如何使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式

Apple 讓您使用 Apple Business ManagerApple School Manager,針對您想要在組織中用於 iOS/iPadOS 和 macOS 裝置上的應用程式購買多個授權。 您可以將您的大量採購資訊與 Intune 同步處理,並追蹤大量採購的應用程式使用情況。 購買應用程式授權可協助您有效地管理公司內的應用程式,並保留對已購買之應用程式的擁有權和控制。

Microsoft Intune 可藉由下列方式協助您管理透過此方案所購買的應用程式:

  • 同步您從 Apple Business Manager 所下載的位置權杖。
  • 追蹤有多少已購買的應用程式可供使用及已經使用。
  • 協助您安裝所擁有之最大授權數量的應用程式。

此外,針對從 Apple Business Manager 所購買的書籍,您可以使用 Intune 來針對 iOS/iPadOS 裝置進行同步處理、管理及指派。 如需詳細資訊,請參閱如何管理透過大量採購方案購買的 iOS/iPadOS 電子書

什麼是位置權杖?

位置權杖是大量採購授權,以前稱為大量採購方案 (VPP) 權杖。 這些位置權杖是用於指派及管理使用 Apple Business Manager 購買的授權。 內容管理員可以在 Apple Business Manager 中購買並使用具備權限的位置權杖與授權建立關聯。 接著會從 Apple Business Manager 下載這些位置權杖,並在 Microsoft Intune 中上傳它們。 Microsoft Intune 支援針對每個租用戶上傳多個位置權杖。 每個權杖有效期限為一年。

注意

Apple 大量採購方案 (VPP) 已整合到 Apple Business Manager。 Apple Business Manager 是可供系統管理員部署 Apple 裝置並大量取得內容的入口網站。 內容可能包括應用程式、書籍和自訂應用程式。 位置權杖是用於指派及管理使用 Apple Business Manager 購買的授權。 VPP 現在稱為舊版的 VPP 權杖。

已購買之應用程式的授權方式為何?

您可以使用 Apple 針對 iOS/iPadOS 和 macOS 裝置所提供的兩種授權類型,將已購買的應用程式指派給群組。

動作 裝置授權 使用者授權
App Store 登入 不需要。 在系統提示登入 App Store 時,每個使用者都必須使用唯一的 Apple ID。
裝置設定封鎖對 App Store 的存取 可以使用公司入口網站來安裝及更新應用程式。 您需要存取 App Store 才能加入 Apple Business Manager 的邀請。 如果您已經設定原則來停用 App Store,則 VPP 應用程式的使用者授權將無法運作。
自動應用程式更新 如 Intune 系統管理員在 Apple Business Manager 權杖設定中所設定的。

如果指派類型為 [適用於已註冊的裝置],您也可以透過選取應用程式詳細資料頁面上的 [更新] 動作,從公司入口網站安裝可用的應用程式更新。

如 Intune 系統管理員在 Apple Business Manager 權杖設定中所設定的。

如果指派類型為 [適用於已註冊的裝置],您也可以透過選取應用程式詳細資料頁面上的 [更新] 動作,從公司入口網站安裝可用的應用程式更新。

使用者註冊 不支援。 支援使用受控 Apple ID。
書籍 不支援。 支援。
已使用授權 每個裝置 1 個授權。 授權會與裝置關聯。 1 個授權可用於使用相同個人 Apple ID 的 5 部裝置。 授權會與使用者建立關聯。

在 Intune 中與個人 Apple ID 和受控 Apple ID 關聯的使用者會耗用 2 個應用程式授權。

授權移轉 只有在使用 [必要] 指派類型的情況下,應用程式才能以無訊息方式從使用者授權移轉為裝置授權。 無論是哪種指派類型,應用程式都無法從裝置授權移轉為使用者授權。

注意

公司入口網站不會在 [使用者註冊] 裝置上顯示裝置授權的應用程式,因為在 [使用者註冊] 裝置上僅能安裝使用者授權的應用程式。

當您為 Apple 大量採購方案 (VPP) 建立新的指派時,預設授權類型現在為「裝置」。 現有的指派仍保持不變。

支援哪些應用程式類型?

您可以使用 Apple Business Manager 來購買並發佈公用及私人應用程式。

  • 市集應用程式: 內容管理員可以使用 Apple Business Manager 取得 App Store 中所提供的免費和付費應用程式。
  • 自訂應用程式: 內容管理員也可以使用 Apple Business Manager 取得以私人方式向貴組織提供的自訂應用程式。 這些應用程式會由與您直接合作的開發人員,針對您組織的特定需求量身打造。 深入了解如何散發自訂應用程式 (英文)。

必要條件

重要

  • 單一位置權杖同時只能搭配單一裝置管理解決方案使用。 開始搭配 Intune 使用已購買的應用程式之前,請撤銷並移除搭配其他行動裝置管理 (MDM) 廠商使用的任何現有位置權杖。
  • 單一位置權杖僅支援同時搭配單一 Intune 用戶端使用。 請勿將相同的權杖重複用於多個 Intune 租用戶。
  • 根據預設,Intune 每天會將位置權杖與 Apple 同步兩次。 您可以隨時從 Intune 起始手動同步處理。
  • 在您將位置權杖匯入到 Intune 之後,請不要將相同的權杖匯入到任何其他裝置管理解決方案。 這樣做可能會導致授權指派與使用者記錄遺失。

從大量採購方案 (VPP) 移轉至「App 及書籍」

如果您的組織尚未移轉至 Apple Business Manager 或 Apple School Manager,請檢閱 Apple 針對移轉至 [App 及書籍] 的指引,再繼續於 Intune 中管理已購買的應用程式。

重要

  • 為了獲得最佳的移轉體驗,請針對每個位置僅移轉單一 VPP 購買者。 如果每個購買者都移轉到唯一位置,所有的授權 (包括已指派和未指派的授權) 都會移轉至 [App 及書籍]。
  • 請不要刪除 Intune 中的現有舊版 VPP 權杖,或是 Intune 中與現有舊版 VPP 權杖相關聯的應用程式和指派。 這些動作將需要在 Intune 中重新建立所有應用程式指派。

在 Apple Business Manager 或 Apple School Manager 中將現有的已購買 VPP 內容和權杖移轉至 [App 及書籍] 的步驟如下:

  1. 邀請 VPP 購買者加入您的組織,並引導每個使用者選取唯一的位置。
  2. 在繼續之前,請確定組織內的所有 VPP 購買者都已完成步驟 1。
  3. 確認所有已購買的應用程式和授權都已經移轉至 Apple Business Manager 或 Apple School Manager 中的 [App 及書籍]。
  4. 透過移至 [Apple Business (或 School) Manager] > [設定] > [App 及書籍] > [我的伺服器權杖] 來下載新的位置權杖。
  5. 透過移至 [租用戶系統管理] > [連接器與權杖] > [Apple VPP 權杖] 來更新 Microsoft 端點管理員系統管理中心中的位置權杖,並手動上傳權杖。

上傳 Apple VPP 或 Apple Business Manager 位置權杖

  1. 登入 Microsoft 端點管理員系統管理中心
  2. 選取 [租用戶系統管理] > [連接器與權杖] > [Apple VPP 權杖]
  3. 在 VPP 權杖清單窗格上,選取 [建立]。 [建立 VPP 權杖] 程序隨即顯示。 建立 VPP 權杖時,會使用四個頁面。 第一個是 [基本]。
  4. [基本] 頁面上,指定下列資訊:
    • 權杖名稱 - 用於設定權杖名稱的系統管理欄位。
    • Apple ID - 輸入與已上傳權杖相關聯的帳戶的受控 Apple ID。
    • VPP 權杖檔案 - 如果您尚未這麼做,請註冊 Apple Business Manager 或 Apple School Manager。 註冊之後,請在這裡下載並選取您帳戶的 Apple Business Manager 位置權杖 (Apple VPP 權杖)。
  5. 按一下 [下一步] 以顯示 [設定] 頁面。
  6. 在 [設定] 頁面上,指定下列資訊:
    • 從其他 MDM 中控制權杖 - 將此選項設定為 [是],以允許從其他 MDM 解決方案將權杖重新指派給 Intune。

    • 國家/地區 - 選取 VPP 國家/地區市集。 Intune 會從指定的 VPP 國家/地區市集同步所有地區設定的 VPP 應用程式市集。

      警告

      變更國家/地區將會針對搭配此權杖所建立的應用程式,在下次與 Apple 服務進行更新時更新應用程式中繼資料和 App Store URL。 如果應用程式不存在於新的國家/地區市集,即不會更新應用程式。

    • VPP 帳戶類型 - 請選擇 [商務][教育]

    • 自動更新應用程式 - 請選擇 [是][否] 以啟用自動更新。 啟用時,Intune 會偵測 app store 內的 VPP 應用程式更新,並在裝置簽入時將更新自動推送至裝置。

      注意

      Apple VPP 應用程式的自動應用程式將會針對 必要可用 安裝意圖自動更新。 針對使用 可用 安裝意圖部署的應用程式,自動更新會自動為 IT 系統管理員產生狀態訊息,通知已有可用的新版本應用程式。 透過選取應用程式、選取 [裝置安裝狀態],然後檢查 [狀態詳細資料],即可看到此狀態訊息。

    • 我授權給 Microsoft 傳送使用者及裝置資訊到 Apple。 - 您必須選取 [我同意] 才能繼續。 若要檢視 Microsoft 將哪些資料傳送給 Apple,請參閱 Intune 傳送至 Apple 的資料

  7. 按一下 [下一步] 以顯示 [範圍標籤] 頁面。
  8. 按一下 [選取範圍標籤] 來選擇性地為應用程式新增範圍標籤。 如需詳細資訊,請參閱 針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤
  9. 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。 檢閱您針對 VPP 權杖所輸入的值與設定。
  10. 完成時按一下 [建立]。 該權杖會顯示在權杖清單窗格內。

同步 VPP 權杖

您可以在 Intune 中針對選取的權杖選擇 [同步],來同步您已購買之應用程式的應用程式名稱、中繼資料和授權資訊。

指派大量採購應用程式

  1. 選取 [應用程式] > [所有應用程式]

  2. 在應用程式清單窗格上,選擇您要指派的應用程式,然後選擇 [屬性]。 選取位於 [指派] 旁的 [編輯]

  3. [指派] 索引標籤上,選擇應用程式為 [必要的][適用於已註冊的裝置]

  4. 在您選取的指派類型底下,選擇 [新增群組],然後在 [選取群組] 窗格上選擇您想要指派應用程式的 Azure AD 使用者或裝置群組。

    注意

    當您為 Apple 大量採購方案 (VPP) 建立新的工作分派時,預設授權類型為「裝置」。 現有的指派仍保持不變。

  5. 完成之後,請選擇 [儲存]

注意

可用的部署用途不支援裝置群組,僅支援使用者群組。 顯示的應用程式清單與權杖有關。 如果您的應用程式與多個 VPP 權杖有相關聯,您會看到相同的應用程式顯示多次;每個權杖顯示一次。

注意

Intune (或任何其他 MDM) 實際上不會安裝 VPP 應用程式。 相反地,Intune 會連線到您的 VPP 帳戶,並告訴 Apple 要將哪些應用程式授權指派給哪些裝置。 從該位置,所有實際安裝都會在 Apple 與裝置之間處理。

VPP 的使用者提示

終端使用者將會在許多案例中收到 VPP 應用程式安裝的提示。 下表說明每個條件:

# 案例 邀請加入 Apple VPP 方案 應用程式安裝提示 提示輸入 Apple ID
1 BYOD – 授權的使用者 (非「使用者註冊裝置」裝置) Y Y Y
2 公司 – 授權的使用者 (不受監督的裝置) Y Y Y
3 公司 – 授權的使用者 (受監督的裝置) Y N Y
4 BYOD – 授權的裝置 N Y N
5 公司 – 授權的裝置 (不受監督的裝置) N Y N
6 公司 – 授權的裝置 (受監督的裝置) N N N
7 Kiosk 模式 (受監督的裝置)–授權的裝置 N N N
8 Kiosk 模式 (受監督的裝置) – 授權的使用者 --- --- ---

注意

不建議將 VPP 應用程式指派給使用使用者授權的 Kiosk 模式裝置。

撤銷應用程式授權

您可以根據指定的裝置、使用者或應用程式,撤銷所有相關聯的 iOS/iPadOS 或 macOS 大量採購方案 (VPP) 應用程式授權。 但 iOS/iPadOS 和 macOS 平台之間有一些差異。

動作 iOS/iPadOS macOS
移除應用程式指派 移除應用程式指派是撤銷應用程式授權的先決條件。 當您移除使用者的應用程式指派時,在您撤銷授權之前,Intune 不會回收使用者或裝置授權。 若已安裝應用程式,它會保持已安裝狀態,但不會再將其提供給使用者或裝置進行安裝。 移除應用程式指派是撤銷應用程式授權的先決條件。 當您移除使用者的應用程式指派時,在您撤銷授權之前,Intune 不會回收使用者或裝置授權。 若已安裝應用程式,它會保持已安裝狀態,但不會再將其提供給使用者或裝置進行安裝。
撤銷應用程式授權 移除應用程式指派後,您可以使用 [撤銷授權] 動作,從使用者或裝置回收應用程式授權。 您必須將指派變更為 [解除安裝] 以將應用程式從裝置中移除。 移除應用程式指派後,您可以使用 [撤銷授權] 動作,從使用者或裝置回收應用程式授權。 具有已撤銷授權的 macOS 應用程式仍可在裝置上使用,但必須等到將授權重新指派給使用者或裝置之後,才能更新。 根據 Apple,這類應用程式會在 30 天的寬限期後移除。 您必須將指派變更為 [解除安裝] 以將應用程式從裝置中移除。

注意

  • 當員工離職且不再屬於 AAD 群組時,Intune 會回收應用程式授權。
  • 將 [解除安裝] 意圖指派給已購買的應用程式時,Intune 會同時回收授權並解除安裝應用程式。
  • 從 Intune 管理移除裝置時,並不會回收應用程式授權。

刪除 VPP 權杖

您可以使用主控台來刪除 Apple 大量採購方案 (VPP) 權杖。 當您擁有重複的 VPP 權杖執行個體時,這可能是必要的。 刪除權杖也會刪除任何相關聯的應用程式和指派。 刪除權杖會撤銷相關聯的應用程式授權,但不會將應用程式解除安裝。

注意

刪除權杖之後,Intune 無法撤銷應用程式授權。

若要撤銷指定 VPP 權杖的所有 VPP 應用程式的授權,您必須先撤銷與權杖相關聯的所有應用程式授權,然後刪除權杖。

更新 VPP 權杖或 Apple Business Manager 位置權杖

您可以藉由從 Apple Business ManagerApple School Manager 再次下載權杖並更新 Intune 中的現有權杖,來更新 Apple Business Manager 位置權杖 (Apple VPP 權杖)。

若要更新 Apple Business Manager 位置權杖 (Apple VPP 權杖),請使用下列步驟:

  1. 瀏覽至 Apple Business ManagerApple School Manager
  2. 選取 [設定] > [應用程式和電子書] > [我的伺服器權杖],在 Apple Business (或 School) Manager 中下載現有的權杖。
  3. 選取 [租用戶系統管理] > [連接器與權杖] > [Apple VPP 權杖],更新 Microsoft 端點管理員系統管理中心 的權杖。
  4. 選取您要更新的 VPP 權杖、按一下 [基本] 類別上的 [編輯]、在此頁面上傳新權杖,然後儲存您的變更。

注意

當使用者已在 Apple Business Manager 中設定權杖,變更了其密碼或離開您的 Apple Business Manager 組織時,您必須更新現有的 Apple VPP 權杖或位置權杖。 未更新的權杖會在 Intune 中顯示「無效」狀態。

刪除 VPP 應用程式

您可以刪除未與應用程式相關聯的可用或已使用授權的已購買應用程式。 這可能需要清除不再指派的應用程式。

若要刪除 VPP 應用程式,請使用下列步驟:

  1. Apple Business managerApple School manager 中建立新的位置。
  2. 撤銷使用相關聯位置權杖之應用程式的所有授權。 在 Microsoft 端點管理員系統管理中心 中,選取 應用程式 > 所有應用程式 > ,選取該應用程式以刪除 > 應用程式授權 > 撤銷授權
  3. 在 Apple Business Manager 或 Apple School Manager 中,將應用程式的所有授權從原始位置傳輸至新位置。
  4. 同步位於 Microsoft 端點管理員系統管理中心 的位置權杖。
  5. Microsoft 端點管理員系統管理中心 中刪除該應用程式,選取 應用程式 > 所有應用程式 > 以滑鼠右鍵點一下要刪除的應用程式 > 刪除

刪除 VPP 應用程式會導致下列結果:

  • 將移除相關聯的應用程式指派。
  • 如果 VPP 應用程式在嘗試刪除時已指派授權,您將會看到錯誤。

注意

系統不會刪除與 VPP 權杖相關聯的已購買書籍。

指派 VPP 的自訂角色權限

您可以在 Intune 中使用指派給自訂系統管理員角色的權限,獨立控制對 Apple Business Manager 位置權杖和應用程式 (Apple VPP 權杖和 VPP 應用程式) 的存取。

  • 若要允許 Intune 自訂角色管理 Apple Business Manager 位置權杖,請在 Microsoft 端點管理員系統管理中心內,選取 [租用戶系統管理] > [連接器與權杖] > [Apple VPP 權杖],指派 受控應用程式 的權限。
  • 若要允許 Intune 自訂角色管理在 [應用程式] > [所有應用程式] 底下使用 iOS/iPadOS VPP 權杖購買的應用程式,請指派適用於 [行動應用程式] 的權限。

其他資訊

Apple 提供建立和更新 VPP 權杖的直接協助。 如需詳細資訊,請參閱 Apple 文件中的 使用大量採購計劃 (VPP) 發佈內容給使用者

如果在 Intune 中指出 已指派給外部 MDM,您 (系統管理員) 必須先從協力廠商 MDM 移除 VPP 權杖,才能在 Intune 中使用 VPP 權杖。

若權杖的狀態是 重複,即表示已上傳多個具有相同 權杖位置 的權杖。 請移除重複的權杖,以再次開始同步權杖。 您仍能為標記為「重複」的權杖指派及撤銷授權。 然而,權杖標記為「重複」之後,可能無法反映新購買的應用程式和書籍授權。

常見問題集

我可以上傳幾個權杖?

您可以在 Intune 中上傳最多 3,000 個權杖。

在裝置上安裝或移除應用程式之後,入口網站需要多久的時間才能更新授權數量?

在安裝或解除安裝應用程式之後的幾小時內,應該就會更新授權。 請注意,如果使用者從裝置移除應用程式,該授權仍然會指派給該使用者或裝置。

是否可以過度訂閱應用程式,如果可以,是在怎樣的情況下?

是。 Intune 系統管理員可以過度訂閱應用程式。 例如,如果系統管理員購買 100 份 XYZ 應用程式的授權,然後將該應用程式的對象設為一個有 500 個成員的群組。 前 100 個成員 (使用者或裝置) 將會獲得授權指派,其餘成員的授權指派則會失敗。

後續步驟

請參閱 如何監視應用程式,以取得協助您監視應用程式指派的資訊。

請參閱如何對應用程式進行疑難排解,來取得對應用程式相關問題進行疑難排解的相關資訊。