使用 Microsoft Intune 将应用分配到组

向用户添加应用Microsoft Intune,你可以将应用分配给用户和设备。 请注意,无论设备是否由 Intune 管理,都可以将应用部署到设备。

备注

仅在面向 Android Enterprise 完全托管设备 ( COBO) 和 Android Enterprise 企业拥有的个人启用的 (使用一台(一台或多台设备)) 设备时,才支持适用于已注册设备部署意图。

下表列出了向用户 和设备分配应用 的各种选项:

选项 使用 Intune 注册的设备 未注册 Intune 的设备
分配给用户
分配给设备
为应用保护策略分配合并 Intune SDK (包装的应用)
将应用分配为可用
将应用分配为必需
卸载应用
从 Intune 接收应用更新
最终用户从应用程序安装公司门户应用程序
最终用户从基于 Web 的网站安装可用的公司门户

备注

目前,可以将 iOS/iPadOS 和 Android (业务线和应用商店购买的应用) 分配给未注册 Intune 的设备。

若要在未注册 Intune 的设备上接收应用更新,设备用户必须转到其组织的公司门户,并手动安装应用更新。

可用分配 仅对用户组有效,对设备组无效。

分配应用

  1. 登录到 Microsoft Endpoint Manager 管理中心

  2. 选择“应用” > “所有应用”。

  3. "应用 "窗格中,选择要分配的应用。

  4. 在菜单 的" 管理"部分,选择"分配 "。

  5. 选择 "添加"以打开 与应用程序相关的"添加组"窗格。

  6. 对于特定应用,选择分配 类型

    • 适用于已注册的设备:将应用分配给可以从应用或网站安装应用的公司门户组。

    • 在注册或不注册的情况下可用:将该应用分配给其设备未注册 Intune 的用户组。 必须为用户分配 Intune 许可证,请参阅 Intune 许可证

    • 必需:应用安装在所选组中的设备上。 某些平台可能会提示最终用户在应用安装开始之前确认。

    • 卸载:如果 Intune 之前已使用同一部署通过"适用于已注册设备"或"必需"分配将应用程序安装到设备,则从所选组的设备卸载应用。

      备注

      仅对于 iOS/iPadOS 应用

      • 若要配置在不再管理设备时托管应用会发生什么情况,可以在"删除设备时卸载"下选择 预期设置。 有关详细信息,请参阅 iOS/iPadOS 托管应用的应用卸载设置
      • 如果你已创建包含每个应用 VPN 设置的 iOS/iPadOS VPN 配置文件,可以在 VPN 下选择 VPN 配置文件。 当应用运行时,将打开 VPN 连接。 有关详细信息,请参阅 iOS/iPadOS 设备的 VPN 设置
      • 若要配置最终用户是否将所需的 iOS/iPadOS 应用作为可移动应用安装,可以选择"安装为可移动 "下的设置

      仅适用于 Android 应用

      • 如果你将 Android 应用部署为"随注册可用"或"不注册 ", 则报告状态将仅在已注册的设备上可用。

      对于适用于已注册的设备

      • 只有当登录应用的用户是注册设备的主要公司门户并且应用适用于设备时,该应用才显示为可用。
  7. 若要选择受此应用分配影响的用户组,请选择"包含 的组"。

  8. 选择要包含的一个或多个组后,选择"选择 "。

  9. 在" 分配" 窗格中, 选择"确定 "以完成包含的组选择。

  10. 如果想排除受此应用分配影响的任何用户组,请选择“排除组”。

  11. 如果已选择排除任何组,请在“选择组”中选择“选择”。

  12. 在"添加组"窗格中,选择"确定 "。

  13. 在"应用 分配" 窗格中,选择"保存 "。

现在,应用将分配给所选的组。 有关包括和排除应用分配的信息,请参阅 包括和排除应用分配

如何解决应用意图冲突

阻止将单个组作为多个应用分配意图的目标,但是,如果用户或设备是多个组的成员,而每个组都分配有不同的意图,则会导致冲突。 不建议为应用程序创建分配冲突。 下表中的信息可帮助您了解发生冲突时产生的意图:

组 1 意图 组 2 意图 产生的意图
用户必填 用户可用 必需和可用
用户必填 用户卸载 必需
用户可用 用户卸载 卸载
用户必填 需要设备 这两者都存在,Intune 将视为必需
用户必填 设备卸载 这两者都存在,Intune 解析 Required
用户可用 需要设备 两者都存在,Intune 将解析"必需 ("和"可用")
用户可用 设备卸载 这两者都存在,Intune 解析可用。

应用显示在公司门户。

如果应用已作为所需的应用 (,并打算安装) ,则卸载该应用。

如果用户从安装程序中选择"安装公司门户,将安装应用,并且卸载意图将不存在。
用户卸载 需要设备 这两者都存在,Intune 解析 Required
用户卸载 设备卸载 这两者都存在,Intune 将解析 Uninstall
需要设备 设备卸载 必需
用户必需和可用 用户可用 必需和可用
用户必需和可用 用户卸载 必需和可用
用户必需和可用 需要设备 两者同时存在、必需和可用
用户必需和可用 设备卸载 两者都存在,Intune 将解析"必需 ("和"可用")
用户无需注册即可使用 用户必需和可用 必需和可用
用户无需注册即可使用 用户必填 必需
用户无需注册即可使用 用户可用 可用
用户无需注册即可使用 需要设备 必需和可用(无需注册)
用户无需注册即可使用 设备卸载 卸载和可用,无需注册。

如果用户未从安装程序安装应用,公司门户卸载。

如果用户从安装程序安装应用公司门户,则安装将优先进行卸载。

备注

仅对于托管的 iOS 应用商店应用,当你将这些应用添加到 Microsoft Intune并将其分配为 必需 时,将自动创建具有 必需可用 意图的应用。

iOS 应用商店应用 (iOS/iPadOS VPP 应用) 在设备签入时将在设备上强制执行,并且还会显示在 公司门户 应用中。

在"在设备删除 时卸载 "设置中发生冲突时,当不再管理设备时,不会从设备中删除应用。

托管 Google Play 应用部署到非托管设备

对于未注册 (APP-WE) 部署方案中的非注册应用保护策略中的 Android 设备,可以使用托管 Google Play 向用户部署应用商店应用和业务线 (LOB) 应用。 定向为可注册或不注册的托管 Google Play 应用将显示在最终用户设备的 Play Store 应用中,而不是 公司门户 应用中。 最终用户将浏览并安装通过此方式从 Play 应用部署的应用。 由于应用从托管 Google Play 安装,最终用户无需更改其设备设置以允许从未知源安装应用,这意味着设备将更安全。 如果应用开发人员发布在用户设备上安装的要播放应用的新版本,则应用将自动更新为 Play。

将托管 Google Play 应用分配给非托管设备的步骤:

  1. 连接 Intune 租户托管 Google Play。 如果为了管理 Android Enterprise、专用、完全托管或公司拥有的工作配置文件设备,则无需再次执行。

  2. 将托管 Google Play 中的应用添加到 Intune 控制台。

  3. 将托管 Google Play 应用作为 可用目标(可注册或不 注册到所需用户组)。 非****注册 设备不支持必需和卸载应用目标。

  4. 向用户组分配应用保护策略。

  5. 用户登录到任何受保护的应用中。

  6. 最终用户下次打开 公司门户 应用并完成登录过程时,将在"应用"部分看到一条消息,指示有应用可供他们使用。 用户可以选择此通知以导航到 Play Store。

    备注

    你可以将 设备注册设置选项配置为可用 、无提示或****不可用。 此设置将防止用户在登录设备后无意中注册设备或接收注册设备公司门户。

  7. 最终用户可以展开 Play Store 应用中的上下文菜单,并在其个人 Google 帐户 ((可在其中查看其个人应用) )和工作帐户 ((将在其中看到面向他们的应用商店和 LOB 应用)) 进行切换。 最终用户通过点击"Play Store"应用中的"安装"来安装应用。

在 Intune 控制台中发出应用选择性擦除时,工作帐户将自动从 Play Store 应用中删除,并且最终用户将不会再看到 Play Store 应用目录中的工作应用。 从设备中删除工作帐户后,从 Play Store 安装的应用将保留在设备上安装,并且不会卸载。

iOS 托管应用的应用卸载设置

对于 iOS/iPadOS 设备,你可以选择从 Intune 注销设备或使用"在设备删除时卸载"设置删除管理配置文件时托管 的应用会发生什么情况 。 此设置仅适用于设备注册后的应用,并且应用以托管方式安装。 无法为 Web 应用或 Web 链接配置该设置。 只有在停用应用选择性擦除 (MAM) 移动应用管理保护的数据才被删除。

此设置的默认值会针对新工作分配预填充,如下所示:

iOS 应用类型 "删除设备时卸载"的默认设置
业务线应用
应用商店应用
VPP 应用
内置应用

备注

"可用"分配类型: 如果要为"适用于已注册的设备"或"随注册或不注册"组更新此设置,则已拥有托管应用的用户将不会获得更新的设置,除非他们使用 Intune 同步设备并重新安装该应用。

预先存在的分配: 应用卸载设置于 2019 年 5 月引入。 此日期之前已存在的分配未经修改,所有托管应用将在设备从管理中删除时删除。 如果你的工作分配是在 2019 年 5 月之前创建的,你可能需要显式设置应用卸载设置,因为上面的默认设置可能不适用。

后续步骤

若要了解有关监视应用分配的信息,请参阅 如何监视应用