como monitorar aplicativos.