Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Après avoir ajouté une application à Microsoft Intune, vous pouvez affecter l’application à des utilisateurs et des appareils. Vous pouvez déployer une application sur un appareil, que l’appareil soit géré ou non par Intune.
Remarque
L’intention de déploiement Disponible pour les appareils inscrits est prise en charge pour les groupes d’utilisateurs et les groupes d’appareils. Cela s’applique lorsque vous ciblez des appareils Android Enterprise entièrement managés (COBO) et des appareils Android Enterprise compatibles avec l’utilisateur (COPE).
Options d’attribution d’applications managées
Le tableau suivant répertorie les différentes options lors de l’attribution d’applications à des utilisateurs et des appareils :
| Option | Appareils inscrits avec Intune | Appareils non inscrits avec Intune |
|---|---|---|
| Attribuer aux utilisateurs | Oui | Oui |
| Affecter à des appareils | Oui | Non |
| Affecter des applications encapsulées ou des applications qui incorporent le SDK Intune (pour les stratégies de protection des applications) | Oui | Oui |
| Affecter des applications comme disponibles | Oui | Oui |
| Affecter des applications en fonction des besoins | Oui | Non |
| Désinstaller des applications | Oui | Non |
| Recevoir les mises à jour d’application de Intune | Oui | Non |
| Les utilisateurs finaux installent les applications disponibles à partir de l’application Portail d'entreprise | Oui | Non |
| Les utilisateurs finaux installent les applications disponibles à partir du Portail d'entreprise web | Oui | Oui |
Remarque
Actuellement, vous pouvez affecter des applications iOS/iPadOS et Android (applications métier et achetées dans le Store) à des appareils qui ne sont pas inscrits avec Intune.
Les utilisateurs d’appareils avec des appareils qui ne sont pas inscrits dans Intune doivent ouvrir le Portail d'entreprise de leur organization et installer les mises à jour d’application manuellement.
Pour presque tous les types d’applications et plateformes, les affectations disponibles sont valides uniquement lors de l’attribution à des groupes d’utilisateurs, et non à des groupes d’appareils. Les applications Win32 peuvent être affectées à des groupes d’utilisateurs ou d’appareils.
Si les applications de suivi de préproduction Google Play gérées sont affectées comme requis sur les appareils Android Enterprise avec profil professionnel appartenant à l’utilisateur, elles ne s’installent pas sur l’appareil. Pour contourner ce problème, créez deux groupes d’utilisateurs identiques. Affectez la piste de préproduction comme « disponible » à un groupe et « obligatoire » à l’autre groupe. Le résultat est que le suivi de préproduction est correctement déployé sur l’appareil.
Affecter une application
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Applications>Toutes les applications.
Dans le volet Applications , sélectionnez l’application que vous souhaitez attribuer.
Dans la section Gérer du menu, sélectionnez Propriétés.
Faites défiler jusqu’à Propriétés , puis sélectionnez Affectations.
Sélectionnez Ajouter un groupe pour ouvrir le volet Ajouter un groupe lié à l’application.
Pour l’application spécifique, sélectionnez un type d’affectation :
Disponible pour les appareils inscrits : affectez l’application à des groupes d’utilisateurs qui peuvent installer l’application à partir de l’application Portail d'entreprise ou du site web.
Disponible avec ou sans inscription : affectez ce paramètre aux groupes d’utilisateurs dont les appareils ne sont pas inscrits avec Intune. Une licence Intune doit être attribuée aux utilisateurs. Consultez licences Intune.
Requis :L'application est installée sur les appareils des groupes sélectionnés. Certaines plateformes peuvent avoir plus d’invites pour que l’utilisateur final reconnaisse avant le début de l’installation de l’application.
Désinstaller : l’application est désinstallée des appareils des groupes sélectionnés si Intune déjà installé l’application. Cela s’applique uniquement aux applications installées via une affectation « Disponible pour les appareils inscrits » ou « Obligatoire » utilisant le même déploiement.
Remarque
Pour les applications iOS/iPadOS uniquement :
- Pour configurer ce qui se passe avec les applications gérées lorsque les appareils ne sont plus gérés, vous pouvez sélectionner le paramètre prévu sous Désinstaller lors de la suppression de l’appareil. Pour plus d’informations, consultez Paramètre de désinstallation d’application pour les applications gérées par iOS/iPadOS.
- Si vous créez un profil VPN iOS/iPadOS qui contient des paramètres VPN par application, vous pouvez sélectionner le profil VPN sous VPN. Lorsque l’application s’exécute, la connexion VPN s’ouvre. Pour plus d’informations, consultez Paramètres VPN pour les appareils iOS/iPadOS.
- Pour déterminer si une application iOS/iPadOS requise est installée en tant qu’application amovible par les utilisateurs finaux, vous pouvez sélectionner le paramètre sous Installer comme amovible.
- Pour empêcher la sauvegarde iCloud de l’application iOS/iPadOS gérée, sélectionnez l’un des paramètres suivants après avoir ajouté une affectation de groupe : VPN, Désinstaller sur la suppression de l’appareil ou Installer comme amovible. Ensuite, configurez le paramètre appelé Empêcher la sauvegarde de l’application iCloud. Pour plus d’informations, consultez Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS.
Pour les applications macOS uniquement :
- Pour empêcher la sauvegarde iCloud de l’application macOS gérée, sélectionnez l’un des paramètres suivants après avoir ajouté une affectation de groupe : VPN, Désinstaller sur la suppression de l’appareil ou Installer comme amovible. Ensuite, configurez le paramètre appelé Empêcher la sauvegarde de l’application iCloud. Pour plus d’informations, consultez Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS.
Pour les applications Android uniquement :
- Si vous déployez une application Android comme disponible avec ou sans inscription, la création de rapports status est disponible uniquement sur les appareils inscrits.
Pour Disponible pour les appareils inscrits :
- L’application est affichée comme disponible uniquement si l’utilisateur qui se connecte à l’Portail d'entreprise est l’utilisateur principal qui a inscrit l’appareil et que l’application s’applique à l’appareil.
Pour sélectionner les groupes d’utilisateurs affectés par cette attribution d’application, sélectionnez Groupes inclus.
Après avoir sélectionné un ou plusieurs groupes à inclure, sélectionnez Sélectionner.
Dans le volet Attribuer , sélectionnez OK pour terminer la sélection des groupes inclus.
Si vous souhaitez exclure des groupes d’utilisateurs affectés par cette attribution d’application, sélectionnez Exclure des groupes.
Si vous choisissez d’exclure des groupes, dans Sélectionner des groupes, sélectionnez Sélectionner.
Dans le volet Ajouter un groupe , sélectionnez OK.
Dans le volet Affectations de l’application, sélectionnez Enregistrer.
L’application est désormais affectée aux groupes que vous avez sélectionnés.
Remarque
Si Microsoft Entra supprime de manière réversible l’un de ces groupes, Intune les affiche comme supprimés de manière réversible dans la console, et leurs affectations ne s’appliquent pas tant que les groupes n’ont pas été restaurés.
Pour plus d’informations sur l’inclusion et l’exclusion d’attributions d’applications, consultez Inclure et exclure des affectations d’applications.
Remarque
Vous voyez les status du groupe sélectionné dans les affectations. Les options status possibles sont les suivantes : Actif, Supprimé ou Supprimé de manière réversible.
Conseil
Intune prend en charge l’attribution d’applications à des groupes imbriqués. Par exemple, si vous affectez une application au groupe « Engineering Global » et que « Engineering APAC », « Engineering EMEA » et « Engineering US » sont imbriqués en tant que groupes enfants, l’affectation cible également les membres de ces groupes enfants.
Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS
Les administrateurs ont la possibilité de ne plus sauvegarder les applications App Store gérées et les applications métier sur iOS/iPadOS et les applications App Store gérées sur les appareils macOS. Cela s’applique aux applications VPP/non-VPP sous licence utilisateur et appareil. Les applications métier macOS ne prennent pas en charge ce paramètre.
Cette fonctionnalité inclut les applications App Store/métier nouvelles et existantes envoyées avec et sans VPP qui sont ajoutées à Intune et ciblées sur les utilisateurs et les appareils. L’empêchement de la sauvegarde des applications gérées spécifiées garantit un déploiement correct via Intune lorsque l’appareil est inscrit et restauré à partir de la sauvegarde.
Si vous configurez le nouveau paramètre pour les applications nouvelles/existantes dans votre locataire, les applications gérées peuvent être réinstallées pour les appareils, mais Intune ne les autorise plus à être sauvegardées.
Remarque
Bien que nous ne nous attendions pas à ce que les applications gérées sur les appareils sauvegardent les données dans iCloud, les données enregistrées localement pour les applications gérées peuvent ne pas être disponibles après une sauvegarde et une restauration.
Pour les appareils existants, lorsque l’option Empêcher la sauvegarde d’application iCloud est définie sur Oui pour une ou plusieurs applications, le nouveau comportement est automatiquement mis à jour pour toutes les applications App Store/métier requises (avec ou sans VPP).
Les applications requises précédemment installées sur les appareils sont automatiquement reconfigurées pour tous les appareils une fois que la valeur du paramètre est enregistrée sur Oui.
Les applications disponibles nécessitent que l’utilisateur retélécharge l’application disponible à partir de l’application Portail d'entreprise ou du site web Portail d'entreprise. Selon les configurations et les licences de l’application, une synchronisation entre Intune et l’appareil peut être nécessaire.
Comment les conflits entre les intentions d’application sont résolus
Un seul groupe ne peut pas être ciblé pour plusieurs intentions d’affectation d’application. Toutefois, si un utilisateur ou un appareil est membre de plusieurs groupes attribués avec des intentions différentes, un conflit se produit. La création de conflits d’affectation pour les applications n’est pas recommandée. Les informations contenues dans le tableau suivant peuvent vous aider à comprendre l’intention résultante lorsqu’un conflit se produit :
Remarque
S’il existe des conflits d’affectation pour les applications, le filtre d’affectation peut ne pas fonctionner comme prévu, car l’intention d’affectation est évaluée avant le filtre d’affectation.
| Intention du groupe 1 | Intention du groupe 2 | Intention résultante |
|---|---|---|
| Utilisateur requis | Utilisateur disponible | Obligatoire et disponible |
| Utilisateur requis | Désinstallation de l’utilisateur | Requis |
| Utilisateur disponible | Désinstallation de l’utilisateur | Désinstaller |
| Utilisateur requis | Appareil requis | Les deux existent, Intune traite Obligatoire |
| Utilisateur requis | Désinstallation de l’appareil | Les deux existent, Intune résout Obligatoire |
| Utilisateur disponible | Appareil requis | Les deux existent, Intune résout Obligatoire (Obligatoire et Disponible) |
| Utilisateur disponible | Désinstallation de l’appareil | Les deux existent, Intune résout Disponible. L’application apparaît dans le Portail d'entreprise. Si l’application est déjà installée (en tant qu’application requise avec l’intention précédente), l’application est désinstallée. Si l’utilisateur sélectionne Installer dans la Portail d'entreprise, l’application est installée et l’intention de désinstallation n’est pas respectée. |
| Désinstallation de l’utilisateur | Appareil requis | Les deux existent, Intune résout Obligatoire |
| Désinstallation de l’utilisateur | Désinstallation de l’appareil | Les deux existent, Intune résout désinstaller |
| Appareil requis | Désinstallation de l’appareil | Requis |
| Appareil requis | Appareil disponible | Obligatoire et disponible |
| Appareil disponible | Désinstallation de l’appareil | Désinstaller |
| Utilisateur requis et disponible | Utilisateur disponible | Obligatoire et disponible |
| Utilisateur requis et disponible | Désinstallation de l’utilisateur | Obligatoire et disponible |
| Utilisateur requis et disponible | Appareil requis | Les deux existent, obligatoires et disponibles |
| Utilisateur requis et disponible | Désinstallation de l’appareil | Les deux existent, Intune résout Obligatoire (Obligatoire et Disponible) |
| Utilisateur disponible sans inscription | Utilisateur requis et disponible | Obligatoire et disponible |
| Utilisateur disponible sans inscription | Utilisateur requis | Requis |
| Utilisateur disponible sans inscription | Utilisateur disponible | Disponible |
| Utilisateur disponible sans inscription | Appareil requis | Obligatoire et disponible sans inscription |
| Utilisateur disponible sans inscription | Désinstallation de l’appareil | Désinstallez et Disponible sans inscription. Si l’utilisateur n’a pas installé l’application à partir du Portail d'entreprise, la désinstallation est respectée. Si l’utilisateur installe l’application à partir du Portail d'entreprise, l’installation est prioritaire sur la désinstallation. |
Remarque
Pour les applications du Store iOS managées uniquement, lorsque vous ajoutez ces applications à Microsoft Intune et que vous les affectez comme Obligatoire, les applications sont automatiquement créées. Ils reçoivent les intentions Obligatoire et Disponible .
Les applications du Store iOS (et non les applications IOS/iPadOS VPP) qui sont ciblées avec l’intention requise sont appliquées sur l’appareil au moment de l’case activée de l’appareil et apparaissent également dans l’application Portail d'entreprise.
Lorsque des conflits se produisent dans le paramètre Désinstaller sur la suppression de l’appareil , l’application n’est pas supprimée de l’appareil lorsque l’appareil n’est plus géré.
Remarque
Les applications déployées comme obligatoires sur un profil professionnel appartenant à l’entreprise et sur des appareils entièrement gérés appartenant à l’entreprise ne peuvent pas être désinstallées manuellement par l’utilisateur.
Déploiement d’applications Google Play gérées sur des appareils non gérés
Pour les appareils Android non inscrits, vous pouvez utiliser Google Play géré pour déployer des applications du Store et des applications métier sur les utilisateurs. Une fois déployé, vous pouvez utiliser la gestion des applications mobiles (GAM) pour gérer les applications.
Les applications Google Play gérées ciblées comme Disponibles avec ou sans inscription apparaissent dans l’application Play Store sur l’appareil de l’utilisateur final, et non dans l’application Portail d'entreprise. Les utilisateurs finaux parcourent et installent les applications déployées de cette manière à partir de l’application Play.
Étant donné que les applications sont installées à partir de Google Play géré, l’utilisateur final n’a pas besoin de modifier ses paramètres d’appareil pour autoriser l’installation d’applications à partir de sources inconnues. Cela signifie que les appareils sont plus sécurisés. Si le développeur de l’application publie sur Play une nouvelle version d’une application qui a été installée sur l’appareil d’un utilisateur, l’application est automatiquement mise à jour par Play.
Étapes d’attribution d’une application Google Play gérée à des appareils non gérés :
Connectez votre locataire Intune à Google Play géré. Si vous l’avez déjà fait pour gérer des appareils Android Enterprise avec profil professionnel appartenant à l’utilisateur, dédiés, entièrement gérés ou appartenant à l’entreprise, vous n’avez pas besoin de le faire à nouveau.
Ajoutez des applications de Google Play géré à votre centre d’administration Intune.
Ciblez les applications Google Play gérées comme disponibles avec ou sans inscription au groupe d’utilisateurs souhaité. Le ciblage d’application obligatoire et Désinstaller ne sont pas pris en charge pour les appareils non inscrits.
Affectez une stratégie de protection des applications au groupe d’utilisateurs.
L’utilisateur ouvre des journaux dans n’importe quelle application protégée.
La prochaine fois que l’utilisateur final ouvre l’application Portail d'entreprise et termine le processus de connexion, un message s’affiche dans la section Applications. Ce message indique qu’il existe des applications disponibles pour eux. L’utilisateur peut sélectionner cette notification pour accéder au Play Store.
Remarque
Vous pouvez configurer les options de paramètre d’inscription de l’appareil pour qu’elles soient Disponibles, Aucune invite ou Non disponible. Ce paramètre empêche les utilisateurs d’inscrire involontairement leur appareil. Il empêche également les notifications de s’inscrire une fois qu’elles se connectent au Portail d'entreprise.
L’utilisateur final peut développer le menu contextuel dans l’application Play Store et basculer entre son compte Google personnel (où il voit ses applications personnelles) et son compte professionnel (où il voit les applications du Store et LOB qui lui sont destinées). Les utilisateurs finaux installent les applications en appuyant sur Installer dans l’application Play Store.
Lorsqu’une réinitialisation sélective de l’application est émise dans le centre d’administration Intune, le compte professionnel est automatiquement supprimé de l’application Play Store. L’utilisateur final ne voit plus les applications professionnelles dans le catalogue d’applications du Play Store à partir de ce point.
Lorsque le compte professionnel est supprimé d’un appareil, les applications installées à partir du Play Store restent installées sur l’appareil et ne sont pas désinstallées.
Paramètre de désinstallation d’application pour les applications gérées par iOS
Pour les appareils iOS/iPadOS, vous pouvez choisir ce qui se passe pour les applications gérées lors de la désinscription de l’appareil de Intune ou de la suppression du profil de gestion à l’aide du paramètre Désinstaller sur la suppression de l’appareil. Ce paramètre s’applique uniquement aux applications une fois que l’appareil est inscrit et que les applications sont installées comme gérées. Le paramètre ne peut pas être configuré pour les applications web ou les liens web. Seules les données protégées par la gestion des applications mobiles (GAM) sont supprimées après la mise hors service par une réinitialisation sélective des applications.
Les valeurs par défaut du paramètre sont préremplies pour les nouvelles affectations comme suit :
| Type d’application iOS | Paramètre par défaut pour « Désinstaller lors de la suppression de l’appareil » |
|---|---|
| Application métier | Oui |
| Application de store | Non |
| Application VPP | Non |
| Application intégrée | Non |
Remarque
Types d’affectation « disponibles » : Si vous mettez à jour ce paramètre pour les groupes « disponible pour les appareils inscrits » ou « disponible avec ou sans inscription », les utilisateurs qui disposent déjà de l’application gérée n’obtiennent pas le paramètre mis à jour tant qu’ils n’ont pas synchronisé l’appareil avec Intune et réinstallé l’application.
Affectations préexistantes : Le paramètre De désinstallation de l’application a été introduit en mai 2019. Les affectations qui existaient avant cette date ne sont pas modifiées et toutes les applications gérées sont supprimées lors de la suppression de l’appareil de la gestion.
Si votre affectation a été créée avant mai 2019, vous devrez peut-être définir explicitement le paramètre Désinstallation de l’application. Les paramètres par défaut peuvent ne pas s’appliquer aux affectations plus anciennes.
Étapes suivantes
Pour en savoir plus sur la surveillance des affectations d’applications, consultez Guide pratique pour surveiller les applications.