如何使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式
Apple 讓您使用 Apple Business Manager 或 Apple School Manager,針對您想要在組織中用於 iOS/iPadOS 和 macOS 裝置上的應用程式購買多個授權。 您可以將您的大量採購資訊與 Intune 同步處理,並追蹤大量採購的應用程式使用情況。 購買應用程式授權可協助您有效地管理公司內的應用程式,並保留對已購買之應用程式的擁有權和控制。
Microsoft Intune 可藉由下列方式協助您管理透過此方案所購買的應用程式:
- 同步您從 Apple Business Manager 所下載的位置權杖。
- 追蹤有多少已購買的應用程式可供使用及已經使用。
- 協助您安裝所擁有之最大授權數量的應用程式。
此外,針對從 Apple Business Manager 所購買的書籍,您可以使用 Intune 來針對 iOS/iPadOS 裝置進行同步處理、管理及指派。 如需詳細資訊,請參閱如何管理透過大量採購方案購買的 iOS/iPadOS 電子書。
什麼是位置權杖?
位置權杖是大量採購授權,以前稱為大量採購方案 (VPP) 權杖。 這些位置權杖是用於指派及管理使用 Apple Business Manager 購買的授權。 內容管理員可以在 Apple Business Manager 中購買並使用具備權限的位置權杖與授權建立關聯。 接著會從 Apple Business Manager 下載這些位置權杖,並在 Microsoft Intune 中上傳它們。 Microsoft Intune 支援針對每個租用戶上傳多個位置權杖。 每個權杖有效期限為一年。
注意事項
Apple 大量採購方案 (VPP) 已整合到 Apple Business Manager。 Apple Business Manager 是可供系統管理員部署 Apple 裝置並大量取得內容的入口網站。 內容可能包括應用程式、書籍和自訂應用程式。 位置權杖是用於指派及管理使用 Apple Business Manager 購買的授權。 VPP 現在稱為舊版的 VPP 權杖。
已購買之應用程式的授權方式為何?
您可以使用 Apple 針對 iOS/iPadOS 和 macOS 裝置所提供的兩種授權類型,將已購買的應用程式指派給群組。
注意事項
裝置授權的 VPP 應用程式只能透過 MDM 通道安裝和更新。 用戶無法直接前往市集以手動安裝或更新 VPP 應用程式。
動作 | 裝置授權 | 使用者授權 |
---|---|---|
App Store 登入 | 不需要。 | 當系統提示每個使用者登入 App Store 時,都必須使用唯一的 Apple ID。 |
裝置設定封鎖存取 App Store | 可以使用公司入口網站來安裝及更新應用程式。 | 加入 Apple Business Manager 的邀請需要存取 App Store。 如果您已設定停用 App Store 的原則,則 VPP 應用程式的使用者授權將無法運作。 |
自動應用程式更新 | 如 Intune 系統管理員在 Apple Business Manager 權杖設定中所設定的。 如果指派類型為 [適用於已註冊的裝置],您也可以透過選取應用程式詳細資料頁面上的 [更新] 動作,從公司入口網站安裝可用的應用程式更新。 |
如 Intune 系統管理員在 Apple Business Manager 權杖設定中所設定的。 如果指派類型為 [適用於已註冊的裝置],您也可以透過選取應用程式詳細資料頁面上的 [更新] 動作,從公司入口網站安裝可用的應用程式更新。 |
用戶註冊 | 不支援。 | 支援使用受控 Apple ID。 |
書籍 | 不支援。 | 支援。 |
使用的授權 | 每個裝置 1 個授權。 授權與裝置相關聯。 | 最多 5 部使用相同個人 Apple ID 的裝置有 1 個授權。 授權會與使用者建立關聯。 在 Intune 中與個人 Apple ID 和受控 Apple ID 相關聯的使用者會使用 2 個應用程式授權。 |
授權移轉 | 只有在使用 [必要] 指派類型的情況下,應用程式才能以無訊息方式從使用者授權移轉為裝置授權。 | 無論是哪種指派類型,應用程式都無法從裝置授權移轉為使用者授權。 |
注意事項
公司入口網站不會在 [使用者註冊] 裝置上顯示裝置授權的應用程式,因為在 [使用者註冊] 裝置上僅能安裝使用者授權的應用程式。
當您為 Apple 大量採購方案 (VPP) 建立新的指派時,預設授權類型現在為「裝置」。 現有的指派仍保持不變。
支援哪些應用程式類型?
您可以使用 Apple Business Manager 來購買並發佈公用及私人應用程式。
- 市集應用程式: 內容管理員可以使用 Apple Business Manager 取得 App Store 中所提供的免費和付費應用程式。
- 自訂應用程式: 內容管理員也可以使用 Apple Business Manager 取得以私人方式向貴組織提供的自訂應用程式。 這些應用程式會由與您直接合作的開發人員,針對您組織的特定需求量身打造。 深入了解如何散發自訂應用程式 \(英文\)。
必要條件
- 適用於您組織的 Apple Business Manager 或 Apple School Manager 帳戶。
- 已指派至一或多個位置權杖之已購買的應用程式授權。
- 已下載的位置權杖。
重要事項
- 單一位置權杖同時只能搭配單一裝置管理解決方案使用。 開始搭配 Intune 使用已購買的應用程式之前,請撤銷並移除搭配其他行動裝置管理 (MDM) 廠商使用的任何現有位置權杖。
- 單一位置權杖僅支援同時搭配單一 Intune 用戶端使用。 請勿將相同的權杖重複用於多個 Intune 租用戶。
- 根據預設,Intune 每天與Apple同步處理一次位置令牌。 您可以隨時從 Intune 起始手動同步處理。
- 在您將位置權杖匯入到 Intune 之後,請不要將相同的權杖匯入到任何其他裝置管理解決方案。 這樣做可能會導致授權指派與使用者記錄遺失。
從大量採購方案 (VPP) 移轉至「App 及書籍」
如果您的組織尚未移轉至 Apple Business Manager 或 Apple School Manager,請檢閱 Apple 針對移轉至 [App 及書籍] 的指引,再繼續於 Intune 中管理已購買的應用程式。
重要事項
- 為了獲得最佳的移轉體驗,請針對每個位置僅移轉單一 VPP 購買者。 如果每個購買者都移轉到唯一位置,所有的授權 (包括已指派和未指派的授權) 都會移轉至 [App 及書籍]。
- 請不要刪除 Intune 中的現有舊版 VPP 權杖,或是 Intune 中與現有舊版 VPP 權杖相關聯的應用程式和指派。 這些動作將需要在 Intune 中重新建立所有應用程式指派。
在 Apple Business Manager 或 Apple School Manager 中將現有的已購買 VPP 內容和權杖移轉至 [App 及書籍] 的步驟如下:
- 邀請 VPP 購買者加入您的組織,並引導每個使用者選取唯一的位置。
- 在繼續之前,請確定組織內的所有 VPP 購買者都已完成步驟 1。
- 確認所有已購買的應用程式和授權都已經移轉至 Apple Business Manager 或 Apple School Manager 中的 [App 及書籍]。
- 移至 Apple Business (或 School) Manager>您的名稱>喜好設定>收費 和計費>應用程式和書籍>內容令牌下載,以下載新的位置令牌>。
- 移至租用戶系統管理>連接器和令牌>Apple VPP 令牌,並手動上傳令牌,以更新 Microsoft Intune 系統管理中心的位置令牌。
上傳 Apple VPP 或 Apple Business Manager 位置權杖
- 登入 Microsoft Intune 系統管理中心。
- 選取 [租用戶系統管理]>[連接器與權杖]>[Apple VPP 權杖]。
- 在 VPP 權杖清單窗格上,選取 [建立]。 [建立 VPP 權杖] 程序隨即顯示。 建立 VPP 權杖時,會使用四個頁面。 第一個是 [基本]。
- 在 [基本] 頁面上,指定下列資訊:
- 權杖名稱 - 用於設定權杖名稱的系統管理欄位。
- Apple ID - 輸入與已上傳權杖相關聯的帳戶的受控 Apple ID。
- VPP 權杖檔案 - 如果您尚未這麼做,請註冊 Apple Business Manager 或 Apple School Manager。 註冊之後,請在這裡下載並選取您帳戶的 Apple Business Manager 位置權杖 (Apple VPP 權杖)。
- 按一下 [下一步] 以顯示 [設定] 頁面。
- 在 [設定] 頁面上,指定下列資訊:
從其他 MDM 中控制權杖 - 將此選項設定為 [是],以允許從其他 MDM 解決方案將權杖重新指派給 Intune。
國家/地區 - 選取 VPP 國家/地區市集。 Intune 會從指定的 VPP 國家/地區市集同步所有地區設定的 VPP 應用程式市集。
警告
變更國家/地區將會針對搭配此權杖所建立的應用程式,在下次與 Apple 服務進行更新時更新應用程式中繼資料和 App Store URL。 如果應用程式不存在於新的國家/地區市集,即不會更新應用程式。
VPP 帳戶類型 - 請選擇 [商務] 或 [教育]。
自動更新應用程式 - 請選擇 [是] 或 [否] 以啟用自動更新。 啟用時,Intune 會偵測 app store 內的 VPP 應用程式更新,並在裝置簽入時將更新自動推送至裝置。
注意事項
Apple VPP 應用程式的自動應用程式將會針對必要與可用安裝意圖自動更新。 不過,在這兩種情況下,如果裝置已簽入,但未安裝更新,預期會暫時回報錯誤訊息 「0x87D13B9F/VPP 應用程式已安裝,但有較新的版本可用」 。 在下次簽入時,只要使用者仍包含在 [必要] 或 [可用] 指派中,Intune 就會將安裝命令傳送至裝置。 不過,如果使用者或裝置從指派中移除,Intune 將不再將更新推送至該特定應用程式,即使 Intune 原本安裝應用程式也一般。
更新 VPP 應用程式時,裝置最多可能需要 24 小時才能接收更新的 VPP 應用程式。 裝置必須解除鎖定,才能成功安裝更新。
如果您將 Apple VPP 應用程式的應用程式安裝意圖從 [必要 ] 變更為 [ 可用],則已安裝的應用程式將會停止自動更新。 在意圖變更為 [可用] 之後手動安裝應用程式,應該會繼續自動更新。
我授權給 Microsoft 傳送使用者及裝置資訊到 Apple。 - 您必須選取 [我同意] 才能繼續。 若要檢視 Microsoft 將哪些資料傳送給 Apple,請參閱 Intune 傳送至 Apple 的資料。
- 按一下 [下一步] 以顯示 [範圍標籤] 頁面。
- 按一下 [選取範圍標籤] 來選擇性地為應用程式新增範圍標籤。 如需詳細資訊,請參閱 針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
- 按一下 [下一步] 以顯示 [檢視 + 建立] 頁面。 檢閱您針對 VPP 權杖所輸入的值與設定。
- 完成時按一下 [建立]。 該權杖會顯示在權杖清單窗格內。
同步 VPP 權杖
您可以在 Intune 中針對選取的權杖選擇 [同步],來同步您已購買之應用程式的應用程式名稱、中繼資料和授權資訊。
指派大量採購應用程式
選取 [應用程式]>[所有應用程式]。
在應用程式清單窗格上,選擇您要指派的應用程式,然後選擇 [屬性]。 選取位於 [指派] 旁的 [編輯]。
在 [指派] 索引標籤上,選擇應用程式為 [必要的] 或 [適用於已註冊的裝置]。
在您選取的指派類型下選擇 [新增群組],然後在 [選取群組] 窗格上選擇要指派應用程式的 Microsoft Entra 使用者或裝置群組。
注意事項
當您為 Apple 大量採購方案 (VPP) 建立新的工作分派時,預設授權類型為「裝置」。 現有的指派仍保持不變。
完成之後,請選擇 [儲存]。
注意事項
可用的部署用途不支援裝置群組,僅支援使用者群組。 顯示的應用程式清單與權杖有關。 如果您的應用程式與多個 VPP 權杖有相關聯,您會看到相同的應用程式顯示多次;每個權杖顯示一次。
注意事項
在使用者起始應用程式安裝之前,指派為 [可用] 的應用程式不會在裝置上受控。 一旦已安裝指派為 [可用] 的應用程式,或使用者嘗試安裝應用程式,Intune 會確保應用程式已獲得授權。
注意事項
Intune (或任何其他 MDM) 實際上不會安裝 VPP 應用程式。 相反地,Intune 會連線到您的 VPP 帳戶,並告訴 Apple 要將哪些應用程式授權指派給哪些裝置。 從該位置,所有實際安裝都會在 Apple 與裝置之間處理。
VPP 的使用者提示
終端使用者將會在許多案例中收到 VPP 應用程式安裝的提示。 下表說明每個條件:
# | 案例 | 邀請加入 Apple VPP 方案 | 應用程式安裝提示 | 提示輸入 Apple ID |
---|---|---|---|---|
1 | BYOD – 授權的使用者 (非「使用者註冊裝置」裝置) | Y | Y | Y |
2 | 公司 – 授權的使用者 (不受監督的裝置) | Y | Y | Y |
3 | 公司 – 授權的使用者 (受監督的裝置) | Y | N | Y |
4 | BYOD – 授權的裝置 | N | Y | N |
5 | 公司 – 授權的裝置 (不受監督的裝置) | N | Y | N |
6 | 公司 – 授權的裝置 (受監督的裝置) | N | N | N |
7 | Kiosk 模式 (受監督的裝置)–授權的裝置 | N | N | N |
8 | Kiosk 模式 (受監督的裝置) – 授權的使用者 | --- | --- | --- |
注意事項
在受監督裝置上執行的使用者和裝置授權應用程式 (上表中的案例 3 和 6,如果應用程式正在使用中或是在背景中執行,) 仍會提示更新。 接受安裝應用程式的提示可能不會導致應用程式安裝。 若要更新應用程式,您必須:關閉應用程式、起始同步處理,並在應用程式更新時讓裝置保持解除鎖定。
注意事項
不建議將 VPP 應用程式指派給使用使用者授權的 Kiosk 模式裝置。
注意事項
當裝置在單一應用程式模式中鎖定時,您無法更新任何應用程式。 您必須結束單一應用程式模式夠長的時間,才能視需要更新應用程式。 在該時間內,您應該盡可能限制可見的應用程式,但 [設定] 和其他無法封鎖的應用程式除外。
撤銷應用程式授權
您可以根據指定的裝置、使用者或應用程式,撤銷所有相關聯的 iOS/iPadOS 或 macOS 大量採購方案 (VPP) 應用程式授權。 但 iOS/iPadOS 和 macOS 平台之間有一些差異。
動作 | iOS/iPadOS | macOS |
---|---|---|
移除應用程式指派 | 移除應用程式指派是撤銷應用程式授權的先決條件。 當您移除使用者的應用程式指派時,在您將指派變更為 [卸載] 之前,Intune 不會回收使用者或裝置授權。 如果在安裝應用程式時移除應用程式指派,而且從未指派為 [卸載],它仍會保持安裝狀態,但將不再提供安裝給使用者或裝置。 | 移除應用程式指派是撤銷應用程式授權的先決條件。 當您移除使用者的應用程式指派時,在您將指派變更為 [卸載] 之前,Intune 不會回收使用者或裝置授權。 如果在安裝應用程式時移除應用程式指派,而且從未指派為 [卸載],它仍會保持安裝狀態,但將不再提供安裝給使用者或裝置。 |
撤銷應用程式授權 | 拿掉應用程式指派之後,您可以使用 撤銷授權 動作,從使用者或裝置回收應用程式授權。 您必須將指派變更為 [卸載 ],才能從裝置移除應用程式,並撤銷應用程式授權。 | 拿掉應用程式指派之後,您可以使用 撤銷授權 動作,從使用者或裝置回收應用程式授權。 具有已撤銷授權的 macOS 應用程式仍可在裝置上使用,但必須等到將授權重新指派給使用者或裝置之後,才能更新。 根據 Apple,這類應用程式會在 30 天的寬限期後移除。 您必須將指派變更為 [卸載 ],才能從裝置移除應用程式,並撤銷應用程式授權。 |
注意事項
- Intune 在員工離職且不再屬於 Microsoft Entra 群組時,回收應用程式授權。
- 將 [解除安裝] 意圖指派給已購買的應用程式時,Intune 會同時回收授權並解除安裝應用程式。
- 從 Intune 管理移除裝置時,並不會回收應用程式授權。
- 當使用者從 Microsoft Entra ID 刪除時,Intune 會撤銷應用程式授權。
- Intune 只支援撤銷符合下列條件的 VPP 應用程式授權:
- VPP 應用程式授權必須由 Intune 指派
- VPP 應用程式授權適用於由 Intune 管理的裝置
- VPP 應用程式授權與 Intune 裝置記錄仍然存在的裝置相關
刪除 VPP 權杖
您可以使用主控台來刪除 Apple 大量採購方案 (VPP) 權杖。 當您擁有重複的 VPP 權杖執行個體時,這可能是必要的。 刪除權杖也會刪除任何相關聯的應用程式和指派。 刪除權杖會撤銷相關聯的應用程式授權,但不會將應用程式解除安裝。
注意事項
刪除權杖之後,Intune 無法撤銷應用程式授權。
若要撤銷指定 VPP 權杖的所有 VPP 應用程式的授權,您必須先撤銷與權杖相關聯的所有應用程式授權,然後刪除權杖。
更新 VPP 權杖或 Apple Business Manager 位置權杖
您可以藉由從 Apple Business Manager 或 Apple School Manager 再次下載權杖並更新 Intune 中的現有權杖,來更新 Apple Business Manager 位置權杖 (Apple VPP 權杖)。
若要更新 Apple Business Manager 位置權杖 (Apple VPP 權杖),請使用下列步驟:
- 瀏覽至 Apple Business Manager 或 Apple School Manager。
- 在 Apple Business (或 School) Manager 中,選取 [喜好>設定 收費 和計費>應用程式和書籍>內容令牌] 。
- 按兩下 [下載 ] 並儲存令牌檔案。
- 選取 [租用戶系統管理>連接器和令牌>][Apple VPP 令牌],以在 Microsoft Intune 系統管理中心更新令牌。
- 選取您要更新的 VPP 權杖、按一下 [基本] 類別上的 [編輯]、在此頁面上傳新權杖,然後儲存您的變更。
注意事項
Intune 中所列的到期日可能需要一些時間來反映更新之後的新憑證到期日。 若要確認更新已成功重新整理頁面,直到到期日更新為止。
當使用者已在 Apple Business Manager 中設定權杖,變更了其密碼或離開您的 Apple Business Manager 組織時,您必須更新現有的 Apple VPP 權杖或位置權杖。 未更新的權杖會在 Intune 中顯示「無效」狀態。
設定 VPP 應用程式的更新
您可以使用 [防止自動更新] 設定,在每個應用程式指派層級控制Apple VPP 的自動更新 行為。 [防止自動更新] 設定取決於令牌層級 [允許自動更新] 設定。 若要使用 [防止自動更新],[ 允許自動更新 ] 設定必須設定為 [ 是]。 選取 [應用程式>iOS/iPadOS 或macOS>選取大量採購方案應用程式>>內容指派],即可在 Microsoft Intune系統管理中心取得此設定。
刪除 VPP 應用程式
您可以刪除未與應用程式相關聯的可用或已使用授權的已購買應用程式。 這可能需要清除不再指派的應用程式。
若要刪除 VPP 應用程式,請使用下列步驟:
- 在 Apple Business manager 或 Apple School manager 中建立新的位置。
- 撤銷使用相關聯位置權杖之應用程式的所有授權。 在 Microsoft Intune 系統管理中心,選取 [應用程式>][所有應用程式>] 選取要刪除>應用程式授權>的應用程式 [撤銷授權]。
- 在 Apple Business Manager 或 Apple School Manager 中,將應用程式的所有授權從原始位置傳輸至新位置。
- 在系統管理中心 Microsoft Intune 同步處理位置令牌。
- 在系統管理中心 Microsoft Intune 刪除應用程式,方法是選取 [應用程式>][所有應用程式>] 以滑鼠右鍵按兩下應用程式以刪除>[刪除]。
刪除 VPP 應用程式會導致下列結果:
- 將移除相關聯的應用程式指派。
- 如果 VPP 應用程式在嘗試刪除時已指派授權,您將會看到錯誤。
注意事項
系統不會刪除與 VPP 權杖相關聯的已購買書籍。
指派 VPP 的自訂角色權限
您可以在 Intune 中使用指派給自訂系統管理員角色的權限,獨立控制對 Apple Business Manager 位置權杖和應用程式 (Apple VPP 權杖和 VPP 應用程式) 的存取。
- 若要允許 Intune 自定義角色來管理 Apple Business Manager 位置令牌,請在系統管理中心 Microsoft Intune 選取 [租用戶系統管理>連接器和令牌>][Apple VPP 令牌],指派受控應用程式的許可權。
- 若要允許 Intune 自訂角色管理在 [應用程式]>[所有應用程式] 底下使用 iOS/iPadOS VPP 權杖購買的應用程式,請指派適用於 [行動應用程式] 的權限。
注意事項
您只能使用指派的行動應用程式許可權來檢視和管理 VPP 應用程式 。 先前需要受 控應用程式 許可權,才能檢視和管理 VPP 應用程式。 這項變更不適用於仍然需要指派受控應用程式許可權的教育 Intune 租使用者。
其他資訊
Apple 提供建立和更新 VPP 權杖的直接協助。 如需詳細資訊,請參閱 Apple 文件中的 使用大量採購計劃 (VPP) 發佈內容給使用者。
如果在 Intune 中指出 已指派給外部 MDM,您 (系統管理員) 必須先從協力廠商 MDM 移除 VPP 權杖,才能在 Intune 中使用 VPP 權杖。
若權杖的狀態是 重複,即表示已上傳多個具有相同 權杖位置 的權杖。 請移除重複的權杖,以再次開始同步權杖。 您仍能為標記為「重複」的權杖指派及撤銷授權。 然而,權杖標記為「重複」之後,可能無法反映新購買的應用程式和書籍授權。
常見問題集
我可以上傳幾個權杖?
您可以在 Intune 中上傳最多 3,000 個權杖。
在裝置上安裝或移除應用程式之後,入口網站需要多久的時間才能更新授權數量?
在安裝或解除安裝應用程式之後的幾小時內,應該就會更新授權。 請注意,如果使用者從裝置移除應用程式,該授權仍然會指派給該使用者或裝置。
是否可以過度訂閱應用程式,如果可以,是在怎樣的情況下?
是。 Intune 系統管理員可以過度訂閱應用程式。 例如,如果系統管理員購買 100 份 XYZ 應用程式的授權,然後將該應用程式的對象設為一個有 500 個成員的群組。 前 100 個成員 (使用者或裝置) 將會獲得授權指派,其餘成員的授權指派則會失敗。
注意事項
當已使用的授權數量大於或等於特定應用程式總可用授權的 50% 時,警示會出現在 [註冊警示] 索引標籤下。當已使用的授權數量小於應用程式可用授權總數的 50% 時,警示就會消失。
後續步驟
請參閱 如何監視應用程式,以取得協助您監視應用程式指派的資訊。
請參閱如何對應用程式進行疑難排解,來取得對應用程式相關問題進行疑難排解的相關資訊。