使用 Microsoft Intune 將應用程式指派給群組
將應用程式新增至Microsoft Intune之後,您可以將應用程式指派給使用者和裝置。 請務必注意,無論裝置是否由Intune管理,您都可以將應用程式部署到裝置。
注意
將 Android Enterprise (完全受控裝置的目標設為 COBO) 和 Android Enterprise 公司擁有的個人 () 裝置時,使用者 群組 和 裝置群組 支援 「適用于已註冊 的裝置」部署意圖。
下表列出 將應用程式指派給 使用者和裝置的各種選項:
| 選項 | 向 Intune 註冊的裝置 | 未向 Intune 註冊的裝置 |
|---|---|---|
| 指派給使用者 | 是 | 是 |
| 指派給裝置 | 是 | 否 |
| 指派已包裝的應用程式或應用程式,併入應用程式保護原則的Intune SDK () | 是 | 是 |
| 將應用程式指派為可用 | 是 | 是 |
| 將應用程式指派為必要專案 | 是 | 否 |
| 卸載應用程式 | 是 | 否 |
| 從 Intune 接收應用程式更新 | 是 | 否 |
| 終端使用者從公司入口網站應用程式安裝可用的應用程式 | 是 | 否 |
| 終端使用者會從網頁型公司入口網站安裝可用的應用程式 | 是 | 是 |
注意
目前,您可以將 iOS/iPadOS 和 Android 應用程式指派 (企業營運和市集購買的應用程式,) 指派給未向Intune註冊的裝置。
若要在未向 Intune 註冊的裝置上收到應用程式更新,裝置使用者必須前往其組織的公司入口網站,然後手動安裝應用程式更新。
可用的指派 僅適用于使用者群組,而非裝置群組。
如果在 Android Enterprise 個人擁有的工作設定檔裝置上,如有需要指派受控 Google Play 生產前追蹤應用程式,它們將不會安裝在裝置上。 若要解決這個問題,請建立兩個相同的使用者群組,並將生產前曲目指派為「可用」給其中一個,並將「必要」指派給另一個。 結果是生產前追蹤會成功部署到裝置。
指派應用程式
選取 [應用程式] > [所有應用程式]。
在 [ 應用程式] 窗格中,選取您要指派的應用程式。
在功能表的 [ 管理] 區段中,選取 [ 指派]。
選 取 [新增群組 ] 以開啟與應用程式相關的 [ 新增群組 ] 窗格。
針對特定應用程式,選取指 派類型:
適用于已註冊的裝置:將應用程式指派給可從公司入口網站應用程式或網站安裝應用程式的使用者群組。
不需註冊即可使用:將此應用程式指派給裝置未向Intune註冊的使用者群組。 使用者必須獲指派Intune授權,請參閱Intune授權。
必要:應用程式會安裝在所選群組中的裝置上。 某些平臺可能會有額外的提示,讓終端使用者在應用程式安裝開始之前確認。
卸載:如果Intune先前已透過使用相同部署的「適用于已註冊的裝置」或「必要」指派將應用程式安裝到裝置上,則會從選取群組中的裝置卸載應用程式。
注意
僅適用于 iOS/iPadOS 應用程式:
- 若要設定當裝置不再受管理時,受控應用程式會發生什麼情況,您可以在裝置 移除時 選取 [卸載] 底下的預定設定。 如需詳細資訊,請參閱 iOS/iPadOS 受控應用程式的應用程式卸載設定。
- 如果您已建立包含個別應用程式 VPN 設定的 iOS/iPadOS VPN 設定檔,您可以在 VPN 下選取 VPN 設定檔。 執行應用程式時,會開啟 VPN 連線。 如需詳細資訊,請參閱 iOS/iPadOS 裝置的 VPN 設定。
- 若要設定使用者是否將必要的 iOS/iPadOS 應用程式安裝為抽取式應用程式,您可以選取 [ 安裝為卸載式] 底下的設定。
僅適用于 Android 應用程式:
- 如果您將 Android 應用程式部署為 [無論註冊是否可用],報告狀態將僅適用于已註冊的裝置。
針對 [適用于已註冊的裝置]:
- 只有在登入公司入口網站的使用者是註冊裝置的主要使用者,且應用程式適用于裝置時,應用程式才會顯示為可用。
若要選取受此應用程式指派影響的使用者群組,請選取 [ 包含的群組]。
選取要包含的一或多個群組之後,請選取 [ 選取]。
在 [ 指派] 窗格中,選取 [ 確定] 以完成包含的群組選取。
如果您想要排除任何使用者群組不受此應用程式指派影響,請選取 [ 排除群組]。
如果您已選擇排除任何群組,請在 [ 選取群組] 中選取 [ 選取]。
在 [ 新增群組 ] 窗格中,選取 [ 確定]。
在 [應用程式 指派] 窗格中,選取 [ 儲存]。
應用程式現在會指派給您選取的群組。 如需包含和排除應用程式指派的詳細資訊,請參閱 包含和排除應用程式指派。
提示
Intune也支援將應用程式指派給巢狀群組。 例如,如果您將應用程式指派給「工程通用」群組,並以「工程 APAC」、「工程 EMEA」和「工程美國」巢狀為子群組,則這些子群組的成員也會以指派為目標。
如何解決應用程式意圖之間的衝突
單一群組無法以多個應用程式指派意圖為目標,不過,如果使用者或裝置是多個群組的成員,且每個群組都以不同的意圖指派,則會導致衝突。 不建議為應用程式建立指派衝突。 下表中的資訊可協助您瞭解發生衝突時所產生的意圖:
| 群組 1 意圖 | 群組 2 意圖 | 產生的意圖 |
|---|---|---|
| 需要使用者 | 使用者可用 | 必要和可用 |
| 需要使用者 | 使用者卸載 | 必要 |
| 使用者可用 | 使用者卸載 | 解除安裝 |
| 需要使用者 | 需要裝置 | 兩者都存在,Intune處理必要專案 |
| 需要使用者 | 裝置卸載 | 兩者都存在,Intune解決必要 |
| 使用者可用 | 需要裝置 | 兩者都存在,Intune解析必要 (和可用) |
| 使用者可用 | 裝置卸載 | 兩者都存在,Intune解析 [可用]。 應用程式會顯示在公司入口網站中。 如果應用程式已安裝 (為具有先前意圖) 的必要應用程式,則會卸載應用程式。 如果使用者 從公司入口網站 選取 [安裝],則會安裝應用程式,且不接受卸載意圖。 |
| 使用者卸載 | 需要裝置 | 兩者都存在,Intune解決必要 |
| 使用者卸載 | 裝置卸載 | 兩者都存在,Intune解析卸載 |
| 需要裝置 | 裝置卸載 | 必要 |
| 使用者必要且可用 | 使用者可用 | 必要和可用 |
| 使用者必要且可用 | 使用者卸載 | 必要和可用 |
| 使用者必要且可用 | 需要裝置 | 同時存在、必要和可用 |
| 使用者必要且可用 | 裝置卸載 | 兩者都存在,Intune解析必要 (和可用) |
| 使用者不需註冊即可使用 | 使用者必要且可用 | 必要和可用 |
| 使用者不需註冊即可使用 | 需要使用者 | 必要 |
| 使用者不需註冊即可使用 | 使用者可用 | 可以使用 |
| 使用者不需註冊即可使用 | 需要裝置 | 必要且不註冊即可使用 |
| 使用者不需註冊即可使用 | 裝置卸載 | 卸載且不需註冊即可使用。 如果使用者未從公司入口網站安裝應用程式,則會接受卸載。 如果使用者從公司入口網站安裝應用程式,安裝會優先于卸載。 |
注意
僅適用于受控 iOS 市集應用程式,當您將這些應用程式新增至 Microsoft Intune,並將其指派為 必要 時,會自動建立具有 必要 和 可用 意圖的應用程式。
iOS 市集應用程式 (非 iOS/iPadOS VPP 應用程式) 在裝置簽入時,會在裝置上強制執行以必要意圖為目標的應用程式,也會顯示在公司入口網站應用程式中。
當裝置 移除設定的 [卸載 ] 中發生衝突時,當裝置不再受管理時,不會從裝置移除應用程式。
注意
部署為公司擁有之工作設定檔裝置所需之應用程式無法由使用者手動卸載。
將受控 Google Play 應用程式部署至非受控裝置
對於未註冊的 Android 裝置,您可以使用受控 Google Play 將市集應用程式和企業營運 (LOB) 應用程式部署給使用者。 部署之後,您可以使用 行動應用程式管理 (MAM) 來管理應用程式。 受控 Google Play 應用程式目標為 [無論是否可註冊] 都會出現在終端使用者裝置上的 Play Store 應用程式中,而不是在公司入口網站應用程式中。 終端使用者會從 Play 應用程式以這種方式流覽和安裝部署的應用程式。 由於應用程式是從受控 Google Play 安裝的,因此終端使用者不需要變更其裝置設定,即可允許從未知來源安裝應用程式,這表示裝置將會更安全。 如果應用程式開發人員將安裝在使用者裝置上的新版應用程式發佈至 Play,則 Play 會自動更新應用程式。
將受控 Google Play 應用程式指派給非受控裝置的步驟:
將您的Intune租使用者連線到受控 Google Play。 如果您已經這麼做來管理 Android Enterprise 個人擁有、專用、完全受控或公司擁有的工作設定檔裝置,則不需要再執行一次。
從受控 Google Play 將應用程式新增至Intune主控台。
以受控 Google Play 應用程式為目標,無論是否向所需的使用者群組 註冊都可 使用。 未 註冊的裝置不支援必要和 卸載 應用程式目標。
將應用程式保護原則指派給使用者群組。
使用者記錄在任何受保護的應用程式中。
下次使用者開啟公司入口網站應用程式並完成登入程式時,他們會在 [應用程式] 區段中看到一則訊息,指出有應用程式可供他們使用。 使用者可以選取此通知來流覽至 Play Store。
注意
您可以將 裝置註冊設定選項 設定為 [可用]、[沒有提示 ] 或 [ 無法使用]。 此設定可防止使用者在登入公司入口網站之後,無意中註冊其裝置,或收到註冊其裝置的通知。
終端使用者可以展開 Play Store 應用程式內的操作功能表,並切換其個人 Google 帳戶 (看到其個人應用程式) 的位置,以及其工作帳戶 (其中,他們會看到以他們為目標的市集和 LOB 應用程式) 。 終端使用者會點選 [在 Play Store 應用程式中安裝] 來安裝應用程式。
當應用程式選擇性抹除在Intune主控台中發出時,工作帳戶將會自動從 Play Store 應用程式中移除,而使用者會從該時間點看到 Play Store 應用程式目錄中的工作應用程式。 從裝置移除工作帳戶時,從 Play Store 安裝的應用程式會保留在裝置上,且不會卸載。
iOS 受控應用程式的應用程式卸載設定
針對 iOS/iPadOS 裝置,您可以選擇將裝置從Intune取消註冊,或在 裝置移除設定上使用 [卸載] 移除管理設定檔時,受控應用程式會發生什麼情況。 此設定僅適用于註冊裝置並以受控方式安裝應用程式之後的應用程式。 無法為 Web 應用程式或 Web 連結設定此設定。 只有行動應用程式管理 (MAM) 所保護的資料會在應用程式選擇性抹除淘汰之後移除。
新指派會預先填入設定的預設值,如下所示:
| iOS 應用程式類型 | [裝置移除時卸載] 的預設設定 |
|---|---|
| 企業營運應用程式 | 是 |
| 市集應用程式 | 否 |
| VPP 應用程式 | 否 |
| 內建應用程式 | 否 |
注意
「可用」指派類型: 如果您要將此設定更新為「適用于已註冊的裝置」或「可使用或不含註冊」群組,則在使用者同步裝置與Intune並重新安裝應用程式之前,已擁有受控應用程式的使用者將不會取得更新的設定。
預先存在的指派: 應用程式卸載設定是在 2019 年 5 月導入。 在此日期之前存在的指派未修改,而且所有受控應用程式都會在裝置從管理中移除時移除。 如果您的指派是在 2019 年 5 月之前建立,您可能需要明確設定應用程式卸載設定,因為上述預設設定可能不適用。
後續步驟
若要深入瞭解監視應用程式指派,請參閱 如何監視應用程式。