在 Configuration Manager 中批准应用程序

适用于: Configuration Manager(current branch)

在 Configuration Manager 中部署应用程序时，可以在安装前获得批准。 用户在软件中心请求应用程序，然后在Configuration Manager控制台中查看请求。 可以批准或拒绝请求。

注意

从版本 2111 开始，还可以对 应用程序组使用大多数审批行为。

审批设置

应用程序审批行为取决于是否启用建议的 可选应用审批体验。 以下审批设置之一显示在应用程序部署的 “部署设置” 页上：

管理员必须在设备上批准此应用程序的请求

注意

Configuration Manager默认情况下不启用此功能。 在使用前，请启用可选功能 “按设备批准用户的应用程序请求”。 有关详细信息，请参阅启用更新中的可选功能。

如果未启用此功能，将看到 以前的体验。

管理员先批准对应用程序的任何用户请求，然后用户才能将其安装在所请求的设备上。 如果管理员批准请求，则用户只能在该设备上安装应用程序。 用户必须提交另一个请求才能在另一台设备上安装应用程序。 当部署目的为 必需或将应用程序部署到设备集合时，此选项灰显。

注意

若要利用新的Configuration Manager功能，请先将客户端更新到最新版本。 虽然更新站点和控制台时，Configuration Manager控制台中会显示新功能，但在客户端版本也是最新的之前，完整方案不起作用。

在Configuration Manager控制台的“软件库”工作区中的“应用程序管理”下查看应用程序请求。 每个请求的列表中都有一个 “设备” 列。 对请求执行操作时，“应用程序请求”对话框还包括用户从中提交请求的设备名称。

如果请求未在 30 天内获得批准，则会将其删除。 重新安装客户端可能会取消任何挂起的审批请求。

当需要批准部署到设备集合时，该应用不会显示在软件中心。 如果需要批准对用户集合的部署，该应用将显示在软件中心。 你仍然可以使用客户端设置“ 在软件中心隐藏未批准的应用程序”向用户隐藏它。 有关详细信息，请参阅 软件中心客户端设置。

批准安装应用程序后，可以在Configuration Manager控制台中拒绝请求。 如果用户尚未安装应用程序，此操作会阻止他们从软件中心安装应用程序的新副本。 如果应用程序以前已获批准并安装，则 拒绝 对应用程序的请求时，客户端会从用户的设备卸载该应用程序。

如果在控制台中批准应用请求，然后拒绝该请求，则可以再次批准该请求。 批准应用后，会在客户端上重新安装。

使用 Approve-CMApprovalRequest PowerShell cmdlet 自动执行审批过程。 此 cmdlet 包括 InstallActionBehavior 参数。 使用此参数可指定是立即安装应用程序还是非工作时间安装应用程序。

可以查看哪些部署需要审批。 在“ 应用程序 ”节点中选择一个应用。 在详细信息窗格中，切换到“ 部署 ”选项卡。默认情况下会显示一列“ 需要审批”。

重试安装预先批准的应用程序

可以重试安装以前为用户或设备批准的应用。 审批选项仅适用于可用的部署。 如果用户卸载应用，或者初始安装过程失败，Configuration Manager不会重新评估其状态并重新安装它。 此功能允许支持技术人员快速重试请求帮助的用户的应用安装。

1. 以对 Application 对象具有“批准”权限的用户身份打开Configuration Manager控制台。 例如， 应用程序管理员 或 应用程序作者 内置角色具有此权限。

2. 部署需要审批的应用，并批准它。

   提示

   或者， 为设备安装应用程序。 它会在设备上为应用创建已批准的请求。

如果应用程序未成功安装，或用户卸载应用，请使用以下过程重试：

1. 在Configuration Manager控制台中，转到“软件库”工作区，展开“应用程序管理”，然后选择“应用程序请求”节点。

2. 选择以前批准的应用。 在功能区的“审批请求”组中，选择“ 重试安装”。

其他应用审批资源

• ConfigMgr 1810 中的应用程序审批改进
• 汇报Configuration Manager中的应用程序审批过程

如果用户请求此应用程序，则需要管理员批准

注意

如果未启用建议的 可选应用审批体验，则此体验适用。

管理员先批准用户对应用程序的任何请求，然后用户才能安装该应用程序。 当部署目的为 必需或将应用程序部署到设备集合时，此选项灰显。

应用程序审批请求显示在“应用程序请求”节点中的“软件库”工作区的“应用程序管理”下。 如果请求未在 30 天内获得批准，则会将其删除。 重新安装客户端可能会取消任何挂起的审批请求。

批准安装应用程序后，可以在Configuration Manager控制台中拒绝请求。 此操作不会导致客户端从任何设备卸载应用程序。 它会阻止用户从软件中心安装应用程序的新副本。

电子邮件通知

可以为应用程序审批请求配置电子邮件通知。 当用户请求应用程序时，你会收到一封电子邮件。 单击电子邮件中的链接以批准或拒绝请求，而无需Configuration Manager控制台。

可以定义在为应用程序创建新部署时可以批准或拒绝请求的用户的电子邮件地址。 如果需要随后更改电子邮件地址列表，请转到 “监视 ”工作区，展开 “警报”，然后选择“ 订阅” 节点。 从其中一个“通过电子邮件批准”应用程序订阅中选择“属性”，订阅与应用程序部署相关。

如果有多个警报，则可以确定哪个警报与哪个部署一起。 打开警报属性，并在“常规”选项卡上查看 “所选警报 ”列表。部署作为此订阅的警报启用。

用户可以从软件中心向请求添加注释。 此注释显示在 Configuration Manager 控制台中的应用程序请求上。 该注释也会显示在电子邮件中。 在电子邮件中包含此注释可帮助审批者做出更好的决定来批准或拒绝请求。

先决条件

发送电子邮件通知并在内部网络上执行操作

满足这些先决条件后，收件人会收到一封电子邮件，其中包含请求通知。 如果他们位于内部网络上，则还可以批准或拒绝来自电子邮件的请求。

• 启用 可选功能“为每个设备批准用户的应用程序请求”。

• 为警报配置电子邮件通知。

  注意

  部署应用程序的管理用户需要创建警报和订阅的权限。 如果此用户没有这些权限，他们将在 “部署软件向导”末尾看到错误：“你没有执行此操作的安全权限。

• 在 Configuration Manager 中设置管理服务。

注意

如果层次结构中有多个子主站点，请为要在其中启用此功能的每个主站点配置这些先决条件。 电子邮件通知中的链接用于主站点上的管理服务。

从 Internet 执行操作

有了这些附加的可选先决条件，收件人可以从他们有权访问 Internet 的任何位置批准或拒绝请求。

• 通过云管理网关启用 SMS 提供程序管理服务。 在Configuration Manager控制台中，转到“管理”工作区，展开“站点配置”，然后选择“服务器和站点系统角色”节点。 选择具有 SMS 提供程序角色的服务器。 在详细信息窗格中，选择“SMS 提供程序”角色，然后在“站点角色”选项卡上的功能区中选择“属性”。选择“允许管理服务Configuration Manager云管理网关流量”选项。

• 安装受支持的.NET Framework版本。 从版本 2107 开始，SMS 提供程序需要 .NET 版本 4.6.2，建议使用版本 4.8。 在版本 2103 及更早版本中，此角色需要 .NET 4.5 或更高版本。 有关详细信息， 请参阅站点和站点系统先决条件。

• 设置 云管理网关。

  注意

  在安装Configuration Manager版本 2207 或更高版本之前，此方案不支持使用虚拟机规模集进行 CMG 部署。

• 将站点载入 到 Azure 服务 进行 云管理。

• 启用Microsoft Entra用户发现。

• 在 Microsoft Entra ID 中手动配置设置：

  1. 以具有全局管理员权限的用户身份转到Azure 门户。 转到Microsoft Entra ID，然后选择“应用注册”。

  2. 选择为 Configuration Manager Cloud Management 集成创建的客户端应用程序。

  3. 在 “管理 ”菜单中，选择“ 身份验证”。

     1. 添加新 的单页应用程序 类型（如果尚不存在）。

     2. 在 “重定向 URI ”部分中，粘贴以下路径： https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth

     3. 将 替换为 <CMG FQDN> 云管理网关 (CMG) 服务的完全限定域名 (FQDN) 。 例如，GraniteFalls.Contoso.com。

     4. 对于Configuration Manager版本 2111 及更高版本，在“隐式授予和混合流”部分中，选择以下选项：

        • 访问令牌(用于隐式流)
        • ID 令牌(用于隐式和混合流)

     5. 然后选择“保存”。

  注意

  如果在现有客户端注册应用程序中需要更新重定向 URI，则需要将其创建为 SPA，并删除较旧的重定向 URI。

配置电子邮件审批

1. 在 Configuration Manager 控制台中，部署可供用户集合使用的应用程序。 在 “部署设置” 页上，启用它以供审批。 然后输入一个或多个电子邮件地址以接收通知。 使用分号 () ; 分隔电子邮件地址。

   注意

   Microsoft Entra组织中收到电子邮件的任何人都可以批准请求。 请勿将电子邮件转发给其他人，除非你希望他们采取措施。

2. 作为用户，请在软件中心请求应用程序。

3. 在五分钟内收到电子邮件通知。 电子邮件的内容类似于以下示例：

注意

“批准”或“拒绝”链接供一次性使用。 例如，配置组别名以接收通知。 Meg 批准请求。 现在，Bruce 无法拒绝该请求。

查看站点服务器上的 NotiCtrl.log 文件进行故障排除。

维护

Configuration Manager将有关应用程序审批请求的信息存储在站点数据库中。 对于取消或拒绝的请求，站点在 30 天后删除请求历史记录。 可以使用 “删除过期的应用程序请求数据”站点维护任务配置此删除行为。 站点永远不会删除任何已批准或挂起的应用程序请求。

后续步骤

从Configuration Manager控制台监视应用程序