在你將應用程式加入 Microsoft Intune 後,你可以將該應用程式指派給使用者和裝置。 無論裝置是否由 Intune 管理,你都可以部署應用程式到裝置上。
注意事項
「 可用於註冊裝置 的部署意圖」支援 使用者群組 與 裝置群組。 這適用於針對 Android 企業級全管理裝置 (COBO) 以及 Android Enterprise 擁有的個人啟用 (COPE) 裝置。
指派受管應用程式時的選項
下表列出指 派 應用程式給使用者與裝置時的各種選項:
| 選項 | 註冊於 Intune 的裝置 | 未註冊於 Intune 的裝置 |
|---|---|---|
| 指派給使用者 | 是 | 是 |
| 指派給裝置 | 是 | 否 |
| 指派包裝的應用程式或包含 Intune SDK (的應用程式作為應用程式保護政策) | 是 | 是 |
| 將應用程式指定為可用 | 是 | 是 |
| 依需求指派應用程式 | 是 | 否 |
| 卸載應用程式 | 是 | 否 |
| 從 Intune 接收應用程式更新 | 是 | 否 |
| 終端使用者從公司入口網站應用程式安裝可用的應用程式 | 是 | 否 |
| 終端使用者可從網頁公司入口網站安裝可用的應用程式 | 是 | 是 |
注意事項
目前,你可以將 iOS/iPadOS 和 Android 應用程式 (業務線及商店購買的應用程式) 分配給未註冊於 Intune 的裝置。
未註冊 Intune 裝置的裝置使用者必須手動開啟組織的公司入口網站並安裝應用程式更新。
對於幾乎所有應用程式類型和平台, 可用指派 只在指派給使用者群組時有效,而非裝置群組。 Win32 應用程式可以被指派到使用者群組或裝置群組。
如果 Android Enterprise 個人擁有的工作設定檔裝置有按需指定 Google Play 預製作追蹤應用程式,這些應用程式就不會安裝在該裝置上。 為了解決這個問題,可以建立兩個相同的使用者群組。 將前期製作軌道指定為「可用」給一組,並將「必需」給另一組。 結果是前期生產軌道能成功部署到裝置上。
指派應用程式
選擇 應用程式>全部應用程式。
在 應用程式 面板中,選擇你想指派的應用程式。
在選單的 管理 區塊中,選擇 屬性。
往下滑到 屬性 並選擇 指派。
選擇 新增群組 以開啟與該應用程式相關的 新增群組 選區。
針對特定申請,請選擇 作業類型:
適用於已註冊裝置:將應用程式指派給可從公司入口網站應用程式或網站安裝的用戶群組。
有無註冊可用:將此設定指派給未註冊 Intune 裝置的群組。 使用者必須被指派 Intune 授權,詳見 Intune 授權。
必須:該應用程式安裝在所選群組的裝置上。 有些平台可能會有更多提示,讓終端使用者在應用程式安裝開始前必須確認。
卸載:如果 Intune 先前安裝了該應用程式,該應用程式會從所選群組的裝置中移除。 此規定僅適用於透過「已註冊裝置可用」或「必要」指派,使用同一部署安裝的應用程式。
注意事項
僅限 iOS/iPadOS 應用程式:
- 要設定當裝置不再受管理時,受管理應用程式會發生什麼事,你可以在 移除裝置時選擇預定的設定。 欲了解更多資訊,請參閱 iOS/iPadOS 管理應用程式的 App Uninstall 設定。
- 如果你建立一個包含每個應用程式 VPN 設定的 iOS/iPadOS VPN 設定檔,你可以在 VPN 裡選擇該 VPN 設定檔。 當應用程式執行時,VPN 連線會開啟。 欲了解更多資訊,請參閱 iOS/iPadOS 裝置的 VPN 設定。
- 要設定終端使用者是否安裝 iOS/iPadOS 應用程式為可移除應用程式,可以在 「安裝為可移除」選項中選擇該設定。
- 要防止受管理的 iOS/iPadOS 應用程式的 iCloud 備份,請在新增群組設定後選擇以下設定之一:VPN、裝置移除時卸載,或以可移除方式安裝。 接著,設定一個叫做「防止 iCloud 應用程式備份」的設定。 欲了解更多資訊,請參閱 iOS/iPadOS 與 macOS 應用程式的「防止 iCloud 應用程式備份設定」。
僅限 macOS 應用程式:
- 要防止管理式 macOS 應用程式的 iCloud 備份,請在新增群組指派後選擇以下設定之一:VPN、裝置移除時卸載,或以可移除方式安裝。 接著,設定一個叫做「防止 iCloud 應用程式備份」的設定。 欲了解更多資訊,請參閱 iOS/iPadOS 與 macOS 應用程式的「防止 iCloud 應用程式備份設定」。
僅限 Android 應用程式:
- 如果您部署 Android 應用程式為 「可用」,無論是否註冊,狀態報告只會在已註冊的裝置上查看。
適用於已註冊裝置的可用:
- 只有當登入公司入口網站的使用者是主要註冊該裝置的使用者,且該應用程式適用於該裝置時,該應用程式才會顯示為可用。
要選擇受此應用程式指派影響的使用者群組,請選擇 包含群組。
選擇一個或多個要包含的群組後,選擇 「選擇」。
在 指派 面板中,選擇 確定 以完成包含的群組選擇。
如果你想排除受此應用程式指派影響的任何用戶群組,請選擇 「排除群組」。
如果你選擇排除任何群組,在選擇群組中選擇選擇。
在 新增群組 選區,選擇 確定。
在應用程式的 「分配 」面板中,選擇 「儲存」。
應用程式現在會被分配到你選擇的群組。
注意事項
如果 Microsoft Entra 軟刪除了這些群組,Intune 會在主控台顯示它們已軟刪除,且這些群組的分配在還原後才會生效。
欲了解更多關於包含與排除應用程式分配的資訊,請參閱 「包含與排除應用程式分配」。
注意事項
你會在分配中看到所選群組的狀態。 可能的狀態選項有:活躍、已刪除或軟刪除。
提示
Intune 支援將應用程式指派到巢狀群組。 例如,如果你將應用程式指派到「Engineering Global」群組,並將「Engineering APAC」、「Engineering EMEA」和「Engineering US」作為子群組巢狀,該指派也會針對這些子群組的成員。
禁止 iOS/iPadOS 和 macOS 應用程式的 iCloud 應用程式備份設定
管理員可以選擇不再備份管理型App Store應用程式和業務線 (業務線) 在 iOS/iPadOS 上,以及 macOS 裝置上的管理型App Store應用程式。 這適用於使用者及裝置授權的 VPP/非 VPP 應用程式。 macOS 的 LOB 應用程式不支援這個設定。
此功能包含新舊的 App Store/LOB 應用程式,無論是有 VPP 還是不在 VPP 傳送,這些應用程式都加入 Intune,並針對使用者與裝置進行目標。 防止指定管理應用程式的備份,能確保裝置註冊並從備份還原時,透過 Intune 正確部署。
如果你在租戶中為新舊應用程式設定新設定,受管應用程式可以重新安裝給裝置,但 Intune 不再允許備份它們。
注意事項
雖然我們不期待裝置上的託管應用程式會將資料備份到 iCloud,但本地儲存的託管應用程式資料在備份與還原後可能無法取得。
對於現有裝置,當某個應用程式的 Prevent iCloud 應用程式備份設為「是」時,所有必須的 App Store/LOB 應用程式 (有無 VPP) ,都會自動更新新行為。
先前安裝在裝置上的必需應用程式,一旦設定值被儲存為 「是」,所有裝置都會自動重新設定。
可用的應用程式需要使用者從公司入口網站應用程式或公司入口網站重新下載該應用程式。 根據應用程式的設定和授權,可能需要 Intune 與裝置之間的同步。
應用程式意圖衝突如何解決
單一群組不會被針對多個應用程式指派意圖。 然而,如果使用者或裝置同時屬於多個群組,且每個群組各自被指派不同的意圖,則會產生衝突。 不建議在申請時製造分配衝突。 下表中的資訊可協助你理解衝突發生時的意圖:
注意事項
若應用程式有指派衝突,指派過濾器可能無法如預期運作,因為分配意圖是在分配篩選器之前被評估。
| 第一組意圖 | 第二組意圖 | 結果意圖 |
|---|---|---|
| 使用者需求 | 可用使用者 | 必備與可用 |
| 使用者需求 | 使用者卸載 | 必要 |
| 可用使用者 | 使用者卸載 | 解除安裝 |
| 使用者需求 | 所需設備 | 兩者都有,Intune 處理必須 |
| 使用者需求 | 裝置卸載 | 兩者都存在,Intune 解析為 Required |
| 可用使用者 | 所需設備 | 兩者皆存在,Intune解決「必需」 (「必要」與「可用」) |
| 可用使用者 | 裝置卸載 | 兩者都存在,Intune 解析為可用。 應用程式會出現在公司入口網站。 如果該應用程式已經安裝 (為必須的應用程式且先前有意圖) ,該應用程式會被卸載。 如果使用者從公司入口網站選擇安裝,應用程式就會被安裝,且卸載意圖不會被尊重。 |
| 使用者卸載 | 所需設備 | 兩者都存在,Intune 解析為 Required |
| 使用者卸載 | 裝置卸載 | 兩者都存在,Intune 解決了卸載問題 |
| 所需設備 | 裝置卸載 | 必要 |
| 所需設備 | 可用裝置 | 必備與可用 |
| 可用裝置 | 裝置卸載 | 解除安裝 |
| 使用者需求且可用 | 可用使用者 | 必備與可用 |
| 使用者需求且可用 | 使用者卸載 | 必備與可用 |
| 使用者需求且可用 | 所需設備 | 兩者皆存在,必須且可用 |
| 使用者需求且可用 | 裝置卸載 | 兩者皆存在,Intune解決「必需」 (「必要」與「可用」) |
| 使用者可使用而無需註冊 | 使用者需求且可用 | 必備與可用 |
| 使用者可使用而無需註冊 | 使用者需求 | 必要 |
| 使用者可使用而無需註冊 | 可用使用者 | 提供 |
| 使用者可使用而無需註冊 | 所需設備 | 必須且無需註冊即可使用 |
| 使用者可使用而無需註冊 | 裝置卸載 | 解除安裝並無需註冊即可使用。 如果使用者沒有從公司入口網站安裝該應用程式,解除安裝會被執行。 如果使用者從公司入口網站安裝應用程式,安裝會優先於卸載。 |
注意事項
僅限於受管式 iOS 商店應用程式,當你將這些應用程式加入 Microsoft Intune 並指定為「必需」時,應用程式會自動建立。 他們同時獲得 必要 意圖與 可用 意圖。
iOS Store 應用程式 (非 iOS/iPadOS VPP 應用程式) 具有特定意圖的目標,會在裝置檢查時強制執行,並同時出現在 公司入口網站 應用程式中。
當裝置移除時的「 卸載 」設定發生衝突時,裝置不再被管理時,應用程式並不會被移除。
注意事項
部署為「必需」的應用程式,安裝到企業擁有的工作設定檔和企業擁有的全管理裝置,使用者無法手動卸載。
對非管理裝置的 Google Play 應用程式部署
對於未註冊的 Android 裝置,你可以使用託管的 Google Play 來部署商店應用程式和業務線 (LOB) 應用程式給用戶。 部署完成後,你可以使用 行動應用程式管理 (MAM) 來管理應用程式。
針對「有或無註冊」的管理式 Google Play 應用程式,會出現在最終使用者裝置上的 Play 商店應用程式中,而非公司入口網站應用程式。 終端使用者會瀏覽並安裝從 Play 應用程式以這種方式部署的應用程式。
由於應用程式是從受管理的 Google Play 安裝,使用者不需要更改裝置設定來允許從未知來源安裝應用程式。 這代表裝置更安全。 如果應用程式開發者將安裝在使用者裝置上的新版本發佈到 Play,Play 會自動更新該應用程式。
指派受管式 Google Play 應用程式給非受管裝置的步驟:
將您的 Intune 租戶連接到受管理的 Google Play。 如果你已經用這個方法來管理 Android Enterprise 個人擁有、專用、全託管或企業擁有的工作設定檔裝置,那你就不需要再做一次。
將管理式 Google Play 的應用程式加入你的 Intune 管理中心。
Target 管理 Google Play 應用程式為 「可用」,並或不需註冊 至目標用戶群。 非註冊裝置不支援強制和卸載應用程式目標設定。
為使用者群組指派一個應用程式保護政策。
使用者在任何受保護的應用程式中登入。
下次當終端使用者打開公司入口網站應用程式並完成登入流程時,會在應用程式區塊看到訊息。 這則訊息表示他們有可用的應用程式。 使用者可以選擇此通知前往 Play 商店。
注意事項
你可以設定 裝置註冊設定選項 為 「可用」、「無提示 」或 「不可用」。 此設定防止使用者無意中註冊裝置。 它也會阻止用戶登入後收到報名通知公司入口網站。
最終使用者可以在 Play 商店應用程式內展開情境選單,並在個人 Google 帳號 (() 個人應用程式)與工作帳號 (切換,) 看到針對自己的商店和 LOB 應用程式。 最終使用者透過點擊 Play 商店應用程式中的「安裝」來安裝應用程式。
當 Intune 管理中心發出 APP 選擇性清除時,該工作帳號會自動從 Play 商店應用程式中移除。 從那時起,最終使用者就不會再在 Play 商店的應用程式目錄中看到工作應用程式。
當工作帳號從裝置移除後,從 Play 商店安裝的應用程式仍會保留在裝置上,且不會解除安裝。
iOS 管理應用程式的應用程式卸載設定
對於 iOS/iPadOS 裝置,你可以選擇在從 Intune 取消註冊該裝置或使用裝置移除時移除管理設定檔時,選擇管理應用程式的處理方式。 這個設定只適用於裝置註冊並以管理方式安裝應用程式後的應用程式。 這個設定無法設定為網頁應用程式或網頁連結。 只有受行動應用程式管理 (MAM) 保護的資料,會在應用程式選擇性清除後被移除。
設定的預設值會預先填入新指派,具體如下:
| iOS 應用程式類型 | 「移除裝置時卸載」的預設設定 |
|---|---|
| 業務線應用程式 | 是 |
| 市集應用程式 | 否 |
| VPP 應用程式 | 否 |
| 內建應用程式 | 否 |
注意事項
「可用」指派類型:如果你更新了「可用於已註冊裝置」或「有註冊或無註冊可用」群組的設定,已經有受管應用程式的使用者,只有在將裝置與 Intune 同步並重新安裝應用程式後,才會收到更新的設定。
既有任務: App 卸載設定於 2019 年 5 月推出。 在此日期之前存在的指派未被修改,所有受管理的應用程式在裝置移除管理時都會被移除。
如果你的指派是在 2019 年 5 月之前建立的,可能需要明確設定 App 卸載設定。 預設設定可能不適用於舊的作業。
後續步驟
想了解更多關於監控應用程式分配的資訊,請參閱 如何監控應用程式。