使用 Microsoft Intune 将应用分配到组

应用添加到Microsoft Intune后,可以将应用分配给用户和设备。 请务必注意,无论设备是否由Intune管理,都可以将应用部署到设备。

备注

面向 Android Enterprise 完全托管设备( (COBO) 和 Android Enterprise 企业拥有的个人启用 (COPE) 设备)时,用户组设备组 支持 “适用于已注册 设备”部署意向。

下表列出了将应用 分配 给用户和设备的各种选项:

选项 使用Intune注册的设备 未注册Intune的设备
分配给用户
分配给设备
为应用保护策略分配包含Intune SDK (的包装应用或应用)
将应用分配为可用
将应用分配为必需
卸载应用
从Intune接收应用更新
最终用户从公司门户应用安装可用的应用
最终用户从基于 Web 的公司门户安装可用应用

备注

目前,可以将 iOS/iPadOS 和 Android 应用分配 (业务线和商店购买的应用) 到未注册Intune的设备。

若要在未注册 Intune 的设备上接收应用更新,设备用户必须转到其组织的公司门户,并手动安装应用更新。

可用分配 仅对用户组有效,而对设备组无效。

如果在 Android Enterprise 个人拥有的工作配置文件设备上按要求分配托管 Google Play 预生产跟踪应用,则它们不会安装在设备上。 若要解决此问题,请创建两个相同的用户组,并将预生产轨道分配为“可用”,将“必需”分配给另一个。 结果是预生产轨道成功部署到设备。

分配应用

  1. 登录到 Microsoft Endpoint Manager 管理中心

  2. 选择“应用” > “所有应用”。

  3. “应用 ”窗格中,选择要分配的应用。

  4. 在菜单的“ 管理 ”部分中,选择 “分配”。

  5. 选择 “添加组 ”以打开与应用相关的 “添加组 ”窗格。

  6. 对于特定应用,选择 分配类型

    • 适用于已注册的设备:将应用分配给可从公司门户应用或网站安装应用的用户组。

    • 无论是否注册都可用:将此应用分配给设备未注册Intune的用户组。 必须为用户分配Intune许可证,请参阅Intune许可证

    • 必需:应用安装在所选组中的设备上。 某些平台可能会有其他提示,让最终用户在应用安装开始之前确认。

    • 卸载:如果Intune以前通过“适用于已注册的设备”或使用同一部署的“必需”分配将应用程序安装到设备上,则从所选组中的设备卸载应用。

      备注

      仅适用于 iOS/iPadOS 应用

      • 若要配置不再管理设备时托管应用会发生什么情况,可以在 设备删除时选择“卸载”下的预期设置。 有关详细信息,请参阅 iOS/iPadOS 托管应用的应用卸载设置
      • 如果已创建包含每个应用 VPN 设置的 iOS/iPadOS VPN 配置文件,则可以在 VPN 下选择 VPN 配置文件。 运行应用时,将打开 VPN 连接。 有关详细信息,请参阅 iOS/iPadOS 设备的 VPN 设置
      • 若要配置最终用户是否将所需的 iOS/iPadOS 应用安装为可移动应用,可以选择“ 安装”下的“可移动” 设置。

      仅适用于 Android 应用

      • 如果将 Android 应用部署为 “有或无注册可用”,则报告状态将仅在已注册的设备上可用。

      适用于已注册的设备

      • 仅当登录到公司门户的用户是注册设备且应用适用于设备的主要用户时,应用才会显示为可用。
  7. 若要选择受此应用分配影响的用户组,请选择 “包含的组”。

  8. 选择要包含的一个或多个组后,选择 “选择”。

  9. “分配 ”窗格中,选择 “确定 ”以完成所包含的组选择。

  10. 如果想排除受此应用分配影响的任何用户组,请选择“排除组”。

  11. 如果已选择排除任何组,请在“选择组”中选择“选择”。

  12. “添加组 ”窗格中,选择 “确定”。

  13. 在“应用 分配” 窗格中,选择 “保存”。

现在将应用分配给所选组。 有关包括和排除应用分配的详细信息,请参阅 “包含”并排除应用分配

提示

Intune也支持将应用分配给嵌套组。 例如,如果向“工程全局”组分配了一个应用,并且将“工程 APAC”、“工程 EMEA”和“工程美国”作为子组嵌套,则这些子组的成员也会成为分配的目标。

如何解决应用意向之间的冲突

单个组无法成为多个应用分配意向的目标,但是,如果用户或设备是多个组的成员,而每个组都分配有不同意向,则会导致冲突。 不建议为应用程序创建分配冲突。 下表中的信息可以帮助你了解冲突发生时产生的意向:

组 1 意向 组 2 意向 生成的意向
必需用户 用户可用 必需且可用
必需用户 用户卸载 必需
用户可用 用户卸载 卸载
必需用户 所需设备 两者都存在,Intune必需的治疗
必需用户 设备卸载 两者都存在,Intune解析必需
用户可用 所需设备 两者都存在,Intune解析必需 (必需和可用)
用户可用 设备卸载 两者都存在,Intune解析可用。

应用显示在公司门户中。

如果应用已安装 (为具有以前意向) 的必需应用,则将卸载该应用。

如果用户 从公司门户中选择“安装”,则会安装应用,并且不遵守卸载意向。
用户卸载 所需设备 两者都存在,Intune解析必需
用户卸载 设备卸载 两者都存在,Intune解析卸载
所需设备 设备卸载 必需
用户必需且可用 用户可用 必需且可用
用户必需且可用 用户卸载 必需且可用
用户必需且可用 所需设备 两者都存在,必需和可用
用户必需且可用 设备卸载 两者都存在,Intune解析必需 (必需和可用)
用户在不注册的情况下可用 用户必需且可用 必需且可用
用户在不注册的情况下可用 必需用户 必需
用户在不注册的情况下可用 用户可用 可用
用户在不注册的情况下可用 所需设备 必需且无需注册即可使用
用户在不注册的情况下可用 设备卸载 无需注册即可卸载和可用。

如果用户未从公司门户安装应用,则执行卸载操作。

如果用户从公司门户安装应用,则安装优先于卸载。

备注

仅对于托管的 iOS 应用商店应用,将这些应用添加到Microsoft Intune并将其分配为 “必需”时,系统会使用 “必需”和 “可用”意向自动创建这些应用。

iOS 应用商店应用 (不是 iOS/iPadOS VPP 应用) 在设备签入时在设备上强制实施,并且也会显示在公司门户应用中。

设备删除设置上卸载 时出现冲突时,不再管理设备时,不会从设备中删除应用。

备注

用户无法手动卸载部署为公司拥有的工作配置文件设备所需的应用。

托管 Google Play 应用部署到非托管设备

对于未注册的 Android 设备,可以使用托管 Google Play 将应用商店应用和业务线 (LOB) 应用部署给用户。 部署后,可以使用 移动应用程序管理 (MAM) 来管理应用程序。 托管的 Google Play 应用目标为 “有或无注册可用”将显示在最终用户设备上的 Play Store 应用中,而不是在公司门户应用中。 最终用户将从 Play 应用以这种方式浏览和安装部署的应用。 由于应用是从托管的 Google Play 安装的,因此最终用户无需更改其设备设置,以允许从未知源安装应用,这意味着设备将更安全。 如果应用开发人员将安装在用户设备上的应用的新版本发布到 Play,Play 将自动更新该应用。

将托管 Google Play 应用分配到非托管设备的步骤:

  1. 将Intune租户连接到托管 Google Play。 如果已执行此操作以管理 Android Enterprise 个人拥有、专用、完全托管或公司拥有的工作配置文件设备,则无需再次执行此操作。

  2. 将托管 Google Play 中的应用添加到Intune控制台。

  3. 将托管的 Google Play 应用作为可用应用, 无论是否注册 到所需用户组。 未注册的设备不支持 必需卸载 应用目标。

  4. 将应用保护策略分配给用户组。

  5. 任何受保护应用中的用户日志。

  6. 下次最终用户打开公司门户应用并完成登录过程时,他们将看到一条消息,指示在“应用”部分中,有可用的应用。 用户可以选择此通知以导航到 Play 应用商店。

    备注

    可以将 设备注册设置选项 配置为 可用、无提示不可用。 此设置将阻止用户在登录到公司门户后无意中注册其设备或接收注册其设备的通知。

  7. 最终用户可以在 Play Store 应用中展开上下文菜单,并在其个人 Google 帐户 (之间切换,) 看到其个人应用,以及他们的工作帐户 (,在那里他们将看到针对他们的应用商店和 LOB 应用) 。 最终用户通过点击 Play Store 应用中的安装来安装应用。

在Intune控制台中发出应用选择性擦除时,工作帐户将从 Play Store 应用中自动删除,最终用户将从该点不再看到 Play Store 应用目录中的工作应用。 从设备中删除工作帐户后,从 Play Store 安装的应用将保留安装在设备上,并且不会卸载。

iOS 托管应用的应用卸载设置

对于 iOS/iPadOS 设备,可以选择在设备删除设置上使用 卸载 从Intune取消注册设备或删除管理配置文件时托管应用会发生什么情况。 此设置仅适用于注册设备并以托管方式安装应用后的应用。 无法为 Web 应用或 Web 链接配置设置。 只有受移动应用程序管理 (MAM) 保护的数据才会在停用后由应用选择性擦除删除。

为新分配预填充设置的默认值,如下所示:

iOS 应用类型 “在设备删除时卸载”的默认设置
业务线应用
应用商店应用
VPP 应用
内置应用

备注

“可用”分配类型: 如果要将此设置更新为“适用于已注册的设备”或“有或没有注册”组,则已有托管应用的用户在将设备与Intune同步并重新安装应用之前,不会获得更新的设置。

预先存在的分配: 应用卸载设置于 2019 年 5 月推出。 在此日期之前存在的分配未修改,所有托管应用将在设备从管理中删除时删除。 如果分配是在 2019 年 5 月之前创建的,则可能需要显式设置应用卸载设置,因为上述默认设置可能不适用。

后续步骤

若要了解有关监视应用分配的详细信息,请参阅 如何监视应用