如何使用 Microsoft Intune 管理通过 Apple 商务管理购买的 iOS 和 macOS 应用
Apple 允许使用 Apple Business Manager 或 Apple School Manager 为你要在组织的 iOS/iPadOS 和 macOS 设备上使用的应用购买多个许可证。 然后可以将批量采购信息与 Intune 同步,并跟踪批量采购应用的使用情况。 购买应用许可证可帮助你有效管理公司内的应用,并保持对所购买的应用程序的所有权和控制权。
Microsoft Intune 可帮助管理通过此类计划购买的应用,方法为:
- 同步从 Apple Business Manager 下载的位置令牌。
- 跟踪可用的许可证数量,以及已用于购买应用的许可证数量。
- 帮助安装应用程序,具体取决于你所拥有的许可证数量。
此外,还可以使用 Intune 同步和管理从 Apple Business Manager 购买的书籍,并将它们分配到 iOS/iPadOS 设备。 有关详细信息,请参阅如何管理通过批量购买计划购买的 iOS/iPadOS 电子书。
什么是位置令牌?
位置令牌是指批量购买许可证,通常称为 Volume Purchase Program (VPP) 令牌。 这些位置令牌用于分配和管理使用 Apple 商务管理购买的许可证。 内容管理员可以购买许可证,并将其与在 Apple Business Manager 中拥有权限的位置令牌相关联。 然后,这些位置令牌从 Apple Business Manager 下载并在 Microsoft Intune 上传。 Microsoft Intune 支持每个租户上传多个位置令牌。 每个令牌的有效期为一年。
注意
Apple Volume Purchase Program (VPP) 已集成到 Apple 商务管理。 Apple Business Manager 是管理员用于部署 Apple 设备并批量购买内容的门户。 内容可能包括应用、图书和自定义应用。 位置令牌用于分配和管理使用 Apple 商务管理购买的许可证。 VPP 现在称为旧版 VPP 令牌。
如何授权购买的应用?
购买的应用可以使用 Apple 提供的用于 iOS/iPadOS 和 macOS 设备的两种类型的许可证分配给组。
注意
设备许可的 VPP 应用只能通过 MDM 频道安装和更新。 用户不能直接转到应用商店来手动安装或更新 VPP 应用。
| 操作 | 设备许可 | 用户许可 |
|---|---|---|
| App Store登录 | 可选。 | 当系统提示登录App Store时,每个最终用户必须使用唯一的 Apple ID。 |
| 设备配置阻止访问App Store | 可以使用公司门户安装和更新应用。 | 加入 Apple Business Manager 的邀请需要访问App Store。 如果已将策略设置为禁用App Store,则 VPP 应用的用户许可将不起作用。 |
| 自动应用更新 | 由 Intune 管理员在 Apple 商务管理令牌设置中配置。 如果分配类型可用于已注册的设备,则可通过在“应用详细信息”页面选择“更新”操作从公司门户安装可用的应用更新。 |
由 Intune 管理员在 Apple 商务管理令牌设置中配置。 如果分配类型可用于已注册的设备,则可通过在“应用详细信息”页面选择“更新”操作从公司门户安装可用的应用更新。 |
| 用户注册 | 不支持。 | 支持使用托管的 Apple ID。 |
| 书籍 | 不支持。 | 支持。 |
| 使用的许可证 | 每台设备 1 个许可证。 许可证与设备关联。 | 最多 5 台设备使用同一个人 Apple ID 的 1 个许可证。 许可证与用户关联。 与 Intune 中个人 Apple ID 和托管 Apple ID 关联的最终用户使用 2 个应用许可证。 |
| 许可证迁移 | 仅当使用要求的分配类型时,应用才可以从用户静默迁移到设备许可证。 | 对于任何分配类型,应用都无法从设备迁移到用户许可证。 |
注意
公司门户不会在用户注册设备上显示设备许可应用,因为用户注册设备上只能安装用户许可的应用。
为 Apple Volume Purchase Program (VPP) 应用创建新分配时,默认许可证类型现为“设备”。 现有分配将保持不变。
支持哪些应用类型?
你可以使用 Apple Business Manager 购买和分发公共应用及专用应用。
- 商店应用:使用 Apple Business Manager,内容管理员可以购买 App Store 中提供的免费和付费应用。
- 自定义应用:使用 Apple Business Manager,内容管理员还可以购买专用于组织的自定义应用。 这些应用是由与你直接合作的开发人员根据组织的特定需求定制的。 了解有关如何分发自定义应用的详细信息。
先决条件
- 组织的 Apple Business Manager 或 Apple School Manager 帐户。
- 分配给一个或多个位置令牌的已购买应用许可证。
- 下载的位置令牌。
重要
- 位置令牌一次只能与一个设备管理解决方案一起使用。 在开始在 Intune 中使用购买的应用之前,请先撤销和删除其他移动设备管理 (MDM) 供应商使用的任何现有位置令牌。
- 仅支持一次在一个 Intune 租户上使用一个位置令牌。 不要将同一个令牌重复用于多个 Intune 账户。
- 默认情况下,Intune 会每天将位置令牌与 Apple 同步一次。 你可以在任何时候从 Intune 启动手动同步。
- 将位置令牌导入 Intune 之后,不要将同一令牌导入任何其他设备管理解决方案。 这样做可能导致许可证分配和用户记录丢失。
从 Volume Purchase Program (VPP) 迁移到应用和书籍
如果组织尚未迁移到 Apple Business Manager 或 Apple School Manager,请参阅有关迁移到应用和书籍的 Apple 指南,然后再继续管理 Intune 中已购买的应用。
重要
- 为了获得最佳迁移体验,每个位置只迁移一个 VPP 购买者。 如果每个购买者都迁移到唯一位置,则所有许可证(已分配和未分配)都将迁移到应用和书籍。
- 请勿删除 Intune 中的现有旧 VPP 令牌,或在 Intune 中删除与现有旧版 VPP 令牌关联的应用和分配。 这些操作将要求在 Intune 中重新创建所有应用分配。
按照以下步骤将现有已购买的 VPP 内容和令牌迁移到 Apple Business Manager 或 Apple School Manager 中的应用和书籍:
- 邀请 VPP 购买者加入你的组织,并指导每个用户选择一个唯一位置。
- 在继续前,请确保组织内的所有 VPP 购买者都已完成步骤 1。
- 验证所有购买的应用和许可证是否均已迁移到 Apple Business Manager 或 Apple School Manager 中的应用和书籍。
- 转到 Apple Business (或 School) Manager>你的名称>首选项>付款和计费>应用和书籍>内容令牌下载来下载新的位置令牌>。
- 通过转到租户管理>连接器和令牌Apple VPP 令牌并>手动上传令牌,更新 Microsoft Intune 管理中心中的位置令牌。
上传 Apple VPP 或 Apple 商务管理位置令牌
- 登录到Microsoft Intune管理中心。
- 选择“租户管理”>“连接器和令牌”>“Apple VPP 令牌”。
- 在 VPP 令牌列表窗格中,选择“创建”。 将显示“创建 VPP 令牌”进程。 创建 VPP 令牌时使用了四个页面。 第一个是“基本”。
- 在“基本信息”页上,指定下列信息:
- 令牌名称 - 用于设置令牌名称的管理字段。
- Apple ID - 输入与上传的令牌关联的帐户的托管 Apple ID。
- VPP 令牌文件 - 如果尚未注册,请注册 Apple Business Manager 或 Apple School Manager。 注册后,为您的帐户下载 Apple 商务管理位置令牌(Apple VPP 令牌),并在此处选择它。
- 单击“下一步”以显示“设置”页面。
- 在“设置”页上,指定以下信息:
控制另一个 MDM 的令牌 - 将此选项设置为“是”以允许将令牌从另一个 MDM 解决方案重新分配给 Intune。
国家/地区 - 选择 VPP 国家/地区应用商店。 Intune 将同步指定 VPP 国家/地区应用商店中所有区域设置对应的 VPP 应用。
警告
对于使用此令牌创建的应用,更改国家/地区将更新应用元数据,并在下次与 Apple 服务同步时存储 App Store URL。 如果应用未在新的国家/地区应用商店中提供,则不会更新该应用。
VPP 帐户类型 - 从“企业版”或“教育版”中进行选择。
自动应用更新 - 从“是”或“否”中选择,以启用自动更新。 启用后,Intune 将在应用商店内检测 VPP 应用更新,并在设备进行签入时自动将这些更新推送到设备中。
注意
Apple VPP 应用的自动应用更新将针对“必需”和“可用”安装意向进行自动更新。 但是,在这两种情况下,如果设备已签入,但更新未安装,则预期会暂时报告错误消息 “0x87D13B9F/VPP 应用已安装,但有较新版本可用 ”。 下次检查时,只要用户仍包含在“必需”或“可用”分配中,Intune 就会向设备发送 install 命令。 但是,如果从分配中删除用户或设备,即使 Intune 最初安装了该应用,Intune 也不会再向该特定应用推送更新。
更新 VPP 应用时,设备最多可能需要 24 小时才能接收更新后的 VPP 应用。 设备必须解锁并可用才能成功安装更新。
如果将 Apple VPP 应用的应用安装意向从 “必需 ”更改为 “可用”,则已安装的应用将停止自动更新。 在意向更改为“可用”后手动安装应用应恢复自动更新。
我授权 Microsoft 向 Apple 发送用户和设备信息。 - 必须选择“我同意”才能继续。 若要查看 Microsoft 向 Apple 发送的数据,请参阅 Intune 向 Apple 发送的数据。
- 单击“下一步”以显示“作用域标记”页面。
- 单击“选择作用域标记”可以选择为应用添加作用域标记。 有关详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和作用域标记。
- 单击“下一步”以显示“查看 + 创建”页。 查看为 VPP 令牌输入的值和设置。
- 完成后,单击“创建”。 该令牌显示在“令牌列表”窗格中。
同步 VPP 令牌
可以通过为所选令牌选择“同步”,在 Intune 中为已购买的应用同步应用名称、元数据和许可证信息。
分配批量购买的应用
选择“应用”>“所有应用”。
在应用列表窗格中,选择要分配的应用,然后选择“属性”。 选择“分配”旁边的“编辑”。
在“分配”选项卡上,选择应用是“必需”还是“可用于已注册的设备”。
选择所选分配类型下的“添加组”,然后在“选择组”窗格上选择要将应用分配到Microsoft Entra用户或设备组。
注意
为 Apple Volume Purchase Program (VPP) 应用创建新分配时,默认许可证类型为“设备”。 现有分配将保持不变。
完成后,选择“保存”。
注意
设备组不支持可用部署意图,仅用户组支持。 所显示的应用列表中的每个应用与一个令牌相关联。 如果具有一个与多个 VPP 令牌相关联的应用,会看到同一应用显示多次,一次对应一个令牌。
注意
在用户启动应用程序安装之前,分配为“可用”的应用不会在设备上进行管理。 安装分配为“可用”的应用或用户尝试安装该应用程序后,Intune 将确保应用获得许可。
注意
Intune(或其他任何相关 MDM)不会安装 VPP 应用。 Intune 会连接到 VPP 帐户,并告诉 Apple 将哪些应用许可证分配到哪些设备。 从这里开始,所有实际安装都由 Apple 和设备进行协调。
VPP 的最终用户提示
在许多场景下,最终用户都将收到 VPP 应用安装的提示。 下表分别介绍了每种情况:
| # | 应用场景 | 邀请到 Apple VPP 计划 | 应用安装提示 | Apple ID 提示 |
|---|---|---|---|---|
| 1 | BYOD - 用户已获许可(非用户注册设备) | Y | Y | Y |
| 2 | Corp - 用户已获许可(不受监督的设备) | Y | Y | Y |
| 3 | Corp - 用户已获许可(受监督的设备) | Y | N | Y |
| 4 | BYOD - 设备已获许可 | N | Y | N |
| 5 | CORP - 设备已获许可(不受监督的设备) | N | Y | N |
| 6 | CORP - 设备已获许可(受监督的设备) | N | N | N |
| 7 | 展台模式(受监督的设备)- 设备已获许可 | N | N | N |
| 8 | 展台模式(受监督的设备)- 用户已获许可 | --- | --- | --- |
注意
在受监督设备上运行的用户和设备许可应用 (上表中的方案 3 和 6,如果应用正在使用或在后台运行,) 仍会提示更新。 接受安装应用的提示可能不会导致应用安装。 若要更新应用,你必须:关闭应用、启动同步,并在应用更新时保持设备解锁状态。
注意
不建议使用用户许可将 VPP 应用分配给展台模式设备。
注意
当设备处于单应用模式锁定时,无法更新任何应用。 需要退出单应用模式足够长的时间才能根据需要更新应用。 在此期间,应尽可能限制可见应用,但“设置”和其他无法阻止的应用除外。
撤销应用许可证
可根据给定的设备、用户或应用,撤销所有关联的 iOS/iPadOS 或 macOS 批量采购计划 (VPP) 应用许可证。 但 iOS/iPadOS 与 macOS 平台之间有一些差异。
| 操作 | iOS/iPadOS | macOS |
|---|---|---|
| 删除应用分配 | 删除应用分配是吊销应用许可证的先决条件。 删除用户的应用分配时,在将分配更改为“卸载”之前,Intune 不会回收用户或设备许可证。 如果在安装应用时删除了应用分配,并且从未将其分配为“卸载”,它将保持安装状态,但不再向用户或设备提供安装。 | 删除应用分配是吊销应用许可证的先决条件。 删除用户的应用分配时,在将分配更改为“卸载”之前,Intune 不会回收用户或设备许可证。 如果在安装应用时删除了应用分配,并且从未将其分配为“卸载”,它将保持安装状态,但不再向用户或设备提供安装。 |
| 吊销应用许可证 | 删除应用分配后,可以使用“撤销许可证”操作从用户或设备回收 应用许可证 。 必须将分配更改为“卸载”才能从设备中删除应用并吊销应用许可证。 | 删除应用分配后,可以使用“撤销许可证”操作从用户或设备回收 应用许可证 。 设备上使用已撤销的许可证的 macOS 应用仍然可用,但只有向用户或设备重新分配许可证后它才可以更新。 根据 Apple 的规定,超过 30 天的宽限期后,将删除此类应用。 必须将分配更改为“卸载”才能从设备中删除应用并吊销应用许可证。 |
注意
- 当员工离开公司并且不再属于Microsoft Entra组时,Intune 会回收应用许可证。
- 当使用“卸载”意向分配购买的应用时,Intune 将回收许可证并卸载应用。
- 从 Intune 管理中删除设备时,不会回收应用许可证。
- 从Microsoft Entra ID 中删除用户时,Intune 将吊销应用许可证。
- Intune 仅支持撤销满足以下条件的 VPP 应用许可证:
- VPP 应用许可证必须由 Intune 分配
- VPP 应用许可证适用于由 Intune 管理的设备
- VPP 应用许可证与设备仍存在 Intune 设备记录的设备相关
删除 VPP 令牌
可以使用控制台删除 Apple Volume Purchase Program (VPP) 令牌。 当你有重复的 VPP 令牌实例时,可能需要执行此操作。 删除令牌也将删除任何关联的应用和分配。 删除令牌会撤消关联的应用许可证,但不会卸载应用。
注意
删除令牌后,Intune 不能撤销应用许可证。
若要撤销适用于给定 VPP 令牌的所有 VPP 应用的许可证,必须首先撤销所有与令牌相关联的应用许可证,然后删除令牌。
续订 VPP 令牌或 Apple 商务管理位置令牌
可以通过从 Apple Business Manager 或 Apple School Manager 重新下载令牌并更新 Intune 中的现有令牌来续订 Apple Business Manager 位置令牌(Apple VPP 令牌)。
若要续订 Apple 商务管理位置令牌(Apple VPP 令牌),请按以下步骤操作:
- 导航到 Apple Business Manager 或 Apple School Manager。
- 在 Apple Business Manager(或 Apple School Manager)中下载现有令牌,方法是选择“偏好设置”>“支付和账单”>“应用和书籍”>“服务器令牌”。
- 通过选择租户管理>连接器和令牌>Apple VPP 令牌,在管理中心Microsoft Intune更新令牌。
- 选择要续订的 VPP 令牌,单击“基本”类别上的“编辑”,在此页上传新令牌,然后保存所做的更改。
注意
当在 Apple Business Manager 中设置令牌的用户更改其密码,或用户离开 Apple Business Manager 组织时,必须续订现有 Apple VPP 令牌或位置令牌。 未续订的令牌将在 Intune 中显示为“无效”状态。
配置 VPP 应用的更新
可以使用 “阻止 自动更新”设置,在每应用分配级别控制 Apple VPP 的自动更新行为。 “阻止自动更新”设置依赖于令牌级别的“允许自动更新”设置。 若要使用 “阻止自动更新”,必须将 “允许自动更新” 设置设置为 “是”。 通过选择“应用>iOS/iPadOS 或 macOS>选择批量购买计划应用>属性>分配”,Microsoft Intune管理中心提供此设置。
删除 VPP 应用
你可以删除未关联任何可用或已用许可证的已购买应用。 这可能是清理不再分配的应用所必需的。
若要删除 VPP 应用,请执行以下步骤:
- 在 Apple Business Manager 或 Apple School Manager 中创建一个新位置。
- 吊销使用关联的位置令牌的应用的所有许可证。 在“Microsoft Intune管理中心”中,选择“应用>”“所有应用>”选择应用以删除>“应用许可证”“>撤销许可证”。
- 在 Apple Business Manager 或 Apple School Manager 中,将应用的所有许可证从原始位置传输到新位置。
- 在管理中心Microsoft Intune同步位置令牌。
- 在管理中心Microsoft Intune删除应用,方法是选择“应用>”“所有应用>”,右键单击该应用以删除>“删除”。
删除 VPP 应用会导致以下结果:
- 将删除关联的应用分配。
- 如果 VPP 应用在尝试删除时已分配了许可证,则会显示错误。
注意
不会删除与 VPP 令牌关联的已购买书籍。
分配 VPP 自定义角色权限
可以利用分配给 Intune 自定义管理员角色的权限独立控制 Apple 商务管理位置令牌和应用(Apple VPP 令牌和 VPP 应用)访问。
- 若要允许 Intune 自定义角色管理 Apple Business Manager 位置令牌,请在Microsoft Intune管理中心选择“租户管理>连接器和令牌>”“Apple VPP 令牌”,为托管应用分配权限。
- 若要允许 Intune 自定义角色管理使用 iOS/iPadOS VPP 令牌购买的应用,请在“应用”>“所有应用”中分配对“移动应用”的权限。
注意
只能使用分配的移动应用权限查看和管理 VPP 应用 。 以前,需要 托管应用 权限才能查看和管理 VPP 应用。 此更改不适用于仍需要分配 托管应用 权限的 Intune 教育版租户。
其他信息
Apple 提供针对创建和续订 VPP 令牌的直接协助。 有关详细信息,请参阅 Apple 文档一部分的使用批量采购计划 (VPP) 将内容分发给用户。
如果在 Intune 中指示了“分配给外部 MDM”,你(管理员)必须从第三方 MDM 中删除 VPP 令牌,然后才能使用 Intune 中的 VPP 令牌。
如果某个令牌的状态为“重复”,则已上载多个具有相同令牌位置的令牌。 删除重复的令牌以重新开始同步令牌。 你仍然可以为标记为重复的令牌分配和撤销许可证。 但是,令牌标记为重复后,购买的新应用和书籍的许可证可能不会反映出来。
常见问题解答
可以上传多少个令牌?
最多可在 Intune 中上传 3000 个令牌。
从设备中安装和删除应用后,门户需要多长时间来更新许可证计数?
安装或卸载应用后,许可证会在几小时内更新。 请注意,如果最终用户从设备中删除应用,许可证仍将继续分配给该用户或设备。
是否可以超额订阅应用,如可以,请指明情况。
是。 Intune 管理员可以超额订阅应用。 例如,如果管理员针对应用 XYZ 购买 100 个许可证,然后将应用分配给包含 500 个成员的组。 则前 100 个成员(用户或设备)将分配到许可证,而其余成员不会获得许可证分配。
注意
当特定应用的已用许可证数量大于或等于可用许可证总数的 50% 时,“注册警报”选项卡下将出现警报。当应用的已用许可证数量小于可用许可证总数的 50% 时,警报将消失。
后续步骤
有关帮助监视应用分配的信息,请参阅如何监视应用。
有关解决应用相关问题的信息,请参阅如何排查应用问题。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈