使用 Microsoft Intune 將應用程式指派給群組
將應用程式新增至 Microsoft Intune 之後,您可以將應用程式指派給使用者和裝置。 請務必注意,無論裝置是否由 Intune 管理,您都可以將應用程式部署到裝置。
注意事項
將 Android Enterprise (完全受控裝置的目標設為 COBO) 和 Android Enterprise 公司擁有的個人 () 裝置時,使用者群組和裝置群組支援 [適用於已註冊的裝置] 部署意圖。
指派受控應用程式時的選項
下表列出 將應用程式指派給 使用者和裝置時的各種選項:
選項 | 向 Intune 註冊的裝置 | 未向 Intune 註冊的裝置 |
---|---|---|
指派給使用者 | 是 | 是 |
指派給裝置 | 是 | 否 |
指派已包裝的應用程式或應用程式,併入應用程式保護原則的 Intune SDK () | 是 | 是 |
將應用程式指派為可用 | 是 | 是 |
將應用程式指派為必要專案 | 是 | 否 |
卸載應用程式 | 是 | 否 |
從Intune 接收應用程式更新 | 是 | 否 |
終端使用者從 公司入口網站 應用程式安裝可用的應用程式 | 是 | 否 |
終端使用者會從網頁型 公司入口網站 安裝可用的應用程式 | 是 | 是 |
注意事項
目前,您可以將 iOS/iPadOS 和 Android 應用程式指派 (企業營運和市集購買的應用程式,) 指派給未向 Intune 註冊的裝置。
若要在未向 Intune 註冊的裝置上收到應用程式更新,裝置使用者必須前往其組織的公司入口網站,然後手動安裝應用程式更新。
對於幾乎所有應用程式類型和平臺而言, 可用指派 只有在指派給使用者群組時才有效,而非裝置群組。 Win32 應用程式可以指派給使用者或裝置群組。
如果在 Android Enterprise 個人擁有的工作設定檔裝置上,如有需要指派受控 Google Play 生產前追蹤應用程式,它們將不會安裝在裝置上。 若要解決這個問題,請建立兩個相同的使用者群組,並將生產前曲目指派為「可用」給其中一個,並將「必要」指派給另一個。 結果是生產前追蹤會成功部署到裝置。
指派應用程式
選取 [應用程式]>[所有應用程式]。
在 [ 應用程式] 窗格中,選取您要指派的應用程式。
在功能表的 [ 管理 ] 區段中,選取 [ 屬性]。
向下捲動至 [屬性 ],然後選取 [ 指派]。
選 取 [新增群組 ] 以開啟與應用程式相關的 [ 新增群組 ] 窗格。
針對特定應用程式,選取指 派類型:
適用於已註冊的裝置:將應用程式指派給可從 公司入口網站 應用程式或網站安裝應用程式的使用者群組。
不需註冊即可使用:將此應用程式指派給裝置未向 Intune 註冊的使用者群組。 用戶必須獲指派 Intune 授權,請參閱 Intune 授權。
必要:應用程式會安裝在所選群組中的裝置上。 某些平臺可能會有額外的提示,讓終端使用者在應用程式安裝開始之前確認。
卸載:如果 Intune 先前已透過使用相同部署的「適用於已註冊的裝置」或「必要」指派將應用程式安裝到裝置上,則會從選取群組中的裝置卸載應用程式。
注意事項
只適用於 iOS/iPadOS 應用程式:
- 若要設定當裝置不再受管理時,受控應用程式會發生什麼情況,您可以在裝置 移除時選取 [卸載] 底下的預定設定。 如需詳細資訊,請參閱 iOS/iPadOS 受控應用程式的應用程式卸載設定。
- 如果您已建立包含個別應用程式 VPN 設定的 iOS/iPadOS VPN 設定檔,您可以在 VPN 下選取 VPN 設定檔。 執行應用程式時,會開啟 VPN 連線。 如需詳細資訊,請參閱 iOS/iPadOS 裝置的 VPN 設定。
- 若要設定使用者是否將必要的 iOS/iPadOS 應用程式安裝為抽取式應用程式,您可以選取 [ 安裝為卸載式] 底下的設定。
- 若要設定防止受控 iOS/iPadOS 應用程式的 iCloud 備份的方法,您可以在新增群組指派 - VPN 或卸載裝置移除或安裝為卸除後,按兩下列其中一個設定。 然後,設定名為 [防止 iCloud 應用程式備份] 的設定。 如需詳細資訊,請 參閱防止 iOS/iPadOS 和 macOS 應用程式的 iCloud 應用程式備份設定。
僅適用於 macOS 應用程式:
- 若要設定防止受控 macOS 應用程式的 iCloud 備份的方法,您可以在新增群組指派之後按下列其中一個設定 - VPN 或卸載裝置移除,或安裝為卸除式。 然後,設定名為 [防止 iCloud 應用程式備份] 的設定。 如需詳細資訊,請 參閱防止 iOS/iPadOS 和 macOS 應用程式的 iCloud 應用程式備份設定。
僅適用於 Android 應用程式:
- 如果您將 Android 應用程式部署為 [無論註冊是否可用],報告狀態將僅適用於已註冊的裝置。
針對 [適用於已註冊的裝置]:
- 只有在登入 公司入口網站 的用戶是註冊裝置的主要使用者,且應用程式適用於裝置時,應用程式才會顯示為可用。
若要選取受此應用程式指派影響的使用者群組,請選擇 [包含 群組] 。
選取要包含的一或多個群組之後,請選取 [ 選取]。
在 [ 指派] 窗格中,選取 [ 確定] 以完成包含的群組選取。
如果您想要排除任何使用者群組不受此應用程式指派影響,請選取 [排除 群組]。
如果您已選擇排除任何群組,請在 [ 選取群組] 中選取 [ 選取]。
在 [ 新增群組 ] 窗格中,選取 [ 確定]。
在 [應用程式 指派] 窗格中,選取 [ 儲存]。
應用程式現在會指派給您選取的群組。 如需包含和排除應用程式指派的詳細資訊,請參閱 包含和排除應用程式指派。
提示
Intune 也支援將應用程式指派給巢狀群組。 例如,如果您將應用程式指派給「工程通用」群組,並以「工程 APAC」、「工程 EMEA」和「工程美國」巢狀為子群組,則這些子群組的成員也會以指派為目標。
防止 iOS/iPadOS 和 macOS 應用程式的 iCloud 應用程式備份設定
對於使用者和裝置授權的 VPP/非 VPP 應用程式,系統管理員可以選擇不再備份受控 App Store 應用程式和企業營運 (LOB) iOS/iPadOS 上的應用程式,以及 macOS 裝置上的受控 App Store 應用程式。 macOS LOB 應用程式不支援此設定。 這項功能包括隨附和不含 VPP 傳送的全新和現有 App Store/LOB 應用程式,這些應用程式會新增至 Intune,並以使用者和裝置為目標。 防止指定受控應用程式的備份,可確保在裝置註冊並從備份還原時,可以透過 Intune 正確部署這些應用程式。 如果您為租使用者中的新/現有應用程式設定新的設定,受控應用程式可以而且將會針對裝置重新安裝,但 Intune 將不再允許備份它們。
注意事項
雖然我們不預期裝置上的受控應用程式會將數據備份至 iCloud,但請注意,在備份和還原之後,可能無法在本機儲存受控應用程式的數據。
針對現有的裝置,當應用程式/應用程式的 [防止 iCloud 應用程式備份] 設定為 [是] 時,會針對具有或不含 VPP) (的所有必要 App Store/LOB 應用程式自動更新新行為。 將設定值儲存為 [ 是] 之後,會自動為所有裝置重新設定先前安裝在裝置上的必要應用程式。 可用的應用程式需要使用者從 公司入口網站 應用程式或 公司入口網站 網站重載可用的應用程式。 此外,根據應用程式的設定和授權,可能需要 Intune 與裝置之間的同步處理。
如何解決應用程式意圖之間的衝突
單一群組無法成為多個應用程式指派意圖的目標,不過,如果使用者或裝置是多個群組的成員,且每個群組都以不同的意圖指派,則會導致衝突。 不建議為應用程式建立指派衝突。 下表中的資訊可協助您了解發生衝突時所產生的意圖:
群組 1 意圖 | 群組 2 意圖 | 產生的意圖 |
---|---|---|
需要使用者 | 用戶可用 | 必要和可用 |
需要使用者 | 使用者卸載 | 必要 |
用戶可用 | 使用者卸載 | 解除安裝 |
需要使用者 | 需要裝置 | 兩者都存在,Intune 視需要 |
需要使用者 | 裝置卸載 | 兩者都存在,Intune 解決必要 |
用戶可用 | 需要裝置 | 兩者都存在,Intune 解析必要 (和可用) |
用戶可用 | 裝置卸載 | 兩者都存在,Intune 解析 [可用]。 應用程式會顯示在 公司入口網站 中。 如果應用程式已安裝 (為具有先前意圖) 的必要應用程式,則會卸載應用程式。 如果使用者從 公司入口網站 選取 [安裝],則會安裝應用程式,且不接受卸載意圖。 |
使用者卸載 | 需要裝置 | 兩者都存在,Intune 解決必要 |
使用者卸載 | 裝置卸載 | 兩者都存在,Intune 解析卸載 |
需要裝置 | 裝置卸載 | 必要 |
使用者必要且可用 | 用戶可用 | 必要和可用 |
使用者必要且可用 | 使用者卸載 | 必要和可用 |
使用者必要且可用 | 需要裝置 | 同時存在、必要和可用 |
使用者必要且可用 | 裝置卸載 | 兩者都存在,Intune 解析必要 (和可用) |
使用者不需註冊即可使用 | 使用者必要且可用 | 必要和可用 |
使用者不需註冊即可使用 | 需要使用者 | 必要 |
使用者不需註冊即可使用 | 用戶可用 | 可以使用 |
使用者不需註冊即可使用 | 需要裝置 | 必要且不註冊即可使用 |
使用者不需註冊即可使用 | 裝置卸載 | 卸載且不需註冊即可使用。 如果使用者未從 公司入口網站 安裝應用程式,則會接受卸載。 如果使用者從 公司入口網站 安裝應用程式,安裝會優先於卸載。 |
注意事項
僅適用於受控 iOS 市集應用程式,當您將這些應用程式新增至 Microsoft Intune,並將其指派為必要時,會自動建立具有必要和可用意圖的應用程式。
iOS 市集應用程式 (非 iOS/iPadOS VPP 應用程式) 在裝置簽入時,會在裝置上強制執行以必要意圖為目標的應用程式,也會顯示在 公司入口網站 應用程式中。
當裝置 移除設定的 [卸載 ] 中發生衝突時,當裝置不再受管理時,不會從裝置移除應用程式。
注意事項
部署為公司擁有之工作配置檔和公司擁有之完全受控裝置所需之應用程式,無法由使用者手動卸載。
將受控Google Play 應用程式部署至非受控裝置
針對未註冊的 Android 裝置,您可以使用受控 Google Play 將市集應用程式和企業營運 (LOB) 應用程式部署給使用者。 部署之後,您可以使用 行動應用程式管理 (MAM) 來管理應用程式。 受控 Google Play 應用程式會在使用者裝置上的 Play 市集應用程式中出現,而不是出現在 公司入口網站 應用程式中。 終端使用者會從 Play 應用程式以這種方式瀏覽和安裝部署的應用程式。 由於應用程式是從受控 Google Play 安裝,因此終端使用者不需要變更其裝置設定,即可允許從未知來源安裝應用程式,這表示裝置將會更安全。 如果應用程式開發人員將新版本的應用程式發佈至安裝在用戶裝置上的 Play,則 Play 會自動更新應用程式。
將受控 Google Play 應用程式指派給非受控裝置的步驟:
將您的 Intune 租用戶連線到受控Google Play。 如果您已經這麼做來管理 Android Enterprise 個人擁有、專用、完全受控或公司擁有的工作配置檔裝置,則不需要再執行一次。
將受控Google Play中的應用程式新增至您的 Intune 系統管理中心。
以受控 Google Play 應用程式為目標,無論是否向所需的使用者群組 註冊都可 使用。 未 註冊的裝置不支援必要和 卸載 應用程序目標。
將應用程式保護原則指派給使用者群組。
用戶記錄在任何受保護的應用程式中。
使用者下次開啟 公司入口網站 應用程式並完成登入程式時,他們會在 [應用程式] 區段中看到一則訊息,指出有可用的應用程式。 用戶可以選取此通知來流覽至 Play Store。
注意事項
您可以將 裝置註冊設定選項 設定為 [可用]、[沒有提示 ] 或 [ 無法使用]。 此設定可防止使用者在登入 公司入口網站 之後,無意中註冊其裝置或收到通知來註冊其裝置。
終端使用者可以展開 Play Store 應用程式內的操作功能表,並在其個人 Google 帳戶 (看到其個人應用程式) 的位置,以及其工作帳戶 (之間切換,他們會看到以他們為目標的市集和 LOB 應用程式) 。 終端使用者會點選 [在 Play Store 應用程式中安裝] 來安裝應用程式。
當應用程式選擇性抹除在 Intune 系統管理中心發出時,工作帳戶會自動從 Play Store 應用程式中移除,而使用者會從該時間點看到 Play Store 應用程式目錄中的工作應用程式。 從裝置移除工作帳戶時,從 Play Store 安裝的應用程式會保留在裝置上,且不會卸載。
iOS 受控應用程式的應用程式卸載設定
針對 iOS/iPadOS 裝置,您可以選擇從 Intune 取消註冊裝置時,受控應用程式會發生什麼情況,或在裝置移除設定上使用卸載來移除管理配置檔。 此設定僅適用於註冊裝置並以受控方式安裝應用程式之後的應用程式。 無法為 Web 應用程式或 Web 連結設定此設定。 只有行動應用程式管理 (MAM) 所保護的數據會在應用程式選擇性抹除淘汰後移除。
新指派會預先填入設定的預設值,如下所示:
iOS 應用程式類型 | [裝置移除時卸載] 的預設設定 |
---|---|
企業營運應用程式 | 是 |
市集應用程式 | 否 |
VPP 應用程式 | 否 |
內建應用程式 | 否 |
注意事項
「可用」指派類型:如果您要將此設定更新為「適用於已註冊的裝置」或「可使用或不含註冊」群組,則在使用者同步裝置與 Intune 並重新安裝應用程式之前,已經擁有受控應用程式的使用者將不會取得更新的設定。
預先存在的指派: 應用程式卸載設定是在 2019 年 5 月導入。 在此日期之前存在的指派未修改,而且所有受控應用程式都會在裝置從管理中移除時移除。 如果您的指派是在 2019 年 5 月之前建立,您可能需要明確設定應用程式卸載設定,因為上述預設設定可能不適用。
後續步驟
若要深入瞭解監視應用程式指派,請參閱 如何監視應用程式。