将应用添加到 Microsoft Intune
在配置、分配、保护或监视应用之前,必须将它们添加到 Microsoft Intune。
Intune 应用是指由 intune Microsoft 管理的应用程序。 可以部署、配置、保护和更新这些应用以访问组织的资源。 Intune 支持各种应用类型,例如应用商店应用、Web 应用和业务线 (LOB) 应用。 Intune 还支持多个平台,例如 iOS/iPadOS 和 Android。
管理 Microsoft Intune 应用为组织提供了多项优势,包括:
- 托管应用的数据保护
- 广泛的应用支持
- 对托管应用的访问控制
- 托管应用的应用配置
- 托管应用的应用更新
应使用 Intune 添加、配置、保护和部署托管应用的示例包括:
- 组织需要使用组织的特定设置配置应用。
- 组织必须保护托管应用中使用的敏感数据。
- 组织必须保护对托管应用的访问。
- 组织必须监视托管应用,以确保数据受到保护,并根据需要更新应用。
组织中的应用和设备的用户可能有多个应用要求。 你可能会发现评估和了解若干应用基础知识是有帮助的,然后再将应用添加到 Intune 并向员工提供。 Intune 提供多种类型的应用。 必须确定组织中用户所需的应用要求,例如员工所需的平台和功能。 必须确定是要使用 Intune 管理设备(包括应用),还是要使用 Intune 管理应用(不包括设备)。 此外,还必须确定员工所需的功能和应用,以及谁需要这些功能和应用。 本文的信息可帮助你开始使用。
Microsoft Intune 中的应用类型
Intune 支持多种不同的应用类型。 为每种应用类型提供的可用选项有所不同。 Intune 支持添加并分配以下类型的应用:
| 应用程序类型 | 安装 | 更新 |
|---|---|---|
| 应用商店中的应用(应用商店应用) | Intune 在设备上安装应用。 | 应用是自动更新的。 |
| 内部编写或作为自定义应用编写的应用(业务线) | Intune 在设备上安装应用(需要提供安装文件)。 | 必须更新应用。 |
| 内置的应用(内置应用) | Intune 在设备上安装应用。 | 应用是自动更新的。 |
| Web 上的应用(Web 链接) | Intune 在设备主屏幕上创建一个到 Web 应用的快捷方式。 | 应用是自动更新的。 |
| 其他 Microsoft 服务中的应用 | Intune 在公司门户中创建应用的快捷方式。 有关详细信息,请参阅应用源设置选项。 | 应用是自动更新的。 |
特定应用类型详细信息
下表列出了特定的应用类型以及如何在“Intune 选择应用类型 ”窗格中添加它们:
| 特定于应用的类型 | 常规类型 | 特定于应用的过程 |
|---|---|---|
| Android 应用商店应用 | 应用商店应用 | 选择 “Android 应用商店应用 ”作为 “应用类型”,单击“ 选择”,然后输入应用的 Google Play 应用商店 URL。 |
| iOS/iPadOS 应用商店应用 | 应用商店应用 | 选择 “iOS 应用商店应用 ”作为 应用类型,搜索该应用,然后在 Intune 中选择该应用。 |
| Microsoft Store 应用 | 应用商店应用 | 选择 “Microsoft应用商店应用 ”作为 应用类型,并输入应用的Microsoft应用商店 URL。 |
| 托管 Google Play 应用 | 应用商店应用 | 选择“托管 Google Play”作为“应用类型”,搜索应用,再在 Intune 中选择应用。 |
| Android Enterprise 应用 | 应用商店应用 | 选择“托管 Google Play”作为“应用类型”,搜索应用,再在 Intune 中选择应用。 1 |
| Microsoft适用于 Windows 10 及更高版本的 365 应用 | Store 应用 (Microsoft 365) | 选择“Microsoft 365 应用”下的“Windows 10 及更高版本”作为应用类型,然后选择要安装的 Microsoft 365 应用。 |
| 适用于 macOS 的 Microsoft 365 应用版 | Store 应用 (Microsoft 365) | 在“Microsoft 365 应用版”下选择“macOS”作为“应用类型”,然后选择 Microsoft 365 应用套件。 |
| Microsoft Windows 10 及更高版本的 Edge 版本 77 及更高版本 | 应用商店应用 | 选择“Microsoft Edge 版本 77 及更高版本”下的“Windows 10 及更高版本”作为应用类型。 |
| 适用于 macOS 的 Microsoft Edge 版本 77 及更高版本 | 应用商店应用 | 在 Microsoft Edge 版本 77 及更高版本下选择“macOS”作为“应用类型”。 |
| Android 业务线 (LOB) 应用 | LOB 应用 | 选择“ 业务线应用 ”作为 应用类型,选择 “应用包”文件,然后输入扩展名 为.apk的 Android 安装文件。 |
| iOS/iPadOS LOB 应用 | LOB 应用 | 选择“业务线应用”作为“应用类型”,选择“应用包文件”,然后输入扩展名为 .ipa 的 iOS/iPadOS 安装文件。 |
| Windows LOB 应用 | LOB 应用 | 选择“ 业务线应用 应用”作为应用类型,选择 “应用包”文件,然后输入扩展名 为.msi、 .appx、 .appxbundle、 .msix 和 .msixbundle 的 Windows 安装文件。 |
| 内置 iOS/iPadOS 应用 | 内置应用 | 选择“内置应用”作为“应用类型”,然后从提供的应用列表中选择内置应用。 |
| 内置的 Android 应用 | 内置应用 | 选择“内置应用”作为“应用类型”,然后从提供的应用列表中选择内置应用。 |
| Web 应用 | Web 应用 | 选择“Web 链接”作为“应用类型”,然后输入指向该 Web 应用的有效 URL。 |
| iOS/iPadOS Web 剪辑 | Web 应用 | 选择 “iOS/iPadOS Web 剪辑 ”作为 应用类型,然后输入指向 Web 应用的有效 URL。 请注意,此应用类型仅适用于 iOS/iPadOS 平台。 |
| macOS Web 剪辑 | Web 应用 | 选择 “macOS Web 剪辑 ”作为 应用类型,然后输入指向 Web 应用的有效 URL。 请注意,此应用类型仅适用于 macOS 平台。 |
| Windows Web 链接 | Web 应用 | 选择“ Windows Web 链接 ”作为 应用类型,然后输入指向 Web 应用的有效 URL。 请注意,此应用类型仅适用于 Windows 平台。 |
| 跨平台 Web 应用 | Web 应用 | 选择“Web 链接”作为“应用类型”,然后输入指向该 Web 应用的有效 URL。 |
| Android Enterprise 系统应用 | 应用商店应用 | 选择“Android Enterprise 系统应用”作为“应用类型”,然后输入应用名称、发布者和包文件。 |
| Windows 应用 (Win32) | LOB 应用 | 选择“Windows 应用 (Win32)”作为“应用类型”,选择“应用包文件”,然后选择扩展名为 .intunewin 的安装文件。 |
| 企业应用程序目录应用 (Win32) | LOB 应用 | 选择“ 企业应用目录应用 (Win32) ”作为 应用类型,从 “企业应用目录”中选择应用,然后设置应用信息、安装命令、要求和检测规则。 |
| macOS LOB 应用 | LOB 应用 | 选择“ 业务线应用 ”作为 应用类型,选择 “应用包”文件,然后选择扩展名 为.pkg的安装文件。 |
| macOS 应用 (DMG) | LOB 应用(非应用商店应用) | 选择 macOS 应用 (DMG) 作为应用类型, 选择应用包文件,然后选择扩展名为 .dmg 的安装文件。 |
| macOS 应用 (PKG) | LOB 应用 | 选择 “macOS 应用 (PKG) ”作为应用类型,选择 “应用包 文件”,然后选择扩展名 为.pkg的安装文件。 此应用类型用于将非托管 macOS PKG 应用添加到 Intune。 |
| Microsoft Defender for Endpoint (macOS) | 将应用 (Microsoft Defender ATP) | 选择“Microsoft Defender for Endpoint”下的“macOS”作为应用类型,然后通过在 Intune 中设置应用来继续。 |
1 有关 Android Enterprise 和 Android 工作配置文件的详细信息,请参阅 了解许可的应用。
可以在 Microsoft Intune 中添加应用,方法是通过选择“应用”>“所有应用”>“添加”。 将显示“选择应用类型”窗格,可选择“应用类型”。
提示
LOB 应用是从应用安装文件添加的应用。 例如,若要安装 iOS/iPadOS LOB 应用,可以通过在“选择应用类型”窗格中选择“业务线应用”作为“应用类型”来添加应用程序。 然后,选择应用包文件(扩展名为 .ipa)。 这些应用类型通常为内部编写或作为自定义应用编写的。
评估应用要求
作为 IT 管理员,不仅可以确定你的组必须要使用的应用,而且可以确定每个组和子组所需的功能。 对于每个应用,应确定所需平台、需要应用的用户组、要为这些组应用的配置策略和要应用的保护策略。 例如,对于包括 Android 个人拥有的工作配置文件在内的注册类型,可能需要部署 Web 浏览应用,以确保用户能够打开链接。
此外,还必须确定是否要将重点放在移动设备管理 (MDM) 上或者仅放在移动应用程序管理 (MAM) 上。
使用 Intune 以通过 MDM 管理设备在以下情况下非常有用:
- 用户需要 Wi-Fi 或 VPN 企业连接配置文件以实现高效工作。
- 用户需要一组应用推送到他们的设备。
- 组织需要符合强调特定 MDM 控制(例如安全性或加密)的法规或其他策略。
当不管理设备时,使用 Intune 以通过 MAM 管理应用在以下情况下非常有用:
- 需要使用户能够使用他们自己的设备 (BYOD)。
- 需要提供一次性弹出消息,让用户了解 MAM 保护已就绪,而不是提供持续的设备级通知。
- 需要符合一些策略的要求,这些策略对个人设备需要较少的管理功能。 例如,需要管理应用的公司数据,而不是管理整个设备的公司数据。
有关详细信息,请转到 规划指南:个人设备与组织拥有的设备。
确定谁将使用应用
在确定员工需要哪些应用时,请考虑各种用户组以及他们使用的各种应用。 在添加应用之后,了解这些组也很有用。 添加应用后,可以分配一组能够使用此应用的用户。
首先,必须根据应用所包含数据的敏感性确定应该有权访问应用的组。 可能需要包括或排除组织中某些类型的角色。 例如,销售组可能仅需要某些 LOB 应用,而侧重于工程、财务、人力资源或法律的人员可能不需要使用 LOB 应用。 此外,销售组人员的移动设备上可能需要额外的数据保护以及对内部公司服务的访问权。 必须确定此组将如何使用应用连接到资源。 应用访问的数据将保留在云中还是本地? 同时,用户将如何使用应用连接到资源?
Intune 还支持对需要安全访问本地数据的客户端应用(例如业务线应用服务器)启用访问权限。 通常,通过使用 Intune 托管的证书 进行访问控制,以及外围中的标准 VPN 网关或代理(如 Microsoft Entra 应用程序代理),来提供这种类型的访问。 可以借助 Intune 的 App Wrapping Tool 和应用 SDK 将已访问的数据包含在业务线应用中,这样它就不能将公司数据传递给使用者应用或服务。
使用 Intune 部署规划、设计和实施指南帮助确定如何标识组织组。 有关将应用分配到组的信息,请参阅使用 Microsoft Intune 将应用分配到组。
为解决方案确定应用的类型
可从以下应用类型中进行选择:
- 应用商店中的应用:上传到 Microsoft 应用商店、iOS/iPadOS 应用商店或 Android 应用商店的应用是应用商店应用。 应用商店应用的提供者对应用进行维护并提供更新。 在应用商店列表选择应用,并使用 Intune 将其添加为用户的可用应用。
- 内部编写或作为自定义应用编写的应用(业务线):在内部创建或作为自定义应用的应用是业务线 (LOB) 应用。 已经为支持 Intune 的平台(例如 Windows、iOS/iPadOS、macOS 或 Android)之一创建此应用类型的功能。 组织创建更新并将这些更新作为单独的文件提供给你。 可以通过使用 Intune 添加和部署更新为用户提供应用更新。
- Web 上的应用:Web 应用是客户端-服务器应用程序。 服务器提供 Web 应用,其中包括 UI、内容和功能。 此外,新式 Web 托管平台通常会提供安全性、负载均衡和其他优势。 此应用类型是在 Web 上单独进行维护的。 可以使用 Intune 指向此应用类型。 还可以指定哪组用户可以访问此应用。
- 来自其他Microsoft服务的应用:源自 Microsoft Entra ID 或 Office Online 的应用。 Microsoft Entra Enterprise 应用程序 是通过 Microsoft Intune 管理中心注册和分配的。 Office Online 应用程序使用 M365 管理中心提供的授权控制进行分配。 可以在公司门户中向最终用户隐藏或显示Microsoft Entra Enterprise 和 Office Online 应用程序。 在 Intune 管理中心Microsoft,选择“ 租户管理>自定义” 以查找此配置设置。 选择此选项可在公司门户中隐藏或显示每个最终用户Microsoft Entra Enterprise 应用程序或 Office Online 应用程序。 每位最终用户将从所选的 Microsoft 服务中看到其整个应用程序目录。 默认情况下,每个附加的应用源会设置为“隐藏”。 有关详细信息,请参阅应用源设置选项。
确定组织需要的应用时,请考虑这些应用如何与云服务集成,应用访问什么数据,应用是否对 BYOD 用户可用以及应用是否需要 Internet 访问。
有关组织所需应用类型的详细信息,请参阅创建设计。
了解应用管理和保护策略
通过 Intune 可以修改所部署应用程序的功能,帮助这些应用符合公司的符合性和安全性策略。 此操作使你可以确定如何保护公司数据。 Intune 托管应用是通过一组丰富的移动应用程序保护策略启用的,例如:
- 限制“复制和粘贴”和“另存为”功能。
- 将 Web 链接配置为在 Microsoft Edge 应用内打开。
- 启用多标识使用和应用级条件访问。
Intune 托管应用还可以启用应用保护,而无需注册,使你能够在不管理用户设备的情况下即可应用数据丢失防护策略。 此外,还可以使用 Intune App SDK 和应用包装工具在移动和业务线应用中进行移动应用管理。 有关这些工具的详细信息,请参阅 Intune App SDK 概述。
了解获得许可的应用
除了了解 Web 应用、应用商店应用和 LOB 应用,还应注意批量采购计划的应用和获得许可的应用的目标,例如:
适用于企业的 Apple 批量采购计划 (iOS):在 iOS/iPadOS 应用商店中,可以购买要在公司中运行的应用的多个许可证。 购买多个副本可帮助你有效地管理公司的应用。 有关详细信息,请参阅管理批量购买的 iOS/iPadOS 应用。
Android Enterprise 完全托管的工作配置文件:可采用与将应用分配到标准 Android 设备不同的方式,将应用分配到 Android Enterprise 完全托管工作配置文件设备。 为 Android Enterprise 完全托管工作配置文件安装的所有应用都来自托管 Google Play 商店。 使用 Intune 搜索并批准所需的应用。 然后,该应用会显示在门户的“许可的应用”节点中,可以像管理任何其他应用一样管理应用的分配。
注意
Windows 应用的文件扩展名包括 .msi、.appx、.appxbundle、.msix 和 .msixbundle。
添加应用之前
在开始添加和分配应用之前,请考虑以下几点:
- 如果要从应用商店添加和分配应用,用户必须具有该应用商店的帐户才能安装应用。
- 某些分配的应用或项目可能依赖于内置的 iOS/iPadOS 应用。 例如,如果要在 iOS/iPadOS 应用商店分配一本书,则设备上必须存在 iBooks 应用。 如果已经删除了 iBooks 内置应用,则无法使用 Intune 将其恢复。
- 可以添加到 Intune 的应用数量存在限制。
- 对于试用版 Intune 租户,可以为每个租户创建 500 个应用。
- 对于许可的 Intune 租户,每个租户可以创建 10,000 个应用。 某些应用(包括 iOS/iPadOS 批量购买的应用 和 托管的 Google Play 应用)不计入此限制。
重要
如果在部署并安装应用后通过 Intune 更改应用的名称,则无法再使用命令来定位应用。
云存储空间
使用软件安装程序安装类型(例如,业务线应用)创建的所有应用都必须打包并上载到 Intune 云存储中。 Intune 的试用订阅包括 2 GB 的云存储空间,用于存储托管应用和更新。 完整订阅不会限制存储空间总量。
云存储空间的要求如下:
- 所有应用安装文件都必须位于同一文件夹内。
- Windows 业务线 (LOB) 应用、Windows 通用 AppX、Windows 通用 AppX 捆绑包、Windows 通用 MSIX 和 Windows 通用 MSIX 捆绑包的最大文件大小限制为每个应用 8 GB。
- Win32 应用的最大大小限制为每个应用 30GB。
- iOS/iPadOS LOB 应用的最大大小限制为每个应用 2 GB。
创建和编辑应用类别
应用类别可用于对应用进行排序,让用户在公司门户中更容易查找应用。 可以向应用分配一个或多个类别(例如,“开发者应用”或“通信应用”)。
将应用添加到 Intune 时,可以选择所需的类别。 使用特定于平台的文章添加应用和分配类别。 若要创建和编辑你自己的类别,请按以下过程操作:
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“应用类别”。
“应用类别”窗格显示当前类别的列表。 - 执行以下任一操作:
- 若要添加一个类别,在“创建类别”窗格中选择“添加”,然后输入类别的名称。
只能使用一种语言输入名称,并且 Intune 不会进行翻译。 - 若要编辑类别,请选择类别旁边的省略号 (...),然后选择“固定到仪表板”或“删除”。
- 若要添加一个类别,在“创建类别”窗格中选择“添加”,然后输入类别的名称。
- 选择“创建”。
Intune 自动添加的应用
之前,Intune 包含了一些可供快速分配的内置应用。 根据 Intune 客户反馈,我们删除了此列表,并且不再显示内置应用。 但是,如果你已分配任何内置应用,则在应用列表中仍会看到这些应用。 可以根据需要继续分配这些应用。
注意
对于安装所需的非业务线应用,Intune 将在设备签入时通过发送安装命令来尝试安装应用,因为应用未检测到且应用的安装状态不是 “挂起安装”。
安装、更新或删除所需应用
Intune 将在 24 小时内自动重新安装、更新或删除所需应用,而不必等待 7 天的重新评估周期。
Intune 会根据以下条件自动重新安装、更新或删除所需应用:
- 如果最终用户卸载你要求安装在其设备上的应用,则在该时间计划过去时 Intune 将自动重新安装该应用。
- 如果所需的应用安装失败或应用在设备上不存在,Intune 将评估符合性,并在此计划过后重新安装应用。
- 管理员将应用定位为可供用户组使用且最终用户可从设备上的公司门户安装的应用。 之后,管理员会将应用从 v1 更新到 v2。 Intune 会在此时间计划过去时更新应用,前提是应用的任何早期版本仍然在设备上。
- 如果管理员部署卸载意向并且该设备上存在此应用且卸载失败,Intune 会评估符合性,并在该时间计划过去时卸载该应用。
注意
使用 Windows 公司门户,最终用户可以在进度似乎已停止或卡住的情况下重启应用安装。 如果应用安装进度在两小时内没有变化,则允许此功能。
最终用户可从 Windows 公司门户或公司门户网站的“已安装应用”页面查看设备分配的必备应用的安装状态和详细信息。 此功能是对用户分配的必备应用的安装状态和详细信息的补充。
卸载应用
如果需要从用户的设备卸载应用,请使用以下步骤。
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“所有应用”>“应用”>“分配”>“添加组”。
- 在“添加组”窗格中,选择“卸载”。
- 选择“包括的组”,以选择受此应用分配影响的用户组。
- 选择要对其应用卸载分配的组。
- 在“选择组”窗格中单击“选择”。
- 在“分配”窗格中单击“确定”以设置分配。
- 如果想排除受此应用分配影响的任何用户组,请选择“排除组”。
- 如果已选择排除任何组,请在“选择组”中选择“选择”。
- 在“添加组”窗格中选择“确定”。
- 在应用的“分配”窗格中选择“保存”。
重要
为成功卸载应用,请务必先删除成员或组的安装分配,然后再将其分配到待卸载。 如果将一个组同时分配为安装应用和卸载应用,将保留而不会删除该应用。
注意
如果应用分配为可用并由最终用户按需安装,则最终用户可以使用 Windows 公司门户卸载 Win32 应用和Microsoft应用商店应用。 对于 Win32 应用,可以选择启用或禁用此功能, (默认) 。 对于Microsoft应用商店应用,它始终处于打开状态,可供最终用户使用。 如果最终用户可以卸载某个应用,最终用户将能够为 Windows 公司门户中的应用选择 “卸载 ”。
从 Intune 中删除应用
删除应用的分配并吊销与令牌关联的应用的任何应用许可证后,可以从 Intune 中删除该应用。 在 Microsoft Intune 管理中心 删除应用,方法是选择“ 应用>”“所有应用>”,右键单击该应用以删除>“删除”。
应用安装错误
有关 Intune 应用安装错误的详细信息,请参阅应用安装错误。
后续步骤
若要了解如何将每个平台的应用添加到 Intune,请参阅:
- Android 应用商店应用
- Android LOB 应用
- iOS 应用商店应用
- iOS LOB 应用
- macOS LOB 应用
- Web 应用(适用于所有平台)
- Microsoft Store 应用
- Windows LOB 应用
- 适用于 Windows 10 的 Microsoft 365 应用版
- 适用于 macOS 的 Microsoft 365 应用版
- 托管 Google Play 应用
- 适用于 Windows 10 的 Microsoft Edge
- 适用于 macOS 的 Microsoft Edge
- 内置应用
- Android Enterprise 系统应用
- Win32 应用
- 企业应用程序目录应用 (Win32)