使用 Microsoft Intune 将应用分配到组
将 应用添加到 Microsoft Intune 后,可以将该应用分配给用户和设备。 请务必注意,无论设备是否由 Intune 管理,都可以将应用部署到设备。
注意
当面向 Android Enterprise 完全托管设备 (COBO) 和 Android Enterprise 公司拥有的个人启用 (COPE) 设备时,用户组和设备组支持“适用于已注册设备”部署意向。
分配托管应用时的选项
下表列出了将应用 分配给 用户和设备时的各种选项:
选项 | 向 Intune 注册的设备 | 未向 Intune 注册的设备 |
---|---|---|
分配给用户 | 是 | 是 |
分配给设备 | 是 | 否 |
为应用保护策略分配包含 Intune SDK (的包装应用或应用) | 是 | 是 |
将应用分配为可用 | 是 | 是 |
将应用分配为“必需” | 是 | 否 |
卸载应用 | 是 | 否 |
从 Intune 接收应用更新 | 是 | 否 |
最终用户从公司门户应用安装可用应用 | 是 | 否 |
最终用户从基于 Web 的公司门户安装可用应用 | 是 | 是 |
注意
目前,可以将 iOS/iPadOS 和 Android 应用 (业务线和应用商店购买的应用) 分配给未向 Intune 注册的设备。
若要在未注册 Intune 的设备上接收应用更新,设备用户必须转到其组织的公司门户,并手动安装应用更新。
对于几乎所有应用类型和平台, 可用分配 仅在分配给用户组时有效,而不是设备组。 Win32 应用可以分配给用户组或设备组。
如果在 Android Enterprise 个人拥有的工作配置文件设备上根据需要分配托管的 Google Play 预生产跟踪应用,它们将不会安装在设备上。 若要解决此问题,请创建两个相同的用户组,并将预生产跟踪分配为“可用”,将“必需”分配给另一个组。 结果是预生产跟踪成功部署到设备。
分配应用
选择“应用”>“所有应用”。
在“ 应用 ”窗格中,选择要分配的应用。
在菜单的“ 管理 ”部分中,选择“ 属性”。
向下滚动到 “属性” ,然后选择“ 分配”。
选择“ 添加组 ”,打开与应用相关的“ 添加组 ”窗格。
对于特定应用,请选择 分配类型:
适用于已注册的设备:将应用分配给可从公司门户应用或网站安装应用的用户组。
在注册或不注册的情况下可用:将此应用分配给设备未注册到 Intune 的用户组。 必须为用户分配 Intune 许可证,请参阅 Intune 许可证。
必需:应用安装在所选组中的设备上。 某些平台可能还会提示最终用户在应用安装开始前进行确认。
卸载:如果 Intune 以前使用同一部署通过“可用于已注册设备”或“必需”分配将应用程序安装到设备上,则会从所选组中的设备卸载应用。
注意
仅适用于 iOS/iPadOS 应用:
- 若要配置不再管理设备时托管应用会发生什么情况,可以在 设备删除时卸载下选择预期设置。 有关详细信息,请参阅 iOS/iPadOS 托管应用的应用卸载设置。
- 如果已创建包含每应用 VPN 设置的 iOS/iPadOS VPN 配置文件,则可以在 VPN 下选择 VPN 配置文件。 运行应用时,将打开 VPN 连接。 有关详细信息,请参阅 适用于 iOS/iPadOS 设备的 VPN 设置。
- 若要配置最终用户是否将所需的 iOS/iPadOS 应用安装为可移动应用,可以选择“ 安装为可移动应用”下的设置。
- 若要配置阻止托管 iOS/iPadOS 应用的 iCloud 备份的方法,可以在添加组分配后单击以下设置之一 - VPN、删除设备时卸载或安装为可移动。 然后,配置名为“阻止 iCloud 应用备份”的设置。 有关详细信息,请参阅 阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置。
仅适用于 macOS 应用:
- 若要配置阻止托管 macOS 应用的 iCloud 备份的方法,可以在添加组分配后单击以下设置之一 - VPN,在删除设备时卸载,或安装为可移动。 然后,配置名为“阻止 iCloud 应用备份”的设置。 有关详细信息,请参阅 阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置。
仅适用于 Android 应用:
- 如果将 Android 应用部署为 “可用”,无论是否注册,报告状态将仅在已注册的设备上可用。
对于“适用于已注册的设备”:
- 仅当登录到公司门户的用户是注册设备的主要用户且该应用适用于设备时,应用才会显示为可用。
若要选择受此应用分配影响的用户组,请选择“ 包含的组”。
选择要包含的一个或多个组后,选择“ 选择”。
在“ 分配 ”窗格中,选择“ 确定” 以完成包含的组选择。
如果想排除受此应用分配影响的任何用户组,请选择“排除组”。
如果已选择排除任何组,请在“选择组”中选择“选择”。
在 “添加组 ”窗格中,选择“ 确定”。
在“应用 分配 ”窗格中,选择“ 保存”。
应用现在已分配给所选组。 有关包括和排除应用分配的详细信息,请参阅 包括和排除应用分配。
提示
Intune 还支持将应用分配到嵌套组。 例如,如果将应用分配给“Engineering Global”组,并将“Engineering APAC”、“Engineering EMEA”和“Engineering US”嵌套为子组,则这些子组的成员也将作为分配的目标。
阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置
对于用户和设备许可的 VPP/非 VPP 应用,管理员可以选择不再备份 iOS/iPadOS 设备上的托管 App Store 应用和业务线 (LOB) 应用和 macOS 设备上的托管 App Store 应用。 macOS LOB 应用不支持此设置。 此功能包括使用和不使用 VPP 发送的新 App Store/LOB 应用,这些应用将添加到 Intune 并面向用户和设备。 防止备份指定的托管应用,确保在注册设备并从备份中还原时,可以通过 Intune 正确部署这些应用。 如果为租户中的新应用/现有应用配置新设置,则可以并且将重新安装设备托管应用,但 Intune 将不再允许备份它们。
注意
虽然我们不希望设备上的托管应用将数据备份到 iCloud,但请注意,在备份和还原后,本地为托管应用保存的数据可能不可用。
对于现有设备,如果“ 阻止 iCloud 应用备份 ”对于某个应用/应用设置为 “是 ”,将自动更新所有必需的 App Store/LOB 应用 (具有或不使用 VPP) 的新行为。 将设置值保存到“ 是”后,将自动为所有设备重新配置以前安装在设备上的必需应用。 可用应用要求用户从公司门户应用或 公司门户网站重新下载可用应用。 此外,根据应用的配置和许可,可能需要在 Intune 和设备之间进行同步。
如何解决应用意向之间的冲突
单个组不会成为多个应用分配意向的目标,但是,如果用户或设备是多个组的成员,每个组都分配了不同的意向,则会导致冲突。 不建议为应用程序创建分配冲突。 下表中的信息有助于了解发生冲突时产生的意向:
组 1 意向 | 组 2 意向 | 生成的意向 |
---|---|---|
用户必需 | 用户可用 | 必需和可用 |
用户必需 | 用户卸载 | 必需 |
用户可用 | 用户卸载 | 卸载 |
用户必需 | 需要设备 | 两者都存在,Intune 处理必需 |
用户必需 | 设备卸载 | 两者都存在,Intune 解析必需 |
用户可用 | 需要设备 | 两者都存在,Intune 解析必需 (必需和可用) |
用户可用 | 设备卸载 | 两者都存在,Intune 解析可用。 应用显示在公司门户中。 如果应用已 (安装为具有先前意向) 的必需应用,则会卸载该应用。 如果用户 从公司门户选择“安装”,则会安装应用,并且不遵循卸载意向。 |
用户卸载 | 需要设备 | 两者都存在,Intune 解析必需 |
用户卸载 | 设备卸载 | 两者都存在,Intune 解析卸载 |
需要设备 | 设备卸载 | 必需 |
用户必需和可用 | 用户可用 | 必需和可用 |
用户必需和可用 | 用户卸载 | 必需和可用 |
用户必需和可用 | 需要设备 | 存在、必需和可用 |
用户必需和可用 | 设备卸载 | 两者都存在,Intune 解析必需 (必需和可用) |
用户可用,无需注册 | 用户必需和可用 | 必需和可用 |
用户可用,无需注册 | 用户必需 | 必需 |
用户可用,无需注册 | 用户可用 | 可用 |
用户可用,无需注册 | 需要设备 | 必需且无需注册即可使用 |
用户可用,无需注册 | 设备卸载 | 卸载和可用,无需注册。 如果用户未从公司门户安装应用,则会接受卸载。 如果用户从公司门户安装应用,则安装优先于卸载。 |
注意
仅对于托管的 iOS 应用商店应用,当你将这些应用添加到 Microsoft Intune 并将其分配为 “必需”时,会自动创建同时具有 必需 和 可用 意向的应用。
(非 iOS/iPadOS VPP 应用) ,在设备签入时将在设备上强制实施,并且也会显示在公司门户应用中。
当 在设备删除时卸载 设置中发生冲突时,当设备不再受管理时,不会从设备中删除该应用。
注意
用户无法手动卸载作为“必需”部署到公司拥有的工作配置文件和企业拥有的完全托管设备的应用。
将托管 Google Play 应用部署到非托管设备
对于未注册的 Android 设备,可以使用托管的 Google Play 向用户部署应用商店应用和业务线 (LOB) 应用。 部署后,可以使用 移动应用程序管理 (MAM) 来管理应用程序。 目标为 “可用”的 托管 Google Play 应用(无论是否注册)将显示在最终用户设备上的 Play Store 应用中,而不是显示在公司门户应用中。 最终用户将从 Play 应用中浏览并安装以这种方式部署的应用。 由于应用是从托管的 Google Play 安装的,因此最终用户无需更改其设备设置来允许从未知来源安装应用,这意味着设备将更安全。 如果应用开发人员将新版本的应用发布到用户设备上安装的 Play,则 Play 将自动更新该应用。
将托管 Google Play 应用分配给非托管设备的步骤:
将 Intune 租户连接到托管的 Google Play。 如果已执行此操作是为了管理 Android Enterprise 个人拥有的、专用的、完全托管的或公司拥有的工作配置文件设备,则无需再次执行此操作。
将托管 Google Play 中的应用添加到 Intune 管理中心。
将托管的 Google Play 应用定位为 “可用”,无论是否注册 到所需用户组。 非注册设备不支持“必需”和“卸载应用目标”。
将应用保护策略分配给用户组。
用户在任何受保护的应用中登录。
当最终用户下次打开公司门户应用并完成登录过程时,他们将在“应用”部分看到一条消息,指示有可用的应用。 用户可以选择此通知以导航到 Play 商店。
注意
可以将 设备注册设置选项 配置为 “可用”、“无提示” 或 “不可用”。 此设置将阻止用户在登录到公司门户后无意中注册其设备或收到注册其设备的通知。
最终用户可以展开 Play Store 应用中的上下文菜单,并在其个人 Google 帐户 () 和工作帐户 (之间切换,他们将在其中看到面向他们的应用商店和 LOB 应用) 。 最终用户通过点击 Play Store 应用中的“安装”来安装应用。
在 Intune 管理中心中发出应用选择性擦除时,将自动从 Play Store 应用中删除工作帐户,并且最终用户将从该点起不再在 Play Store 应用目录中看到工作应用。 从设备中删除工作帐户后,从 Play Store 安装的应用将保留在设备上,并且不会卸载。
iOS 托管应用的应用卸载设置
对于 iOS/iPadOS 设备,可以选择在从 Intune 取消注册设备或删除管理配置文件时托管应用的情况,并使用 “在设备删除时卸载” 设置删除管理配置文件。 此设置仅适用于注册设备且应用作为托管安装后的应用。 无法为 Web 应用或 Web 链接配置此设置。 应用选择性擦除在停用后,只有移动应用程序管理 (MAM) 保护的数据才会被删除。
为新分配预填充设置的默认值,如下所示:
iOS 应用类型 | “删除设备时卸载”的默认设置 |
---|---|
业务线应用 | 是 |
应用商店应用 | 否 |
VPP 应用 | 否 |
内置应用 | 否 |
注意
“可用”分配类型: 如果要为“已注册设备可用”或“无论是否注册均可使用”组更新此设置,则已有托管应用的用户在将设备与 Intune 同步并重新安装应用之前,不会获得更新的设置。
预先存在的分配: 应用卸载设置于 2019 年 5 月引入。 在此日期之前存在的分配未修改,在从管理中删除设备时,所有托管应用都将被删除。 如果作业是在 2019 年 5 月之前创建的,则可能需要显式设置应用卸载设置,因为上述默认设置可能不适用。
后续步骤
若要详细了解如何监视应用分配,请参阅 如何监视应用。