Apps toewijzen aan groepen met Microsoft Intune
Nadat u een app hebt toegevoegd aan Microsoft Intune, kunt u de app toewijzen aan gebruikers en apparaten. Het is belangrijk om te weten dat u een app op een apparaat kunt implementeren, ongeacht of het apparaat wordt beheerd door Intune.
Notitie
De implementatie-intentie Beschikbaar voor ingeschreven apparaten wordt ondersteund voor gebruikersgroepen en apparaatgroepen bij het richten op volledig beheerde Android Enterprise-apparaten (COBO) en Android Enterprise-apparaten in bedrijfseigendom met persoonlijke functionaliteit (COPE).
De volgende tabel bevat de verschillende opties voor het toewijzen van apps aan gebruikers en apparaten:
| Optie | Apparaten die zijn ingeschreven bij Intune | Apparaten die niet zijn ingeschreven bij Intune |
|---|---|---|
| Toewijzen aan gebruikers | Ja | Ja |
| Toewijzen aan apparaten | Ja | Nee |
| Verpakte apps of apps toewijzen die de Intune SDK bevatten (voor app-beveiligingsbeleid) | Ja | Ja |
| Apps toewijzen als beschikbaar | Ja | Ja |
| Apps toewijzen als vereist | Ja | Nee |
| Apps verwijderen | Ja | Nee |
| App-updates ontvangen van Intune | Ja | Nee |
| Eindgebruikers installeren beschikbare apps vanuit de Bedrijfsportal-app | Ja | Nee |
| Eindgebruikers installeren beschikbare apps via de webgebaseerde Bedrijfsportal | Ja | Ja |
Notitie
Op dit moment kunt u iOS-/iPadOS- en Android-apps (line-of-business- en store-apps) toewijzen aan apparaten die niet zijn ingeschreven bij Intune.
Als u app-updates wilt ontvangen op apparaten die niet zijn ingeschreven bij Intune, moeten apparaatgebruikers naar de Bedrijfsportal van hun organisatie gaan en handmatig app-updates installeren.
Beschikbare toewijzingen zijn alleen geldig voor gebruikersgroepen, niet voor apparaatgroepen.
Als beheerde Google Play Pre-Production-track-apps naar behoefte worden toegewezen op Android Enterprise-apparaten met een werkprofiel in persoonlijk eigendom, worden ze niet op het apparaat geïnstalleerd. U kunt dit omzeilen door twee identieke gebruikersgroepen te maken en het preproductiespoor toe te wijzen als 'beschikbaar' aan de ene en 'vereist' aan de andere. Het resultaat is dat het preproductiespoor op het apparaat wordt geïmplementeerd.
Een app toewijzen
Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
Selecteer Apps > Alle apps.
Selecteer in het deelvenster Apps de app die u wilt toewijzen.
Selecteer Opdrachten in de sectie Beheren van het menu.
Selecteer Groep toevoegen om het deelvenster Groep toevoegen te openen dat is gerelateerd aan de app.
Selecteer voor de specifieke app een toewijzingstype:
Beschikbaar voor ingeschreven apparaten: wijs de app toe aan groepen gebruikers die de app kunnen installeren vanaf de Bedrijfsportal app of website.
Beschikbaar met of zonder inschrijving: wijs deze app toe aan groepen gebruikers van wie de apparaten niet zijn ingeschreven bij Intune. Aan gebruikers moet een Intune licentie worden toegewezen. Zie Intune Licenties.
Vereist: De app wordt geïnstalleerd op apparaten in de geselecteerde groepen. Sommige platforms hebben mogelijk aanvullende aanwijzingen dat de eindgebruiker moet bevestigen voordat de app-installatie begint.
Verwijderen: De app wordt verwijderd van apparaten in de geselecteerde groepen als Intune de toepassing eerder op het apparaat hebt geïnstalleerd via een toewijzing 'Beschikbaar voor ingeschreven apparaten' of 'Vereist' met dezelfde implementatie.
Notitie
Alleen voor iOS-/iPadOS-apps:
- Als u wilt configureren wat er gebeurt met beheerde apps wanneer apparaten niet meer worden beheerd, kunt u de gewenste instelling selecteren onder Verwijderen bij het verwijderen van het apparaat. Zie de instelling voor het verwijderen van apps voor beheerde iOS-/iPadOS-apps voor meer informatie.
- Als u een iOS/iPadOS VPN-profiel hebt gemaakt dat VPN-instellingen per app bevat, kunt u het VPN-profiel onder VPN selecteren. Wanneer de app wordt uitgevoerd, wordt de VPN-verbinding geopend. Zie VPN-instellingen voor iOS-/iPadOS-apparaten voor meer informatie.
- Als u wilt configureren of een vereiste iOS-/iPadOS-app door eindgebruikers als verwisselbare app is geïnstalleerd, kunt u de instelling onder Installeren als verwisselbaar selecteren.
Alleen voor Android-apps:
- Als u een Android-app implementeert als Beschikbaar met of zonder inschrijving, is de rapportagestatus alleen beschikbaar op ingeschreven apparaten.
Voor Beschikbaar voor ingeschreven apparaten:
- De app wordt alleen weergegeven als deze beschikbaar is als de gebruiker die is aangemeld bij de Bedrijfsportal de primaire gebruiker is die het apparaat heeft geregistreerd en de app van toepassing is op het apparaat.
Als u de groepen gebruikers wilt selecteren die worden beïnvloed door deze app-toewijzing, selecteert u Opgenomen groepen.
Nadat u een of meer groepen hebt geselecteerd die u wilt opnemen, selecteert u Selecteren.
Selecteer OK in het deelvenster Toewijzen om de selectie van de opgenomen groepen te voltooien.
Als u groepen gebruikers wilt uitsluiten van deze app-toewijzing, selecteert u Groepen uitsluiten.
Als u ervoor hebt gekozen om groepen uit te sluiten, selecteert u Selecteren in Groepen selecteren.
Selecteer OK in het deelvenster Groep toevoegen.
Selecteer Opslaan in het deelvenster App-toewijzingen.
De app is nu toegewezen aan de groepen die u hebt geselecteerd. Zie App-toewijzingen opnemen en uitsluiten voor meer informatie over het opnemen en uitsluiten van app-toewijzingen.
Tip
Intune biedt ook ondersteuning voor het toewijzen van apps aan geneste groepen. Als u bijvoorbeeld een app hebt toegewezen aan de groep 'Engineering Global' en 'Engineering APAC', 'Engineering EMEA' en 'Engineering US' hebt genest als onderliggende groepen, worden de leden van deze onderliggende groepen ook met de toewijzing bedoeld.
Hoe conflicten tussen app-intenties worden opgelost
Eén groep kan niet worden gericht op meerdere intenties voor app-toewijzing, maar als een gebruiker of een apparaat lid is van meerdere groepen die elk zijn toegewezen met verschillende intenties, leidt dit tot een conflict. Het maken van toewijzingsconflicten voor toepassingen wordt niet aanbevolen. De informatie in de volgende tabel kan u helpen inzicht te krijgen in de resulterende intentie wanneer er een conflict optreedt:
| Intentie groep 1 | Intentie groep 2 | Resulterende intentie |
|---|---|---|
| Gebruiker vereist | Gebruiker beschikbaar | Vereist en beschikbaar |
| Gebruiker vereist | Gebruiker verwijderen | Vereist |
| Gebruiker beschikbaar | Gebruiker verwijderen | Verwijderen |
| Gebruiker vereist | Apparaat vereist | Beide bestaan, Intune behandelt Vereist |
| Gebruiker vereist | Apparaat verwijderen | Beide bestaan, Intune lost Vereist op |
| Gebruiker beschikbaar | Apparaat vereist | Beide bestaan, Intune omzetten vereist (vereist en beschikbaar) |
| Gebruiker beschikbaar | Apparaat verwijderen | Beide bestaan, Intune wordt Beschikbaar omgezet. App wordt weergegeven in de Bedrijfsportal. Als de app al is geïnstalleerd (als een vereiste app met de vorige intentie), wordt de app verwijderd. Als de gebruiker Installeren selecteert in de Bedrijfsportal, wordt de app geïnstalleerd en wordt de intentie voor verwijderen niet gehonoreerd. |
| Gebruiker verwijderen | Apparaat vereist | Beide bestaan, Intune lost Vereist op |
| Gebruiker verwijderen | Apparaat verwijderen | Beide bestaan, Intune verwijdert |
| Apparaat vereist | Apparaat verwijderen | Vereist |
| Gebruiker vereist en beschikbaar | Gebruiker beschikbaar | Vereist en beschikbaar |
| Gebruiker vereist en beschikbaar | Gebruiker verwijderen | Vereist en beschikbaar |
| Gebruiker vereist en beschikbaar | Apparaat vereist | Beide bestaan, vereist en beschikbaar |
| Gebruiker vereist en beschikbaar | Apparaat verwijderen | Beide bestaan, Intune omzetten vereist (vereist en beschikbaar) |
| Gebruiker beschikbaar zonder inschrijving | Gebruiker vereist en beschikbaar | Vereist en beschikbaar |
| Gebruiker beschikbaar zonder inschrijving | Gebruiker vereist | Vereist |
| Gebruiker beschikbaar zonder inschrijving | Gebruiker beschikbaar | Beschikbaar |
| Gebruiker beschikbaar zonder inschrijving | Apparaat vereist | Vereist en beschikbaar zonder inschrijving |
| Gebruiker beschikbaar zonder inschrijving | Apparaat verwijderen | Verwijderen en beschikbaar zonder inschrijving. Als de gebruiker de app niet heeft geïnstalleerd vanuit de Bedrijfsportal, wordt het verwijderen gehonoreerd. Als de gebruiker de app installeert vanuit de Bedrijfsportal, krijgt de installatie prioriteit boven het verwijderen. |
Notitie
Alleen voor beheerde iOS Store-apps worden de apps automatisch gemaakt met de intentie Vereist en Beschikbaar wanneer u deze apps toevoegt aan Microsoft Intune en toewijst als Vereist.
iOS Store-apps (geen iOS-/iPadOS VPP-apps) waarop de vereiste intentie is gericht, worden afgedwongen op het apparaat op het moment dat het apparaat wordt ingecheckt en worden ook weergegeven in de Bedrijfsportal-app.
Wanneer er conflicten optreden bij het verwijderen van het apparaat, wordt de app niet van het apparaat verwijderd wanneer het apparaat niet meer wordt beheerd.
Notitie
Apps die zijn geïmplementeerd als vereist voor apparaten met een werkprofiel in bedrijfseigendom, kunnen niet handmatig worden verwijderd door de gebruiker.
Beheerde implementatie van Google Play-apps op niet-beheerde apparaten
Voor niet-ingeschreven Android-apparaten kunt u beheerde Google Play gebruiken om Store-apps en LOB-apps (Line-Of-Business) te implementeren voor gebruikers. Na de implementatie kunt u Mobile Application Management (MAM) gebruiken om de toepassingen te beheren. Beheerde Google Play-apps waarop de optie Beschikbaar met of zonder inschrijving is gericht, worden weergegeven in de Play Store-app op het apparaat van de eindgebruiker en niet in de Bedrijfsportal-app. Eindgebruikers bladeren en installeren apps die op deze manier zijn geïmplementeerd vanuit de Play-app. Omdat de apps worden geïnstalleerd vanuit beheerde Google Play, hoeft de eindgebruiker de apparaatinstellingen niet te wijzigen om app-installatie vanuit onbekende bronnen toe te staan, wat betekent dat de apparaten veiliger zijn. Als de app-ontwikkelaar een nieuwe versie van een app publiceert naar Play die is geïnstalleerd op het apparaat van een gebruiker, wordt de app automatisch bijgewerkt door Play.
Stappen voor het toewijzen van een beheerde Google Play-app aan niet-beheerde apparaten:
Verbind uw Intune-tenant met beheerde Google Play. Als u dit al hebt gedaan om android Enterprise-apparaten met een werkprofiel in persoonlijk eigendom, toegewezen, volledig beheerd of bedrijfseigendom te beheren, hoeft u dit niet opnieuw te doen.
Apps van beheerde Google Play toevoegen aan uw Intune-console.
Richt beheerde Google Play-apps op Beschikbaar met of zonder inschrijving voor de gewenste gebruikersgroep. Vereist en verwijderen van app-doelen worden niet ondersteund voor niet-ingeschreven apparaten.
Wijs een app-beveiligingsbeleid toe aan de gebruikersgroep.
Gebruikerslogboeken in een beveiligde app.
De volgende keer dat de eindgebruiker de Bedrijfsportal-app opent en het aanmeldingsproces voltooit, ziet deze een bericht dat in de sectie Apps aangeeft dat er apps beschikbaar zijn. De gebruiker kan deze melding selecteren om naar de Play Store te navigeren.
Notitie
U kunt de instellingsopties voor apparaatinschrijving configureren op Beschikbaar, geen prompts of Niet beschikbaar. Deze instelling voorkomt dat gebruikers hun apparaat onbedoeld registreren of meldingen ontvangen om hun apparaat in te schrijven nadat ze zich hebben aangemeld bij de Bedrijfsportal.
De eindgebruiker kan het contextmenu in de Play Store-app uitbreiden en schakelen tussen hun persoonlijke Google-account (waar ze hun persoonlijke apps zien) en hun werkaccount (waar ze store- en LOB-apps zien waarop ze zijn gericht). Eindgebruikers installeren de apps door te tikken op Installeren in de Play Store-app.
Wanneer een APP selectief wissen wordt uitgegeven in de Intune-console, wordt het werkaccount automatisch verwijderd uit de Play Store-app en ziet de eindgebruiker vanaf dat moment geen werk-apps meer in de Play Store-app-catalogus. Wanneer het werkaccount van een apparaat wordt verwijderd, blijven apps die zijn geïnstalleerd in de Play Store op het apparaat geïnstalleerd en worden ze niet verwijderd.
Instelling voor het verwijderen van apps voor door iOS beheerde apps
Voor iOS-/iPadOS-apparaten kunt u kiezen wat er gebeurt met beheerde apps wanneer u de registratie van het apparaat bij Intune ongedaan maakt of het beheerprofiel verwijdert met de instelling Verwijderen op apparaatverwijdering. Deze instelling is alleen van toepassing op apps nadat het apparaat is ingeschreven en apps zijn geïnstalleerd als beheerd. De instelling kan niet worden geconfigureerd voor web-apps of webkoppelingen. Alleen gegevens die worden beveiligd door Mobile Application Management (MAM) worden verwijderd na de buitengebruikstelling door selectief wissen van apps.
Standaardwaarden voor de instelling worden als volgt vooraf ingevuld voor nieuwe toewijzingen:
| Type iOS-app | Standaardinstelling voor Verwijderen bij het verwijderen van het apparaat |
|---|---|
| Line-Of-Business-app | Ja |
| Store-app | Nee |
| VPP-app | Nee |
| Ingebouwde app | Nee |
Notitie
Toewijzingstypen 'Beschikbaar': Als u deze instelling bijwerkt voor groepen 'Beschikbaar voor ingeschreven apparaten' of 'Beschikbaar met of zonder inschrijving', krijgen gebruikers die de beheerde app al hebben de bijgewerkte instelling pas wanneer ze het apparaat synchroniseren met Intune en de app opnieuw installeren.
Bestaande toewijzingen: De instelling voor het verwijderen van apps is geïntroduceerd in mei 2019. Toewijzingen die vóór deze datum bestonden, worden niet gewijzigd en alle beheerde apps worden verwijderd wanneer het apparaat uit het beheer wordt verwijderd. Als uw toewijzing vóór mei 2019 is gemaakt, moet u mogelijk expliciet de instelling voor het verwijderen van apps instellen, omdat de bovenstaande standaardinstellingen mogelijk niet van toepassing zijn.
Volgende stappen
Zie Apps bewaken voor meer informatie over het bewaken van app-toewijzingen.