Attribuer des applications à des groupes avec Microsoft Intune
Une fois que vous avez ajouté une application à Microsoft Intune, vous pouvez affecter l’application à des utilisateurs et des appareils. Il est important de noter que vous pouvez déployer une application sur un appareil, que l’appareil soit géré ou non par Intune.
Remarque
L’intention de déploiement Disponible pour les appareils inscrits est prise en charge pour les groupes d’utilisateurs et les groupes d’appareils lorsque vous ciblez des appareils Android Enterprise entièrement managés (COBO) et des appareils Android Entreprise compatibles avec l’utilisateur (COPE).
Options d’attribution d’applications managées
Le tableau suivant répertorie les différentes options lors de l’attribution d’applications à des utilisateurs et des appareils :
Option | Appareils inscrits avec Intune | Appareils non inscrits avec Intune |
---|---|---|
Attribuer aux utilisateurs | Oui | Oui |
Affecter à des appareils | Oui | Non |
Affecter des applications encapsulées ou des applications qui incorporent le SDK Intune (pour les stratégies de protection des applications) | Oui | Oui |
Affecter des applications comme disponibles | Oui | Oui |
Affecter des applications en fonction des besoins | Oui | Non |
Désinstaller des applications | Oui | Non |
Recevoir les mises à jour d’application de Intune | Oui | Non |
Les utilisateurs finaux installent les applications disponibles à partir de l’application Portail d'entreprise | Oui | Non |
Les utilisateurs finaux installent les applications disponibles à partir du Portail d'entreprise web | Oui | Oui |
Remarque
Actuellement, vous pouvez affecter des applications iOS/iPadOS et Android (applications métier et achetées dans le Store) à des appareils qui ne sont pas inscrits avec Intune.
Pour recevoir des mises à jour d’application sur des appareils non inscrits auprès d’Intune, les utilisateurs de ceux-ci doivent accéder au Portail d’entreprise de leur organisation et installer manuellement ces mises à jour.
Pour presque tous les types d’applications et plateformes, les affectations disponibles sont valides uniquement lors de l’attribution à des groupes d’utilisateurs, et non à des groupes d’appareils. Les applications Win32 peuvent être affectées à des groupes d’utilisateurs ou d’appareils.
Si les applications de suivi de préproduction Google Play gérées sont affectées comme requis sur les appareils Android Enterprise avec profil professionnel appartenant à l’utilisateur, elles ne s’installent pas sur l’appareil. Pour contourner ce problème, créez deux groupes d’utilisateurs identiques et affectez la piste de préproduction comme « disponible » à l’un et « obligatoire » à l’autre. Le résultat est que la piste de préproduction se déploie correctement sur l’appareil.
Affecter une application
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Applications>Toutes les applications.
Dans le volet Applications , sélectionnez l’application que vous souhaitez attribuer.
Dans la section Gérer du menu, sélectionnez Propriétés.
Faites défiler jusqu’à Propriétés , puis sélectionnez Affectations.
Sélectionnez Ajouter un groupe pour ouvrir le volet Ajouter un groupe associé à l’application.
Pour l’application spécifique, sélectionnez un type d’affectation :
Disponible pour les appareils inscrits : affectez l’application à des groupes d’utilisateurs qui peuvent installer l’application à partir de l’application Portail d'entreprise ou du site web.
Disponible avec ou sans inscription : affectez cette application à des groupes d’utilisateurs dont les appareils ne sont pas inscrits avec Intune. Une licence Intune doit être attribuée aux utilisateurs. Consultez licences Intune.
Requis :L'application est installée sur les appareils des groupes sélectionnés. Certaines plateformes peuvent avoir des invites supplémentaires pour que l’utilisateur final reconnaisse avant le début de l’installation de l’application.
Désinstaller : l’application est désinstallée des appareils des groupes sélectionnés si Intune a déjà installé l’application sur l’appareil via une affectation « Disponible pour les appareils inscrits » ou « Obligatoire » à l’aide du même déploiement.
Remarque
Pour les applications iOS/iPadOS uniquement :
- Pour configurer ce qui se passe avec les applications gérées lorsque les appareils ne sont plus gérés, vous pouvez sélectionner le paramètre prévu sous Désinstaller lors de la suppression de l’appareil. Pour plus d’informations, consultez Paramètre de désinstallation d’application pour les applications gérées par iOS/iPadOS.
- Si vous avez créé un profil VPN iOS/iPadOS qui contient des paramètres VPN par application, vous pouvez sélectionner le profil VPN sous VPN. Lorsque l’application est exécutée, la connexion VPN est ouverte. Pour plus d’informations, consultez Paramètres VPN pour les appareils iOS/iPadOS.
- Pour déterminer si une application iOS/iPadOS requise est installée en tant qu’application amovible par les utilisateurs finaux, vous pouvez sélectionner le paramètre sous Installer comme amovible.
- Pour configurer un moyen d’empêcher la sauvegarde iCloud de l’application iOS/iPadOS gérée, vous pouvez cliquer sur l’un des paramètres suivants après avoir ajouté une affectation de groupe : VPN, Désinstaller sur la suppression de l’appareil ou Installer comme amovible. Ensuite, configurez le paramètre appelé Empêcher la sauvegarde de l’application iCloud. Pour plus d’informations, consultez Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS.
Pour les applications macOS uniquement :
- Pour configurer un moyen d’empêcher la sauvegarde iCloud de l’application macOS gérée, vous pouvez cliquer sur l’un des paramètres suivants après avoir ajouté une affectation de groupe : VPN, ou Désinstaller lors de la suppression de l’appareil ou Installer comme amovible. Ensuite, configurez le paramètre appelé Empêcher la sauvegarde de l’application iCloud. Pour plus d’informations, consultez Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS.
Pour les applications Android uniquement :
- Si vous déployez une application Android comme disponible avec ou sans inscription, les status de création de rapports ne seront disponibles que sur les appareils inscrits.
Pour Disponible pour les appareils inscrits :
- L’application est affichée comme disponible uniquement si l’utilisateur connecté à l’Portail d'entreprise est l’utilisateur principal qui a inscrit l’appareil et que l’application s’applique à l’appareil.
Pour sélectionner les groupes d’utilisateurs affectés par cette attribution d’application, sélectionnez Inclus Groupes.
Après avoir sélectionné un ou plusieurs groupes à inclure, sélectionnez Sélectionner.
Dans le volet Attribuer , sélectionnez OK pour terminer la sélection des groupes inclus.
Cliquez sur Exclure des groupes si vous voulez exclure des groupes d’utilisateurs d’un impact par cette attribution d’applications.
Si vous avez choisi d’exclure des groupes, dans Sélectionner des groupes, choisissez Sélectionner.
Dans le volet Ajouter un groupe , sélectionnez OK.
Dans le volet Affectations de l’application, sélectionnez Enregistrer.
L’application est désormais affectée aux groupes que vous avez sélectionnés. Pour plus d’informations sur l’inclusion et l’exclusion d’attributions d’applications, consultez Inclure et exclure des affectations d’applications.
Conseil
Intune prend également en charge l’attribution d’applications à des groupes imbriqués. Par exemple, si vous avez affecté une application au groupe « Engineering Global » et que « Engineering APAC », « Engineering EMEA » et « Engineering US » sont imbriqués en tant que groupes enfants, les membres de ces groupes enfants seront également ciblés avec l’affectation.
Empêcher le paramètre de sauvegarde d’application iCloud pour les applications iOS/iPadOS et macOS
Les administrateurs ont la possibilité de ne plus sauvegarder les applications App Store managées et les applications métier (LOB) sur iOS/iPadOS et les applications App Store gérées sur les appareils macOS, pour les applications VPP/non-VPP sous licence d’utilisateur et d’appareil. Les applications métier macOS ne prennent pas en charge ce paramètre. Cette fonctionnalité inclut les applications App Store/métier nouvelles et existantes envoyées avec et sans VPP qui sont ajoutées à Intune et ciblées sur les utilisateurs et les appareils. Le fait d’empêcher la sauvegarde des applications gérées spécifiées garantit que ces applications peuvent être correctement déployées via Intune lorsque l’appareil est inscrit et restauré à partir de la sauvegarde. Si vous configurez le nouveau paramètre pour les applications nouvelles/existantes dans votre locataire, les applications gérées peuvent et seront réinstallées pour les appareils, mais Intune n’autorisera plus leur sauvegarde.
Remarque
Bien que nous ne nous attendons pas à ce que les applications gérées sur les appareils sauvegardent les données dans iCloud, notez que les données enregistrées localement pour les applications gérées peuvent ne pas être disponibles après une sauvegarde et une restauration.
Pour les appareils existants, lorsque l’option Empêcher la sauvegarde d’application iCloud est définie sur Oui pour une ou plusieurs applications, le nouveau comportement est automatiquement mis à jour pour toutes les applications App Store/métier requises (avec ou sans VPP). Les applications requises précédemment installées sur les appareils sont automatiquement reconfigurées pour tous les appareils une fois que la valeur du paramètre est enregistrée sur Oui. Les applications disponibles nécessitent que l’utilisateur retélécharge l’application disponible à partir de l’application Portail d'entreprise ou du site web Portail d'entreprise. En outre, en fonction des configurations et des licences de l’application, une synchronisation entre Intune et l’appareil peut être nécessaire.
Comment les conflits entre les intentions d’application sont résolus
Un seul groupe ne peut pas être ciblé pour plusieurs intentions d’affectation d’application. Toutefois, si un utilisateur ou un appareil est membre de plusieurs groupes attribués avec des intentions différentes, un conflit se produit. La création de conflits d’affectation pour les applications n’est pas recommandée. Les informations contenues dans le tableau suivant peuvent vous aider à comprendre l’intention résultante lorsqu’un conflit se produit :
Intention du groupe 1 | Intention du groupe 2 | Intention résultante |
---|---|---|
Utilisateur requis | Utilisateur disponible | Obligatoire et disponible |
Utilisateur requis | Désinstallation de l’utilisateur | Obligatoire |
Utilisateur disponible | Désinstallation de l’utilisateur | Désinstaller |
Utilisateur requis | Appareil requis | Les deux existent, Intune traite Obligatoire |
Utilisateur requis | Désinstallation de l’appareil | Les deux existent, Intune résout Obligatoire |
Utilisateur disponible | Appareil requis | Les deux existent, Intune résout Obligatoire (Obligatoire et Disponible) |
Utilisateur disponible | Désinstallation de l’appareil | Les deux existent, Intune résout Disponible. L’application s’affiche dans le Portail d'entreprise. Si l’application est déjà installée (en tant qu’application requise avec l’intention précédente), l’application est désinstallée. Si l’utilisateur sélectionne Installer dans la Portail d'entreprise, l’application est installée et l’intention de désinstallation n’est pas respectée. |
Désinstallation de l’utilisateur | Appareil requis | Les deux existent, Intune résout Obligatoire |
Désinstallation de l’utilisateur | Désinstallation de l’appareil | Les deux existent, Intune résout désinstaller |
Appareil requis | Désinstallation de l’appareil | Obligatoire |
Utilisateur requis et disponible | Utilisateur disponible | Obligatoire et disponible |
Utilisateur requis et disponible | Désinstallation de l’utilisateur | Obligatoire et disponible |
Utilisateur requis et disponible | Appareil requis | Les deux existent, obligatoires et disponibles |
Utilisateur requis et disponible | Désinstallation de l’appareil | Les deux existent, Intune résout Obligatoire (Obligatoire et Disponible) |
Utilisateur disponible sans inscription | Utilisateur requis et disponible | Obligatoire et disponible |
Utilisateur disponible sans inscription | Utilisateur requis | Obligatoire |
Utilisateur disponible sans inscription | Utilisateur disponible | Disponible |
Utilisateur disponible sans inscription | Appareil requis | Obligatoire et disponible sans inscription |
Utilisateur disponible sans inscription | Désinstallation de l’appareil | Désinstallez et Disponible sans inscription. Si l’utilisateur n’a pas installé l’application à partir du Portail d'entreprise, la désinstallation est respectée. Si l’utilisateur installe l’application à partir du Portail d'entreprise, l’installation est prioritaire sur la désinstallation. |
Remarque
Pour les applications du Store iOS managées uniquement, lorsque vous ajoutez ces applications à Microsoft Intune et que vous les affectez comme Obligatoire, les applications sont automatiquement créées avec les intentions Obligatoire et Disponible.
Les applications iOS Store (et non iOS/iPadOS VPP) qui sont ciblées avec l’intention requise seront appliquées sur l’appareil au moment de l’case activée de l’appareil et s’afficheront également dans l’application Portail d'entreprise.
Lorsque des conflits se produisent dans le paramètre Désinstaller sur la suppression de l’appareil , l’application n’est pas supprimée de l’appareil lorsque l’appareil n’est plus géré.
Remarque
Les applications déployées comme obligatoires sur un profil professionnel appartenant à l’entreprise et sur des appareils entièrement gérés appartenant à l’entreprise ne peuvent pas être désinstallées manuellement par l’utilisateur.
Déploiement d’applications Google Play gérées sur des appareils non gérés
Pour les appareils Android non inscrits, vous pouvez utiliser Google Play géré pour déployer des applications du Store et des applications métier sur les utilisateurs. Une fois déployé, vous pouvez utiliser la gestion des applications mobiles (GAM) pour gérer les applications. Les applications Google Play gérées ciblées comme disponibles avec ou sans inscription s’affichent dans l’application Play Store sur l’appareil de l’utilisateur final, et non dans l’application Portail d'entreprise. L’utilisateur final parcourira et installera les applications déployées de cette manière à partir de l’application Play. Étant donné que les applications sont installées à partir de Google Play géré, l’utilisateur final n’a pas besoin de modifier ses paramètres d’appareil pour autoriser l’installation des applications à partir de sources inconnues, ce qui signifie que les appareils seront plus sécurisés. Si le développeur de l’application publie sur Play une nouvelle version d’une application installée sur l’appareil d’un utilisateur, l’application est automatiquement mise à jour par Play.
Étapes d’attribution d’une application Google Play gérée à des appareils non gérés :
Connectez votre locataire Intune à Google Play géré. Si vous l’avez déjà fait pour gérer des appareils Android Enterprise avec profil professionnel appartenant à l’utilisateur, dédiés, entièrement gérés ou appartenant à l’entreprise, vous n’avez pas besoin de le faire à nouveau.
Ajoutez des applications de Google Play géré à votre centre d’administration Intune.
Ciblez les applications Google Play gérées comme disponibles avec ou sans inscription au groupe d’utilisateurs souhaité. Le ciblage d’application obligatoire et Désinstaller ne sont pas pris en charge pour les appareils non inscrits.
Affectez une stratégie de protection des applications au groupe d’utilisateurs.
L’utilisateur ouvre des journaux dans n’importe quelle application protégée.
La prochaine fois que l’utilisateur final ouvrira l’application Portail d'entreprise et terminera le processus de connexion, il verra un message indiquant dans la section Applications qu’il existe des applications disponibles pour lui. L’utilisateur peut sélectionner cette notification pour accéder au Play Store.
Remarque
Vous pouvez configurer les options de paramètre d’inscription de l’appareil pour qu’elles soient Disponibles, Aucune invite ou Non disponible. Ce paramètre empêche l’utilisateur d’inscrire involontairement son appareil ou de recevoir des notifications pour inscrire son appareil après s’être connecté à l’Portail d'entreprise.
L’utilisateur final peut développer le menu contextuel dans l’application Play Store et basculer entre son compte Google personnel (où il voit ses applications personnelles) et son compte professionnel (où il verra les applications du Magasin et des applications métier qui lui sont destinées). Les utilisateurs finaux installent les applications en appuyant sur Installer dans l’application Play Store.
Lorsqu’une réinitialisation sélective de l’application est émise dans le centre d’administration Intune, le compte professionnel est automatiquement supprimé de l’application Play Store et l’utilisateur final ne voit plus les applications professionnelles dans le catalogue d’applications du Play Store. Lorsque le compte professionnel est supprimé d’un appareil, les applications installées à partir du Play Store restent installées sur l’appareil et ne sont pas désinstallées.
Paramètre de désinstallation d’application pour les applications gérées par iOS
Pour les appareils iOS/iPadOS, vous pouvez choisir ce qui se passe pour les applications gérées lors de la désinscription de l’appareil de Intune ou de la suppression du profil de gestion à l’aide du paramètre Désinstaller sur la suppression de l’appareil. Ce paramètre s’applique uniquement aux applications une fois que l’appareil est inscrit et que les applications sont installées comme gérées. Le paramètre ne peut pas être configuré pour les applications web ou les liens web. Seules les données protégées par la gestion des applications mobiles (GAM) sont supprimées après la mise hors service par une réinitialisation sélective des applications.
Les valeurs par défaut du paramètre sont préremplies pour les nouvelles affectations comme suit :
Type d’application iOS | Paramètre par défaut pour « Désinstaller lors de la suppression de l’appareil » |
---|---|
Application métier | Oui |
Application de store | Non |
Application VPP | Non |
Application intégrée | Non |
Remarque
Types d’affectation « disponibles » : Si vous mettez à jour ce paramètre pour les groupes « disponible pour les appareils inscrits » ou « disponible avec ou sans inscription », les utilisateurs qui disposent déjà de l’application gérée ne recevront pas le paramètre mis à jour tant qu’ils n’auront pas synchronisé l’appareil avec Intune et réinstallé l’application.
Affectations préexistantes : Le paramètre De désinstallation de l’application a été introduit en mai 2019. Les affectations qui existaient avant cette date ne sont pas modifiées et toutes les applications gérées seront supprimées lors de la suppression de l’appareil de la gestion. Si votre affectation a été créée avant mai 2019, vous devrez peut-être définir explicitement le paramètre Désinstallation de l’application, car les paramètres par défaut ci-dessus peuvent ne pas s’appliquer.
Étapes suivantes
Pour en savoir plus sur la surveillance des affectations d’applications, consultez Guide pratique pour surveiller les applications.