使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备
托管 Google Play 是 Google 的企业应用商店,也是Intune中 Android Enterprise 应用程序的唯一来源。 可以使用 Intune 通过托管 Google Play 为任何 Android Enterprise 方案协调应用部署 (包括个人拥有的工作配置文件、专用、完全托管和企业拥有的工作配置文件注册) 。 如何将托管 Google Play 应用添加到Intune与为非 Android Enterprise 方案添加 Android 应用的方式不同。 Microsoft Store 应用、业务线 (LOB) 应用和 Web 应用将添加到托管 Google Play,然后同步到 Intune,以便它们显示在“客户端应用”列表中。 在客户端应用列表中显示这些应用后,你可以像管理任何其他应用一样管理任何托管 Google Play 应用的分配。
为了更轻松地配置和使用 Android Enterprise 管理,在将 Intune 租户连接到托管 Google Play 时,Intune自动将五个与 Android Enterprise 相关的常见应用添加到 Intune 管理中心。 这五个应用如下所示:
- Microsoft Intune - 用于 Android Enterprise 完全托管方案。 在设备注册过程中,此应用会自动安装到完全托管的设备。
- Microsoft Authenticator - 如果使用双重验证,可帮助你登录到帐户。 在设备注册过程中,此应用会自动安装到完全托管的设备。
- Intune 公司门户 - 用于应用保护策略 (应用) 和 Android Enterprise 个人拥有的工作配置文件方案。 在设备注册过程中,此应用会自动安装到完全托管的设备。
- 托管主屏幕 - 用于 Android Enterprise 专用多应用展台方案。 IT 管理员应创建分配,以在将在多应用展台方案中使用的专用设备上安装此应用。
- Microsoft启动器 - 用于 Android Enterprise 完全托管方案。 IT 管理员可以创建策略,使Microsoft启动器成为完全托管设备上的默认启动器,并自定义主屏幕。 有关详细信息,请参阅 配置Microsoft启动器
注意
当最终用户注册其 Android Enterprise 完全托管设备时,将自动安装Intune 公司门户应用,并且应用程序图标可能对最终用户可见。 如果最终用户尝试启动Intune 公司门户应用,最终用户将被重定向到Microsoft Intune应用,并且随后将隐藏公司门户应用图标。 此外,Microsoft Intune和 Authenticator 应用将无法向其发出卸载,因为它们是多个 Android Enterprise 注册方案的关键应用程序。
准备工作
- 确保已将Intune租户连接到托管 Google Play。 有关详细信息,请参阅将 Intune 帐户连接到托管 Google Play 帐户。
- 如果打算注册个人拥有的工作配置文件设备,请确保已将Intune和 Android 个人拥有的工作配置文件配置为在门户的“注册”工作负载中协同工作。 有关详细信息,请参阅 注册 Android 设备。
注意
使用 Microsoft Intune 时,建议使用 Microsoft Edge 或 Google Chrome 浏览器。
托管 Google Play 应用类型
托管 Google Play 提供三种类型的应用:
- 托管的 Google Play 应用商店应用 - Play 商店中正式版的公共应用。 在 Intune 中管理这些应用,方法是浏览要管理的应用,选择它们,然后将其同步到Intune。
- 托管 Google Play 专用应用 - 这些是Intune管理员发布到托管 Google Play 的 LOB 应用。 这些应用是专用应用,仅适用于Intune租户。 这就是使用托管 Google Play 和 Android Enterprise 管理和部署 LOB 应用的方式。
- 托管的 Google Play Web 链接 - 包含可部署到 Android Enterprise 设备的 IT 管理员定义的图标的 Web 链接。 这些链接与常规应用一样显示在设备应用列表中的设备上。
托管的 Google Play 应用商店应用
注意
Intune 中大多数新创建的项会接受创建者的范围标记。 对于托管 Google Play 商店应用,则不会出现此类情况。 管理员可以分配范围标记,以应用于托管 Google Play 连接器窗格上所有新同步的托管 Google Play 应用。 有关详细信息,请参阅将 Intune 帐户连接到托管的 Google Play 帐户。 在 Intune 中托管的视图中浏览和批准应用商店应用。 此视图直接在 Microsoft Intune 管理中心打开,无需使用其他帐户重新进行身份验证。
直接在 Microsoft Intune 管理中心添加托管 Google Play 应用商店应用
选择“应用”>“所有应用”>“添加”。
在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
单击“选择”。 将显示 托管的 Google Play 应用商店。
注意
可以创建应用集合来组织应用并控制集合为组织显示的顺序。 有关详细信息,请参阅 在托管 Google Play 中使用集合。
Intune租户帐户必须连接到 Android Enterprise 帐户才能浏览托管的 Google Play 应用商店应用。 有关详细信息,请参阅将 Intune 帐户连接到托管 Google Play 帐户。
选择应用以查看应用详细信息。
单击 “选择” 以选择应用。
单击边栏选项卡顶部的“ 同步 ”,将应用与托管的 Google Play 服务同步。
单击“ 刷新 ”更新应用列表并显示新添加的应用。
在托管的 Google Play 控制台中添加托管的 Google Play 应用商店应用 (备用)
重要
此方法不再受支持,需要直接在 Microsoft Intune 管理中心中添加应用。 有关详细信息,请参阅支持提示:Intune移动到支持新的 Google Play Android 管理 API
托管 Google Play 专用 (LOB) 应用
可通过两种方法将 LOB 应用添加到托管的 Google Play:
- 直接在 Microsoft Intune 管理中心 - 这允许你直接在 Intune 内通过提交应用 APK 和游戏来添加 LOB 应用。 此方法不要求你拥有 Google 开发人员帐户,也不需要你支付注册 Google 开发人员的费用。 此方法更简单,且步骤数量显著减少,并且可在 10 分钟内使用 LOB 应用进行管理。
- 在 Google Play 开发人员控制台中 - 如果你有 Google 开发人员帐户或想要配置仅在 Google Play 开发人员控制台中可用的高级分发功能 (例如) 添加其他应用屏幕截图,则可以使用 Google Play 开发人员控制台。
托管 Google Play 专用 (LOB) 应用直接在 Microsoft Intune 管理中心发布
选择“应用”>“所有应用”>“添加”。
在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
单击“选择”。 托管的 Google Play 应用商店显示在 Intune 中。
在 Google Play 窗口中) ,选择锁图标旁边的“专用应用 (。
单击右下角的 “+” 按钮添加新应用。
添加应用 标题 ,然后单击 上传 APK 添加 APK 应用包。
注意
- 你的应用包名称在 Google Play (必须全局唯一,而不仅仅是在你的企业或 Google Play 开发人员帐户) 中唯一。 否则,将收到 “上传具有不同包名称的新 APK 文件 ”错误。
- 应用的 APK 不得标记为可调试。 否则,将收到 APK 标记为可调试 错误。
单击“创建”。
对于要同步的专用应用,单击“ 选择 ”。
单击“应用”窗格上的“同步”,与托管的 Google Play 服务同步。
注意
专用应用可能需要几分钟才能同步。如果首次执行同步时应用未显示,请等待几分钟,单击要同步的专用应用的 “选择” 按钮,然后启动新的同步。
有关托管 Google Play 专用应用的详细信息(包括常见问题解答),请参阅 Google 的支持文章: https://support.google.com/googleplay/work/answer/9146439
重要
使用此方法添加的专用应用永远无法公开。 仅当你确定此应用将始终是组织的专用应用时,才使用此发布选项。
使用 Google 开发人员控制台发布的托管 Google Play 专用 (LOB) 应用
重要
尽管此方法仍受支持,但建议直接在Intune管理控制台中发布应用。 使用 Google 开发人员控制台发布的应用需要从Intune管理控制台中选择和同步。
- 使用用于配置 Intune 与 Android Enterprise 之间的连接的同一帐户登录到 Google Play 开发人员控制台。
注意
如果是首次登录,则必须注册并支付费用才能成为 Google 开发人员计划的成员。
- 在控制台中,添加新应用程序。 有关详细信息,请参阅 Google 的支持文档: 发布专用应用。
- 上传和提供有关你的应用的信息的方式与将任何应用发布到 Google Play 商店的方式相同。 但是,必须使用 Google Play Console 专门添加组织。 有关详细信息,请参阅 Google 的支持文档 发布到你自己的组织。
注意
按照 Google 的支持文档操作,使应用仅对组织可用。 该应用在公共 Google Play 商店中不可用。 有关上传和发布 Android 应用的详细信息,请参阅 Google 开发人员控制台帮助。
- 发布应用后,登录到 Microsoft Intune 管理中心。
- 选择“应用”>“所有应用”>“添加”。
- 在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
- 单击“选择”。 托管的 Google Play 应用商店显示在 Intune 中。
- 在 Google Play 窗口中) ,选择锁图标旁边的“专用应用 (。
- 对于要同步的专用应用,单击“ 选择 ”。
- 单击“应用”窗格上的“同步”,与托管的 Google Play 服务同步。
托管的 Google Play Web 链接
托管 Google Play Web 链接与其他 Android 应用一样可安装和管理。 在设备上安装后,它们将与其安装的其他应用一起显示在用户的应用列表中。 选中后,它们将在设备的浏览器中启动。
注意
如果已将 Intune 应用程序保护策略设置“从其他应用接收数据”配置为策略托管应用,则从托管 Google Play 推送的 Web 链接将不会在 Microsoft Edge 的企业上下文中打开。 通过托管 Google Play 向下推送 Web 链接时,不会将其识别为 MAM 托管的应用,这就是为什么如果用户未使用个人帐户登录,Microsoft Edge 将在个人上下文或 InPrivate 模式下打开。 有关相关信息,请参阅 Microsoft Intune 中的Android 应用保护策略设置。
Web 链接将使用Microsoft Edge 或你选择部署的任何其他浏览器应用打开。 请务必将至少一个浏览器应用部署到设备,以便 Web 链接能够正确打开。 但是,所有可用于 Web 链接的 显示 选项 (全屏、独立和最小 UI) 将仅适用于 Chrome 浏览器。
创建托管 Google Play Web 链接:
选择“应用”>“所有应用”>“添加”。
在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
单击“选择”。 托管的 Google Play 应用商店显示在 Intune 中。
在 Google Play 窗口中选择“环球”图标旁边的“Web 应用 () 。
单击右下角的 “+” 按钮添加新应用。
添加应用 标题、Web 应用 URL、选择应用的显示方式,然后选择应用图标。
单击“创建”。
如果添加完应用,请关闭“托管 Google Play”窗格。
单击“应用”窗格上的“选择并同步”,以与托管 Google Play 服务同步。
注意
Web 应用可能需要几分钟才能同步。如果首次执行同步时应用未显示,请等待几分钟,单击要同步的 Web 应用的 “选择” 按钮,然后启动新的同步。
在托管的 Google Play 中使用集合
集合是一种对托管 Google Play 应用进行分组并确定它们在最终用户 Play Store 中的显示顺序的方法。
若要创建托管的 Google Play 集合,请:
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“所有应用”>“添加”。
- 在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
- 单击“选择”。 托管的 Google Play 应用商店显示在 Intune 中。
- 在 Google Play 窗口中 选择“组织应用 ”。
- 选择“ 创建集合”。 将显示一个文本框来命名集合。
- 输入集合名称,然后单击“ 下一步”。 检查要添加到集合的已批准的 MGP 应用。 如果需要批准集合的其他应用,单击“ 添加应用 ”按钮将返回到托管的 Google Play 应用商店。 此外,可以通过单击每个应用旁边的箭头来编辑应用在集合中的显示顺序。 还可以使用侧箭头按钮编辑已创建的集合的顺序。 设置应用和集合的顺序是最终用户在 Play Store 应用中看到它们的顺序。
- 完成编辑后,单击“ 保存”。 将出现一个弹出框,要求你确认。
- 单击弹出框上的“ 保存 ”。
编辑后,最终用户可能需要一些时间才能查看对其集合所做的更改。 如果更改尚未完成同步,最终用户打开 Play Store 应用时,可能会看到 没有结果 文本的空屏幕。 最终用户仍然可以使用搜索栏来搜索和下载应用,即使屏幕显示也是如此。 创建至少一个集合后,所有不在任何其他集合中的现有已批准的托管 Google Play 应用将显示在默认 的“我的工作”应用 集合中。 在初始集合创建后批准的应用将没有集合分配,并且不会自动添加到 “我的工作”应用 集合中。
不属于任何集合的应用不会显示在最终用户的 Play Store 首页上。 但是,最终用户仍然可以搜索它们并在 Play Store 中安装。 可以将同一托管 Google Play 应用添加到多个集合。 每个集合最多可以包含 100 个应用。 有关集合的详细信息,请参阅 Google 的文档。
将托管 Google Play 应用与 Intune 同步
如果已从应用商店中批准应用,但未在 “应用” 工作负载中看到它,请强制立即同步,如下所示:
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“所有应用”>“添加”。
- 在 “选择应用类型 ”窗格的可用 “应用商店应用 类型”下,选择“ 托管的 Google Play 应用”。
- 单击“选择”。 托管的 Google Play 应用商店显示在 Intune 中。
- 单击“应用”窗格上的“同步”,与托管的 Google Play 服务同步。
将托管 Google Play 应用分配给 Android Enterprise 个人自有和公司自有工作配置文件设备
当应用显示在“应用”工作负载窗格的“应用许可证”节点中时,你可以分配它,就像通过将应用分配给用户组来分配任何其他应用一样。
分配应用后,该应用将 (安装或可用于在目标用户的设备上安装) 。 不要求设备用户批准安装。 有关 Android Enterprise 个人拥有的工作配置文件设备的详细信息,请参阅 设置 Android Enterprise 个人拥有的工作配置文件设备的注册。
在工作配置文件设备和公司拥有的设备上,可以使用 Intune 通过托管的 Google Play 商店向设备组提供应用。 以前,应用只能提供给用户组。 此外,可以使用 Intune 在具有工作配置文件的设备上配置应用更新优先级。 此外,你可以使用Intune通过托管的 Google Play 商店向用户提供所需的应用。
注意
只有已分配的应用才会显示在最终用户的托管 Google Play 商店中。 因此,这是管理员在使用托管 Google Play 设置应用时要采取的关键步骤。
将托管 Google Play 应用分配给 Android Enterprise 完全托管的设备
Android Enterprise 完全托管的设备 是企业拥有的设备,与单个用户相关联,仅用于工作,而不是个人使用。 完全托管设备上的用户可以从其设备上的托管 Google Play 应用获取其可用的公司应用。
默认情况下,Android Enterprise 完全托管的设备不允许员工安装任何未经组织批准的应用。 此外,员工将无法根据策略删除任何已安装的应用。 如果希望允许用户访问完整的 Google Play 商店以安装应用,而不是仅有权访问托管 Google Play 商店中的已批准应用,可以将 “允许访问 Google Play 商店中的所有应用 ”设置为 “允许”。 使用此设置,用户可以使用其公司帐户访问 Google Play 商店中的所有应用,但购买可能会受到限制。 你可以通过允许用户将新帐户添加到设备来取消受限购买限制。 这样做将使最终用户能够使用个人帐户从 Google Play 商店购买应用,以及进行应用内购买。 有关详细信息,请参阅使用 Intune 允许或限制功能的 Android Enterprise 设备设置。
注意
在载入期间,Microsoft Intune应用、Microsoft Authenticator 应用和公司门户应用将作为所需应用安装到所有完全托管的设备上。 自动安装这些应用可提供条件访问支持,Microsoft Intune应用用户可以看到并解决合规性问题。
更新托管 Google Play 应用
默认情况下,除非满足以下条件,否则托管 Google Play 应用不会更新:
- 设备已连接到 Wi-Fi
- 设备正在充电
- 设备未被主动使用
- 要更新的应用未在前台运行
有关详细信息,请参阅从 Google 管理应用汇报文档。
可以通过在设备配置策略中配置应用自动更新,选择为专用、完全托管和公司拥有的工作配置文件 设备配置 Wi-Fi 要求。
对于专用、完全托管、公司拥有和个人拥有的工作配置文件设备,可以在将应用分配给组时选择应用更新模式。 可用的更新模式包括:
- 默认值:应用的更新受上述) 中所述 (默认条件的约束。
- 高优先级:应用将从发布新更新后尽快更新,而不考虑所有默认条件。 这可能会对某些用户造成中断,因为更新可能会在使用设备时发生。
- 推迟:当应用收到新更新时,将触发 90 天的等待期。 90 天后,应用将更新到可用的最新版本,即使该版本不是触发等待期的更新也是如此。 请注意,90 天时段不可配置。 若要提前终止等待期,请将更新模式更改为 “默认” 或 “高优先级”。
编辑应用更新模式:
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“所有应用”。
- 从应用列表中选择应用。
- 选择“属性”。
- 选择“分配”部分的“编辑”。
- 单击该组的相应组模式,找到要编辑其应用更新模式的组。
- 在 “应用设置”下,选择所需的更新模式。
管理 Android Enterprise 应用权限
Android Enterprise 要求先在托管 Google Play Web 控制台中批准应用,然后才能将其与Intune同步并分配给用户。 由于 Android Enterprise 允许以无提示方式自动将应用推送到用户的设备,因此必须代表所有用户接受应用权限。 用户在安装应用时看不到任何应用权限,因此请务必了解这些权限。
当应用开发人员使用新版本的应用更新权限时,即使你批准了以前的权限,权限也不会自动接受。 运行应用早期版本的设备仍然可以使用它。 但是,在批准新权限之前,不会升级应用。 在你批准应用的新权限之前,未安装应用的设备不会安装应用。
更新应用权限
定期访问托管的 Google Play 控制台,以检查新权限。 你可以将 Google Play 配置为在批准的应用需要新权限时向你或其他人发送电子邮件。 如果分配应用并发现它未安装在设备上,请按照以下步骤检查新权限:
- 转到 Google Play。
- 使用用于发布和批准应用的 Google 帐户登录。
- 选择“汇报”选项卡,检查以查看是否有任何应用需要更新。 任何列出的应用都需要新权限,在应用这些权限之前不会分配这些权限。
或者,你可以将 Google Play 配置为按应用自动重新提供应用权限。
Android Enterprise 个人拥有的工作配置文件设备的其他托管 Google Play 应用报告
对于部署到 Android Enterprise 个人拥有的工作配置文件设备的托管 Google Play 应用,可以使用 Intune 查看设备上安装的应用的状态和版本号。
使用托管的 Google Play 封闭式测试轨道
可以将托管 Google Play 应用的非生产版本分发到在 Android Enterprise 方案中注册的设备, (Android Enterprise 个人拥有的工作配置文件 (BYOD) 、Android Enterprise 完全托管 (COBO) 、使用Microsoft Entra共享模式注册 (的 Android Enterprise 专用设备(即 COSU) ),以及 Android Enterprise 公司拥有的工作配置文件 (COPE) ) 以执行测试。 在Intune中,可以查看应用是否发布了预生产生成测试跟踪,以及能否将该跟踪分配给Microsoft Entra用户组或设备组。 将生产版本分配给当前存在的组的工作流与分配非生产通道相同。 部署后,每个曲目的安装状态将与托管 Google Play 中的曲目版本号相对应。 有关详细信息,请参阅 Google Play 的封闭式测试轨道,用于应用预发布测试。
注意
在 Android Enterprise 个人拥有的工作配置文件 (BYOD) 中注册的设备当前无法使用非生产应用轨道所需的应用部署。
删除托管的 Google Play 应用
如有必要,可以从Microsoft Intune中删除托管 Google Play 应用。 若要删除托管的 Google Play 应用,请在门户中打开Microsoft Intune,然后选择“应用>所有应用”。 从应用列表中,选择托管 Google Play 应用右侧的省略号 (...) ,然后从显示的列表中选择“ 删除 ”。
注意
如果某个应用未获批准或从托管的 Google Play 商店中删除,则不会从Intune客户端应用列表中删除该应用。 这样,即使应用未获批准,仍可将卸载策略面向用户。
若要关闭 Android Enterprise 注册和管理,请参阅 断开 Android Enterprise 管理帐户的连接。
Android Enterprise 系统应用
可以为 Android Enterprise 专用设备或完全托管设备启用 Android Enterprise 系统应用。 有关添加 Android Enterprise 系统应用的详细信息,请参阅将 Android Enterprise 系统应用添加到Microsoft Intune。
使用已注册Microsoft Entra共享模式的 AE 专用设备的 MAM 策略
使用Microsoft Entra共享模式注册的Intune托管 Android Enterprise 专用设备可以接收 MAM 策略,并且可以与其他 Android 企业设备分开定位。 Intune托管的 Android Enterprise 专用设备(不处于共享设备模式)将继续被阻止获取 MAM。 有关使用Microsoft Entra共享模式注册的Intune托管 Android Enterprise 专用设备的详细信息,请参阅 Android Enterprise 专用设备。