在 Microsoft Intune 中包含和排除应用分配

在Intune中,可以通过分配要包括和排除的用户组来确定谁有权访问应用。 在向应用分配组之前,必须为应用设置分配类型。 分配类型使应用可用、必需或卸载应用。

若要设置应用的可用性,请使用包含和排除组分配的组合,包括和排除一组用户或设备的应用分配。 通过包括大型组使应用可用,然后通过排除较小的组来缩小所选用户的范围时,此功能非常有用。 较小的组可能是测试组或执行组。

最佳做法是专门为用户组创建和分配应用,并单独为设备组分配应用。 有关组的详细信息,请参阅添加用于组织用户和设备的组

包括或排除应用分配时存在重要方案:

  • 排除优先于包含在以下相同组类型方案中:
    • 分配应用时包括用户组和排除用户组

    • 分配应用时包括设备组和排除设备组

      例如,如果将设备组分配给“所有公司用户”用户组,但排除“高级管理人员”用户组中的成员,则除高级管理人员之外的所有公司用户都会获得分配,因为这两个组都是用户组。

  • Intune不评估用户到设备的组关系。 如果将应用分配给混合组,则结果可能不是你想要的或预期的。

例如,如果将设备组分配给 “所有用户” 用户组,但排除 “所有个人设备” 设备组, 则“所有用户” 将获取该应用。 排除不适用。

因此,不建议将应用分配到混合组。

注意

为应用设置组分配时,将弃用 “不适用 ”类型,并将其替换为排除组功能。

Intune在Microsoft Intune管理中心提供预先创建的“所有用户”和“所有设备”组。 为了方便起见,这些组具有内置优化功能。 强烈建议使用这些组来面向所有用户和所有设备,而不是可能自行创建的任何“所有用户”或“所有设备”组。

Android Enterprise 支持包括和排除组。 可以利用内置的 “所有用户 ”和 “所有设备” 组进行 Android 企业应用分配。

分配应用时包括和排除组

若要使用包括和排除分配将应用分配到组,请执行以下操作:

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“应用”>“所有应用”。 将显示已添加到Intune的应用列表。

  3. 选择要分配的应用。 仪表板显示有关应用的信息。

  4. 选择“管理”部分下的“属性”。

  5. 选择“分配”旁边的“编辑”。

  6. 选择“无论是否注册可用”部分下的“添加所有用户”,将此应用分配给所有用户。

  7. 选择“无论是否注册可用”部分下的“添加组”。

  8. 选择要从应用分配中排除的组。

  9. 单击“ 选择” 以包含组。

  10. 在添加的组旁边的“组”模式下选择“包含”。 将显示 “编辑分配 ”窗格。

    [注意]默认情况下,所选组以包含模式分配。

  11. “编辑分配”窗格的“分配设置”下,选择“排除”作为“模式”。

  12. 选择“ 确定” 以排除所选组。

  13. 选择“排除组”以选择要使此应用不可用的用户组。

  14. 选择要排除的组。 这会使此应用对这些组不可用。

  15. 单击“ 查看 + 保存 ”,使组分配对应用处于活动状态。

注意

添加组时,如果已为特定分配类型包括任何其他组,则会预选该应用,并且无法为其他包含分配类型修改应用。 已使用的组不能用作包含组。

进行组分配时,无法修改已分配的组。 如果要选择当前不可用的组,请先从应用的分配列表中删除该组。

若要编辑分配,请在应用 分配 窗格中,选择包含要更改的特定分配的行。 还可以通过选择行末尾的省略号 (...) ,然后选择 “删除”来删除作业。

注意

删除组分配不会删除相关应用,Android Enterprise 专用、完全托管和公司拥有的工作配置文件设备除外。 已安装的应用将保留在设备上。

后续步骤