在 Microsoft Intune 中包含和排除应用分配
在Intune中,可以通过分配要包括和排除的用户组来确定谁有权访问应用。 在向应用分配组之前,必须为应用设置分配类型。 分配类型使应用可用、必需或卸载应用。
若要设置应用的可用性,请使用包含和排除组分配的组合,包括和排除一组用户或设备的应用分配。 通过包括大型组使应用可用,然后通过排除较小的组来缩小所选用户的范围时,此功能非常有用。 较小的组可能是测试组或执行组。
最佳做法是专门为用户组创建和分配应用,并单独为设备组分配应用。 有关组的详细信息,请参阅添加用于组织用户和设备的组。
包括或排除应用分配时存在重要方案:
- 排除优先于包含在以下相同组类型方案中:
分配应用时包括用户组和排除用户组
分配应用时包括设备组和排除设备组
例如,如果将设备组分配给“所有公司用户”用户组,但排除“高级管理人员”用户组中的成员,则除高级管理人员之外的所有公司用户都会获得分配,因为这两个组都是用户组。
- Intune不评估用户到设备的组关系。 如果将应用分配给混合组,则结果可能不是你想要的或预期的。
例如,如果将设备组分配给 “所有用户” 用户组,但排除 “所有个人设备” 设备组, 则“所有用户” 将获取该应用。 排除不适用。
因此,不建议将应用分配到混合组。
注意
为应用设置组分配时,将弃用 “不适用 ”类型,并将其替换为排除组功能。
Intune在Microsoft Intune管理中心提供预先创建的“所有用户”和“所有设备”组。 为了方便起见,这些组具有内置优化功能。 强烈建议使用这些组来面向所有用户和所有设备,而不是可能自行创建的任何“所有用户”或“所有设备”组。
Android Enterprise 支持包括和排除组。 可以利用内置的 “所有用户 ”和 “所有设备” 组进行 Android 企业应用分配。
分配应用时包括和排除组
若要使用包括和排除分配将应用分配到组,请执行以下操作:
选择“应用”>“所有应用”。 将显示已添加到Intune的应用列表。
选择要分配的应用。 仪表板显示有关应用的信息。
选择“管理”部分下的“属性”。
选择“分配”旁边的“编辑”。
选择“无论是否注册可用”部分下的“添加所有用户”,将此应用分配给所有用户。
选择“无论是否注册可用”部分下的“添加组”。
选择要从应用分配中排除的组。
单击“ 选择” 以包含组。
在添加的组旁边的“组”模式下选择“包含”。 将显示 “编辑分配 ”窗格。
[注意]默认情况下,所选组以包含模式分配。
在“编辑分配”窗格的“分配设置”下,选择“排除”作为“模式”。
选择“ 确定” 以排除所选组。
选择“排除组”以选择要使此应用不可用的用户组。
选择要排除的组。 这会使此应用对这些组不可用。
单击“ 查看 + 保存 ”,使组分配对应用处于活动状态。
注意
添加组时,如果已为特定分配类型包括任何其他组,则会预选该应用,并且无法为其他包含分配类型修改应用。 已使用的组不能用作包含组。
进行组分配时,无法修改已分配的组。 如果要选择当前不可用的组,请先从应用的分配列表中删除该组。
若要编辑分配,请在应用 分配 窗格中,选择包含要更改的特定分配的行。 还可以通过选择行末尾的省略号 (...) ,然后选择 “删除”来删除作业。
注意
删除组分配不会删除相关应用,Android Enterprise 专用、完全托管和公司拥有的工作配置文件设备除外。 已安装的应用将保留在设备上。
后续步骤
- 有关包括和排除应用的组分配的详细信息,请参阅Microsoft Intune博客。
- 了解如何 监视应用信息和分配。