Apps toewijzen aan groepen met Microsoft Intune
Nadat u een app hebt toegevoegd aan Microsoft Intune, kunt u de app toewijzen aan gebruikers en apparaten. Het is belangrijk te weten dat u een app kunt implementeren op een apparaat, ongeacht of het apparaat wordt beheerd door Intune.
Notitie
De implementatie-intentie Beschikbaar wordt alleen ondersteund voor apparaatgroepen bij het richten op volledig beheerde Android Enterprise-apparaten (COBO) en Android Enterprise-apparaten in bedrijfseigendom die voor persoonlijk gebruik zijn ingeschakeld.
De volgende tabel bevat de verschillende opties voor het toewijzen van apps aan gebruikers en apparaten:
| Optie | Apparaten die zijn ingeschreven met Intune | Apparaten die niet zijn ingeschreven met Intune |
|---|---|---|
| Toewijzen aan gebruikers | Ja | Ja |
| Toewijzen aan apparaten | Ja | Nee |
| Ingepakte apps of apps waarin Intune SDK is opgenomen (voor app-beveiligingsbeleid) toewijzen | Ja | Ja |
| Apps toewijzen als beschikbaar | Ja | Ja |
| Apps toewijzen als vereist | Ja | Nee |
| Apps verwijderen | Ja | Nee |
| App-updates ontvangen van Intune | Ja | Nee |
| Eindgebruikers installeren beschikbare apps vanuit de bedrijfsportal-app | Ja | Nee |
| Eindgebruikers installeren beschikbare apps vanaf de webversie van de bedrijfsportal-app | Ja | Ja |
Notitie
Momenteel kunt u iOS/iPadOS- en Android-apps (Line-Of-Business-apps en apps die in de Store zijn gekocht) toewijzen aan apparaten die niet zijn ingeschreven bij Intune.
Voor het ontvangen van app-updates op apparaten die niet zijn ingeschreven bij Intune, moeten gebruikers naar de bedrijfsportal van hun organisatie gaan en de app-updates handmatig installeren.
Beschikbare toewijzingen zijn alleen geldig voor gebruikersgroepen, niet voor apparaatgroepen.
Een app toewijzen
Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
Selecteer Apps > Alle apps.
Selecteer in het deelvenster Apps de app die u wilt toewijzen.
Selecteer Toewijzingen in de sectie Beheren van het menu.
Selecteer Groep toevoegen om het deelvenster Groep toevoegen te openen dat is gerelateerd aan de app.
Selecteer een toewijzingstype voor de specifieke app:
Beschikbaar voor ingeschreven apparaten: wijs de app toe aan groepen gebruikers die de app vanuit de bedrijfsportal-app of -website installeren.
Beschikbaar met of zonder inschrijving: deze app wordt toegewezen aan groepen gebruikers van wie de apparaten niet zijn ingeschreven bij Intune. Gebruikers moeten een Intune-licentie toegewezen krijgen, zie Intune-licenties.
Vereist: de app wordt geïnstalleerd op apparaten in de geselecteerde groepen. Sommige platformen hebben mogelijk aanvullende prompts voor de eindgebruiker ter bevestiging voordat de installatie van de app begint.
Verwijderen: de app wordt verwijderd van apparaten in de geselecteerde groepen als Intune de toepassing eerder op het apparaat heeft geïnstalleerd via de toewijzingen 'Beschikbaar voor ingeschreven apparaten' of 'Vereist' met behulp van dezelfde implementatie.
Notitie
Alleen voor iOS/iPadOS-apps:
- Als u wilt configureren wat er gebeurt met beheerde apps wanneer apparaten niet meer worden beheerd, kunt u de gewenste instelling selecteren onder Verwijderen bij verwijdering van apparaat. Zie Instelling voor verwijderen van apps voor beheerde iOS/iPadOS-apps voor meer informatie.
- Als u een iOS/iPadOS VPN-profiel hebt gemaakt met VPN-instellingen per app, kunt u het VPN-profiel selecteren onder VPN. Als de app wordt uitgevoerd, wordt de VPN-verbinding geopend. Zie VPN-instellingen voor iOS/iPadOS-apparaten voor meer informatie.
- Als u wilt configureren of een vereiste iOS-/iPadOS-app door eindgebruikers als een verwisselbare app wordt geïnstalleerd, kunt u de instelling onder Installeren als verwisselbaar selecteren.
Alleen bij Android apps:
- als u een Android-app als Beschikbaar met of zonder inschrijving implementeert, is de rapportagestatus alleen beschikbaar op ingeschreven apparaten.
Voor Beschikbaar voor ingeschreven apparaten:
- De app wordt alleen als beschikbaar weergegeven als de gebruiker die is aangemeld bij de bedrijfsportal de primaire gebruiker is die het apparaat heeft geregistreerd en de app van toepassing is op het apparaat.
Selecteer Opgenomen groepen om de gebruikersgroepen te selecteren die worden beïnvloed door deze app-toewijzing.
Kies Selecteren wanneer u één of meer groepen hebt geselecteerd om op te nemen.
Selecteer OK op het deelvenster Toewijzen de selectie te voltooien van de groepen die moeten worden opgenomen.
Selecteer Groepen uitsluiten als u gebruikersgroepen wilt uitsluiten zodat ze niet worden beïnvloed door deze app-toewijzing.
Kies Selecteren in Groepen selecteren als u hebt besloten dat u groepen wilt uitsluiten.
Selecteer OK in het deelvenster Groep toevoegen.
Selecteer Opslaan in het deelvenster Toewijzingen.
De app wordt nu toegewezen aan de groepen die u hebt geselecteerd. Zie App-toewijzingen opnemen en uitsluiten voor meer informatie over het opnemen en uitsluiten van app-toewijzingen.
Hoe conflicten tussen app-intents worden opgelost
Het is niet mogelijk om meerdere app-toewijzingsintenties in te stellen voor één groep, maar als een gebruiker of apparaat lid is van meerdere groepen waaraan verschillende intenties zijn toegewezen, resulteert dit in een conflict. Het is raadzaam om toewijzingsconflicten voor toepassingen te vermijden. De informatie in de volgende tabel kan u helpen de resulterende intentie te begrijpen wanneer dit conflict plaatsvindt:
| Intent van groep 1 | Intent van groep 2 | Resulterende intent |
|---|---|---|
| Gebruiker vereist | Gebruiker beschikbaar | Vereist en beschikbaar |
| Gebruiker vereist | Gebruiker verwijderen | Vereist |
| Gebruiker beschikbaar | Gebruiker verwijderen | Verwijderen |
| Gebruiker vereist | Apparaat vereist | Beide bestaan, Intune verwerkt Vereist |
| Gebruiker vereist | Apparaat verwijderen | Beide bestaan, Intune zet Vereist om |
| Gebruiker beschikbaar | Apparaat vereist | Beide bestaan, Intune zet Vereist om (Vereist en Beschikbaar) |
| Gebruiker beschikbaar | Apparaat verwijderen | Beide bestaan, Intune zet Beschikbaar om. App wordt weergegeven in de bedrijfsportal. Als de app al is geïnstalleerd (als een vereiste app bij de vorige intentie), wordt de app verwijderd. Als de gebruiker Installeren vanuit de bedrijfsportal selecteert, wordt de app geïnstalleerd en wordt de intentie om te verwijderen niet gehonoreerd. |
| Gebruiker verwijderen | Apparaat vereist | Beide bestaan, Intune zet Vereist om |
| Gebruiker verwijderen | Apparaat verwijderen | Beide bestaan, Intune zet Verwijderen om |
| Apparaat vereist | Apparaat verwijderen | Vereist |
| Gebruiker vereist en beschikbaar | Gebruiker beschikbaar | Vereist en beschikbaar |
| Gebruiker vereist en beschikbaar | Gebruiker verwijderen | Vereist en beschikbaar |
| Gebruiker vereist en beschikbaar | Apparaat vereist | Beide bestaan, Vereist en Beschikbaar |
| Gebruiker vereist en beschikbaar | Apparaat verwijderen | Beide bestaan, Intune zet Vereist om (Vereist en Beschikbaar) |
| Gebruiker beschikbaar zonder registratie | Gebruiker vereist en beschikbaar | Vereist en beschikbaar |
| Gebruiker beschikbaar zonder registratie | Gebruiker vereist | Vereist |
| Gebruiker beschikbaar zonder registratie | Gebruiker beschikbaar | Beschikbaar |
| Gebruiker beschikbaar zonder registratie | Apparaat vereist | Vereist en beschikbaar zonder registratie |
| Gebruiker beschikbaar zonder registratie | Apparaat verwijderen | Verwijderen en beschikbaar zonder registratie Als de gebruiker de app niet heeft geïnstalleerd vanuit de bedrijfsportal, wordt de intentie om te verwijderen gehonoreerd. Als de gebruiker de app vanuit de bedrijfsportal installeert, krijgt de installatie prioriteit boven het verwijderen van de app. |
Notitie
Alleen voor beheerde iOS Store-apps: wanneer u deze apps toevoegt in Microsoft Intune en toewijst als Vereist, worden de apps automatisch gemaakt met zowel de intentie Vereist als Beschikbaar.
iOS Store-apps (geen iOS/iPadOS VPP-apps) die met de vereiste intentie worden benaderd, worden afgedwongen op het apparaat op het moment dat het apparaat incheckt en worden ook weergegeven in de bedrijfsportal-app.
Wanneer er conflicten optreden bij de instelling Verwijderen bij verwijdering van apparaat, wordt de app niet van het apparaat verwijderd als het apparaat niet meer wordt beheerd.
Implementatie van beheerde Google Play-apps op niet-beheerde apparaten
Voor Android-apparaten in een niet-ingeschreven App-beveiliging-beleid zonder inschrijvingsimplementatiescenario (APP-WE), kunt u Beheerde Google Play gebruiken om Store-apps en LOB-apps (Line-Of-Business) te implementeren voor gebruikers. Beheerde Google Play-apps met de instelling Beschikbaar met of zonder inschrijving worden weergegeven in de Play Store-app op het apparaat van de eindgebruiker en niet in de bedrijfsportal-app. De eindgebruiker kan vanuit de Google Play-app in apps bladeren en apps installeren die op deze manier zijn geïmplementeerd. Omdat de apps worden geïnstalleerd vanuit de beheerde Google Play Store, hoeft de eindgebruiker diens apparaatinstellingen niet te wijzigen om de installatie van apps uit onbekende bronnen toe te staan. Dit zorgt ervoor dat de apparaten beter beveiligd zijn. Als de app-ontwikkelaar een nieuwe versie van een app die op het apparaat van een gebruiker was geïnstalleerd, publiceert in de Play Store, wordt de app automatisch bijgewerkt door Google Play.
Stappen voor het toewijzen van beheerde Google Play-apps aan niet-beheerde apparaten:
Verbind uw Intune-tenant met de beheerde Google Play Store. Als u dit al hebt gedaan om apparaten met een Android Enterprise-werkprofiel of toegewezen, volledig beheerd werkprofiel in persoonlijk eigendom te beheren, hoeft u dit niet opnieuw te doen.
Apps vanuit de beheerde Google Play Store toevoegen aan uw Intune-console.
Toon beheerde Google Play-apps aan de gewenste gebruikersgroep als Beschikbaar met of zonder inschrijving. De instellingen Vereist en Verwijderen voor app-targeting worden niet ondersteund voor niet-ingeschreven apparaten.
Een beveiligingsbeleid voor apps toewijzen aan de gebruikersgroep.
De gebruiker meldt zich aan bij een beveiligde app.
De volgende keer dat de eindgebruiker de bedrijfsportal-app opent en het aanmeldingsproces voltooit, ziet deze in de sectie Apps een bericht waarin staat dat apps beschikbaar zijn. De gebruiker kan deze melding selecteren om naar de Play Store te navigeren.
Notitie
U kunt instellingsopties voor apparaatinschrijving configureren als Beschikbaar, geen prompts of als Niet-beschikbaar. Met deze instelling wordt voorkomen dat gebruikers het apparaat per ongeluk inschrijven, of meldingen ontvangen om het apparaat in te schrijven nadat ze zijn aangemeld bij de bedrijfsportal.
De eindgebruiker kan het contextmenu in de Play Store-app uitvouwen, en schakelen tussen diens persoonlijke Google-account (waar de persoonlijke apps te zien zijn) en werkaccount (waar store- en LOB-apps te zien zijn die op hem of haar zijn gericht). Eindgebruikers installeren de apps door in de Play Store-app op Installeren te tikken.
Als er opdracht wordt gegeven voor selectieve verwijdering op basis van APP in de Intune-console, wordt het werkaccount automatisch verwijderd uit de Play Store-app en kan de eindgebruiker vanaf dat moment geen zakelijke apps meer zien in de catalogus van de Play Store-app. Wanneer het werkaccount van een apparaat wordt verwijderd, blijven de apps die vanuit de Play Store zijn geïnstalleerd, op het apparaat staan. Deze apps worden niet verwijderd.
Instelling voor verwijderen van apps voor beheerde iOS-apps
Voor iOS/iPadOS-apparaten kunt u kiezen wat er gebeurt met beheerde apps bij het ongedaan maken van de registratie van het apparaat bij Intune of bij het verwijderen van het beheerprofiel. Hiertoe gebruikt u de instelling Verwijderen bij verwijdering van apparaat. Deze instelling is alleen van toepassing op apps nadat het apparaat is ingeschreven en apps zijn geïnstalleerd als beheerde apps. De instelling kan niet worden geconfigureerd voor web-apps of webkoppelingen. Alleen gegevens die worden beveiligd door Mobile Application Management (MAM) worden verwijderd na buitengebruikstelling door middel van selectief wissen van een app.
De standaardwaarden voor de instelling worden als volgt vooraf ingevuld voor nieuwe toewijzingen:
| iOS-apptype | Standaardinstelling voor Verwijderen bij verwijdering van apparaat |
|---|---|
| Line-Of-Business-app | Ja |
| Store-app | Nee |
| VPP-app | Nee |
| Ingebouwde app | Nee |
Notitie
Beschikbaar-toewijzingstypen: Als u deze instelling bijwerkt voor groepen van het type 'Beschikbaar voor ingeschreven apparaten' of 'Beschikbaar met of zonder inschrijving', krijgen gebruikers die de beheerde app al hebben, de bijgewerkte instelling pas nadat ze het apparaat met Intune hebben gesynchroniseerd en de app opnieuw hebben geïnstalleerd.
Bestaande toewijzingen: De instelling voor het verwijderen van apps is in mei 2019 geïntroduceerd. Toewijzingen die vóór deze datum bestonden, zijn ongewijzigd en alle beheerde apps worden verwijderd bij verwijdering van het apparaat uit het beheer. Als uw toewijzing is gemaakt vóór mei 2019, moet u mogelijk expliciet de instelling App verwijderen instellen, omdat de bovenstaande standaardinstellingen mogelijk niet van toepassing zijn.
Volgende stappen
Zie Apps controleren voor meer informatie over het controleren van app-toewijzingen.