将应用添加到Microsoft Intune后,可以将该应用分配给用户和设备。 无论设备是否由Intune管理,都可以将应用部署到设备。
注意
用户组和设备组支持“适用于已注册设备”部署意向。 当面向 Android Enterprise 完全托管的设备 (COBO) 和 Android Enterprise 公司拥有的个人启用 (COPE) 设备时适用。
分配托管应用时的选项
下表列出了将应用 分配给 用户和设备时的各种选项:
| 选项 | 使用 Intune 注册的设备 | 未使用 Intune 注册的设备 |
|---|---|---|
| 分配给用户 | 是 | 是 |
| 分配给设备 | 是 | 否 |
| 为应用保护策略分配包装的应用或包含Intune SDK (的应用) | 是 | 是 |
| 将应用分配为可用 | 是 | 是 |
| 将应用分配为“必需” | 是 | 否 |
| 卸载应用 | 是 | 否 |
| 从 Intune 接收应用更新 | 是 | 否 |
| 最终用户从 公司门户 应用安装可用应用 | 是 | 否 |
| 最终用户从基于 Web 的公司门户安装可用应用 | 是 | 是 |
注意
目前,可以将 iOS/iPadOS 和 Android 应用 (业务线和应用商店购买的应用) 分配给未使用 Intune 注册的设备。
未在 Intune 中注册的设备用户必须打开其组织的公司门户并手动安装应用更新。
对于几乎所有应用类型和平台, 可用分配 仅在分配给用户组时有效,而不是设备组。 Win32 应用可以分配给用户组或设备组。
如果在 Android Enterprise 个人拥有的工作配置文件设备上根据需要分配托管的 Google Play 预生产跟踪应用,则不会在设备上安装这些应用。 若要解决此问题,请创建两个相同的用户组。 将预生产跟踪分配给一个组“可用”,将“必需”分配给另一个组。 结果是预生产跟踪成功部署到设备。
分配应用
选择 “应用>所有应用”。
在“ 应用 ”窗格中,选择要分配的应用。
在菜单的“ 管理 ”部分中,选择“ 属性”。
向下滚动到 “属性” ,然后选择“ 分配”。
选择“ 添加组 ”,打开与应用相关的“ 添加组 ”窗格。
对于特定应用,请选择 分配类型:
适用于已注册的设备:将应用分配给可从公司门户应用或网站安装应用的用户组。
在注册或不注册的情况下可用:将此设置分配给未使用 Intune 注册设备的用户组。 必须为用户分配Intune许可证,请参阅Intune许可证。
必需:应用安装在所选组中的设备上。 某些平台在应用安装开始之前,可能会有更多提示最终用户进行确认。
卸载:如果Intune以前安装了应用程序,则会从所选组中的设备中卸载该应用。 这仅适用于使用同一部署通过“可用于已注册设备”或“必需”分配安装的应用。
注意
仅适用于 iOS/iPadOS 应用:
- 若要配置不再管理设备时托管应用会发生什么情况,可以在 设备删除时卸载下选择预期设置。 有关详细信息,请参阅 iOS/iPadOS 托管应用的应用卸载设置。
- 如果创建包含每应用 VPN 设置的 iOS/iPadOS VPN 配置文件,则可以在 VPN 下选择 VPN 配置文件。 应用运行时,VPN 连接将打开。 有关详细信息,请参阅 适用于 iOS/iPadOS 设备的 VPN 设置。
- 若要配置最终用户是否将所需的 iOS/iPadOS 应用安装为可移动应用,可以选择“ 安装为可移动应用”下的设置。
- 若要阻止托管 iOS/iPadOS 应用的 iCloud 备份,请在添加组分配后选择以下设置之一:VPN、删除设备时卸载或安装为可移动。 然后,配置名为“阻止 iCloud 应用备份”的设置。 有关详细信息,请参阅 阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置。
仅适用于 macOS 应用:
- 若要阻止托管 macOS 应用的 iCloud 备份,请在添加组分配后选择以下设置之一:VPN、删除设备时卸载或安装为可移动。 然后,配置名为“阻止 iCloud 应用备份”的设置。 有关详细信息,请参阅 阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置。
仅适用于 Android 应用:
- 如果将 Android 应用部署为 “可用”,无论是否注册,报告状态仅在已注册的设备上可用。
对于“适用于已注册的设备”:
- 仅当登录到公司门户的用户是注册设备的主要用户并且应用适用于设备时,应用才会显示为可用。
若要选择受此应用分配影响的用户组,请选择“ 包含的组”。
选择要包含的一个或多个组后,选择“ 选择”。
在“ 分配 ”窗格中,选择“ 确定” 以完成包含的组选择。
如果要排除受此应用分配影响的任何用户组,请选择“ 排除组”。
如果选择排除任何组,请在 “选择组”中选择“ 选择”。
在 “添加组 ”窗格中,选择“ 确定”。
在“应用 分配 ”窗格中,选择“ 保存”。
应用现在已分配给所选组。
注意
如果Microsoft Entra软删除这些组中的任何一个,Intune在控制台中将其显示为软删除,并且这些组的分配在还原之前不会应用。
有关包括和排除应用分配的详细信息,请参阅 包括和排除应用分配。
注意
你将在分配中看到所选组的状态。 可能的状态选项包括:“活动”、“已删除”或“软删除”。
提示
Intune支持将应用分配到嵌套组。 例如,如果将应用分配给“工程全局”组,并且“工程 APAC”、“工程 EMEA”和“工程美国”嵌套为子组,则分配还将面向这些子组的成员。
阻止 iOS/iPadOS 和 macOS 应用的 iCloud 应用备份设置
管理员可以选择不再备份 iOS/iPadOS 上的托管App Store应用和业务线 (LOB) 应用,以及 macOS 设备上的托管App Store应用。 这适用于用户和设备许可的 VPP/非 VPP 应用。 macOS LOB 应用不支持此设置。
此功能包括新的和现有的App Store/LOB 应用发送的 VPP 和没有 VPP,添加到Intune,并面向用户和设备。 阻止备份指定的托管应用可确保在注册设备并从备份中还原时通过Intune进行正确部署。
如果为租户中的新应用/现有应用配置新设置,则可以为设备重新安装托管应用,但Intune不再允许备份它们。
注意
虽然我们不希望设备上的托管应用将数据备份到 iCloud,但备份和还原后,本地为托管应用保存的数据可能不可用。
对于现有设备,如果为应用或应用将“阻止 iCloud 应用备份”设置为“是”,则针对 (或不带 VPP) 的所有必需App Store/LOB 应用,都会自动更新新行为。
将设置值保存到“ 是”后,将自动为所有设备重新配置以前安装在设备上的必需应用。
可用应用要求用户从公司门户应用或公司门户网站重新下载可用应用。 根据应用的配置和许可,可能需要在Intune和设备之间进行同步。
如何解决应用意向之间的冲突
单个组无法成为多个应用分配意向的目标。 但是,如果用户或设备是多个组的成员,每个组都分配了不同的意向,则会导致冲突。 不建议为应用程序创建分配冲突。 下表中的信息有助于了解发生冲突时产生的意向:
注意
如果应用程序存在分配冲突,则分配筛选器可能无法按预期工作,因为分配意向是在分配筛选器之前计算的。
| 组 1 意向 | 组 2 意向 | 生成的意向 |
|---|---|---|
| 用户必需 | 用户可用 | 必需和可用 |
| 用户必需 | 用户卸载 | 必需 |
| 用户可用 | 用户卸载 | 卸载 |
| 用户必需 | 需要设备 | 两者都存在,Intune处理必需 |
| 用户必需 | 设备卸载 | 两者都存在,Intune解析为必需 |
| 用户可用 | 需要设备 | 两者都存在,Intune解析必需 (必需和可用) |
| 用户可用 | 设备卸载 | 两者都存在,Intune解析可用。 应用显示在公司门户中。 如果应用已 (安装为具有先前意向) 的必需应用,则会卸载该应用。 如果用户从公司门户中选择“安装”,则会安装应用,并且不遵循卸载意向。 |
| 用户卸载 | 需要设备 | 两者都存在,Intune解析为必需 |
| 用户卸载 | 设备卸载 | 两者都存在,Intune解析卸载 |
| 需要设备 | 设备卸载 | 必需 |
| 需要设备 | 设备可用 | 必需和可用 |
| 设备可用 | 设备卸载 | 卸载 |
| 用户必需和可用 | 用户可用 | 必需和可用 |
| 用户必需和可用 | 用户卸载 | 必需和可用 |
| 用户必需和可用 | 需要设备 | 存在、必需和可用 |
| 用户必需和可用 | 设备卸载 | 两者都存在,Intune解析必需 (必需和可用) |
| 用户可用,无需注册 | 用户必需和可用 | 必需和可用 |
| 用户可用,无需注册 | 用户必需 | 必需 |
| 用户可用,无需注册 | 用户可用 | 可用 |
| 用户可用,无需注册 | 需要设备 | 必需且无需注册即可使用 |
| 用户可用,无需注册 | 设备卸载 | 卸载和可用,无需注册。 如果用户未从公司门户安装应用,则执行卸载。 如果用户从公司门户安装应用,则安装优先于卸载。 |
注意
仅对于托管 iOS 应用商店应用,将这些应用添加到Microsoft Intune并将其分配为“必需”时,会自动创建这些应用。 它们同时接收 “必需” 和 “可用 ”意向。
(不是 iOS/iPadOS VPP 应用) ,在设备检查时,会在设备检查时在设备上强制实施,并且也会显示在 公司门户 应用中。
当 设备删除时卸载 设置中发生冲突时,当设备不再受管理时,不会从设备中删除该应用。
注意
用户无法手动卸载作为“必需”部署到公司拥有的工作配置文件和企业拥有的完全托管设备的应用。
将托管 Google Play 应用部署到非托管设备
对于未注册的 Android 设备,可以使用托管的 Google Play 向用户部署应用商店应用和业务线 (LOB) 应用。 部署后,可以使用 移动应用程序管理 (MAM) 来管理应用程序。
目标为“可用”的托管 Google Play 应用(无论是否注册)显示在最终用户设备上的 Play Store 应用中,而不是公司门户应用中。 最终用户通过 Play 应用以这种方式浏览和安装以这种方式部署的应用。
由于应用是从托管的 Google Play 安装的,因此最终用户无需更改其设备设置来允许从未知来源安装应用。 这意味着设备更安全。 如果应用开发人员将新版本的应用发布到用户设备上安装的 Play,则 Play 会自动更新该应用。
将托管 Google Play 应用分配给非托管设备的步骤:
将Intune租户连接到托管的 Google Play。 如果已执行此作以管理 Android Enterprise 个人拥有、专用、完全托管或公司拥有的工作配置文件设备,则无需再次执行此作。
将托管 Google Play 中的应用添加到Intune管理中心。
将托管的 Google Play 应用定位为 “可用”,无论是否注册 到所需用户组。 非注册设备不支持“必需”和“卸载应用目标”。
将应用保护策略分配给用户组。
用户在任何受保护的应用中登录。
当最终用户下次打开 公司门户 应用并完成登录过程时,他们将在“应用”部分中看到一条消息。 此消息指示有可供其使用的应用。 用户可以选择此通知以导航到 Play 商店。
注意
可以将 设备注册设置选项 配置为 “可用”、“无提示” 或 “不可用”。 此设置可防止用户无意中注册其设备。 它还可以防止通知在登录公司门户后注册。
最终用户可以展开 Play Store 应用中的上下文菜单,并在其个人 Google 帐户 () 查看其个人应用,以及其工作帐户 (,并在其中看到面向其) 的应用商店和 LOB 应用之间切换。 最终用户通过点击 Play Store 应用中的“安装”来安装应用。
在 Intune 管理中心发出应用选择性擦除时,将自动从 Play Store 应用中删除工作帐户。 自那时起,最终用户不再在 Play Store 应用目录中看到工作应用。
从设备中删除工作帐户后,从 Play Store 安装的应用将保留在设备上,并且不会卸载。
iOS 托管应用的应用卸载设置
对于 iOS/iPadOS 设备,可以选择在从Intune取消注册设备或删除管理配置文件时托管应用的情况,并使用“在设备删除时卸载”设置删除管理配置文件。 此设置仅适用于注册设备且应用作为托管安装后的应用。 无法为 Web 应用或 Web 链接配置此设置。 应用选择性擦除在停用后,只有移动应用程序管理 (MAM) 保护的数据才会被删除。
为新分配预填充设置的默认值,如下所示:
| iOS 应用类型 | “删除设备时卸载”的默认设置 |
|---|---|
| 业务线应用 | 是 |
| 应用商店应用 | 否 |
| VPP 应用 | 否 |
| 内置应用 | 否 |
注意
“可用”分配类型:如果要为“已注册设备可用”或“可用于注册或不注册”组更新此设置,则已有托管应用的用户在将设备与Intune同步并重新安装应用之前,不会获得更新的设置。
预先存在的分配: 应用卸载设置于 2019 年 5 月引入。 在此日期之前存在的分配未修改,并且从管理中删除设备时,所有托管应用都将被删除。
如果作业是在 2019 年 5 月之前创建的,则可能需要显式设置应用卸载设置。 默认设置可能不适用于较旧的分配。
后续步骤
若要详细了解如何监视应用分配,请参阅 如何监视应用。