Zuweisen von Apps zu Gruppen mit Microsoft Intune

Nachdem Sie eine App zu Microsoft Intune hinzugefügt haben, können Sie die App Benutzern und Geräten zuweisen. Es ist wichtig zu beachten, dass Sie eine App auf einem Gerät bereitstellen können, unabhängig davon, ob das Gerät von Intune verwaltet wird oder nicht.

Hinweis

Die Bereitstellungsabsicht Verfügbar für registrierte Geräte wird für Benutzergruppen und Gerätegruppen unterstützt, wenn sie auf vollständig verwaltete Android Enterprise-Geräte (COBO) und unternehmenseigene, persönlich fähige Android Enterprise-Geräte (COPE) ausgerichtet sind.

Optionen beim Zuweisen verwalteter Apps

In der folgenden Tabelle sind die verschiedenen Optionen beim Zuweisen von Apps zu Benutzern und Geräten aufgeführt:

Option Bei Intune registrierte Geräte Geräte, die nicht bei Intune registriert sind
Benutzern zuweisen Ja Ja
Zuweisen zu Geräten Ja Nein
Zuweisen umschlossener Apps oder Apps, die das Intune SDK enthalten (für App-Schutzrichtlinien) Ja Ja
Apps als verfügbar zuweisen Ja Ja
Zuweisen von Apps als erforderlich Ja Nein
Deinstallieren von Apps Ja Nein
Empfangen von App-Updates von Intune Ja Nein
Endbenutzer installieren verfügbare Apps aus der Unternehmensportal-App Ja Nein
Endbenutzer installieren verfügbare Apps über das webbasierte Unternehmensportal Ja Ja

Hinweis

Derzeit können Sie iOS-/iPadOS- und Android-Apps (Branchen- und Store-gekaufte Apps) Geräten zuweisen, die nicht bei Intune registriert sind.

Um App-Updates auf Geräten zu erhalten, die nicht mit Intune registriert sind, müssen Gerätebenutzer auf das Unternehmensportal ihrer Organisation zugreifen und App-Updates manuell installieren.

Für fast alle App-Typen und Plattformen sind Verfügbare Zuweisungen nur gültig, wenn Sie Benutzergruppen zuweisen, nicht gerätegruppen. Win32-Apps können entweder Benutzer- oder Gerätegruppen zugewiesen werden.

Wenn verwaltete Google Play-Vorproduktions-Track-Apps auf persönlichen Android Enterprise-Arbeitsprofilgeräten wie erforderlich zugewiesen werden, werden sie nicht auf dem Gerät installiert. Um dies zu umgehen, erstellen Sie zwei identische Benutzergruppen, und weisen Sie die Präproduktionsspur einer als "verfügbar" und der anderen als "erforderlich" zu. Das Ergebnis ist, dass die Präproduktionsspur erfolgreich auf dem Gerät bereitgestellt wird.

Zuweisen einer App

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Apps>Alle Apps aus.

  3. Wählen Sie im Bereich Apps die App aus, die Sie zuweisen möchten.

  4. Wählen Sie im Abschnitt Verwalten des Menüs Eigenschaften aus.

  5. Scrollen Sie nach unten zu Eigenschaften , und wählen Sie Zuweisungen aus.

  6. Wählen Sie Gruppe hinzufügen aus, um den Bereich Gruppe hinzufügen zu öffnen, der sich auf die App bezieht.

  7. Wählen Sie für die jeweilige App einen Zuweisungstyp aus:

    • Für registrierte Geräte verfügbar: Weisen Sie die App Gruppen von Benutzern zu, die die App über die Unternehmensportal-App oder -Website installieren können.

    • Mit oder ohne Registrierung verfügbar: Weisen Sie diese App Gruppen von Benutzern zu, deren Geräte nicht bei Intune registriert sind. Benutzern muss eine Intune-Lizenz zugewiesen werden. Weitere Informationen finden Sie unter Intune-Lizenzen.

    • Erforderlich: Die App wird auf Geräten in den ausgewählten Gruppen installiert. Einige Plattformen verfügen möglicherweise über zusätzliche Aufforderungen, die der Endbenutzer bestätigen muss, bevor die App-Installation beginnt.

    • Deinstallieren: Die App wird von Geräten in den ausgewählten Gruppen deinstalliert, wenn Intune die Anwendung zuvor über eine Zuweisung "Für registrierte Geräte verfügbar" oder "Erforderlich" mit derselben Bereitstellung auf dem Gerät installiert hat.

      Hinweis

      Nur für iOS-/iPadOS-Apps:

      • Um zu konfigurieren, was mit verwalteten Apps geschieht, wenn Geräte nicht mehr verwaltet werden, können Sie die gewünschte Einstellung unter Deinstallieren bei Geräteentfernung auswählen. Weitere Informationen finden Sie unter App-Deinstallationseinstellung für verwaltete iOS/iPadOS-Apps.
      • Wenn Sie ein iOS-/iPadOS-VPN-Profil erstellt haben, das Pro-App-VPN-Einstellungen enthält, können Sie das VPN-Profil unter VPN auswählen. Wenn die App ausgeführt wird, wird die VPN-Verbindung geöffnet. Weitere Informationen finden Sie unter VPN-Einstellungen für iOS-/iPadOS-Geräte.
      • Um zu konfigurieren, ob eine erforderliche iOS-/iPadOS-App von Endbenutzern als Wechseldatenträger installiert wird, können Sie die Einstellung unter Install as removable (Als Wechseldatenträger installieren) auswählen.
      • Um eine Möglichkeit zu konfigurieren, die iCloud-Sicherung der verwalteten iOS/iPadOS-App zu verhindern, können Sie nach dem Hinzufügen einer Gruppenzuweisung auf eine der folgenden Einstellungen klicken: VPN oder Deinstallieren bei Geräteentfernung oder Als Wechseldatenträger installieren. Konfigurieren Sie dann die Einstellung iCloud-App-Sicherung verhindern. Weitere Informationen finden Sie unter Verhindern der Sicherungseinstellung für iCloud-Apps für iOS-/iPadOS- und macOS-Apps.

      Nur für macOS-Apps:

      • Um eine Möglichkeit zum Verhindern der iCloud-Sicherung der verwalteten macOS-App zu konfigurieren, können Sie nach dem Hinzufügen einer Gruppenzuweisung auf eine der folgenden Einstellungen klicken: VPN oder Deinstallieren bei Geräteentfernung oder Als Wechseldatenträger installieren. Konfigurieren Sie dann die Einstellung iCloud-App-Sicherung verhindern. Weitere Informationen finden Sie unter Verhindern der Sicherungseinstellung für iCloud-Apps für iOS-/iPadOS- und macOS-Apps.

      Nur für Android-Apps:

      • Wenn Sie eine Android-App als Verfügbar mit oder ohne Registrierung bereitstellen, ist der Berichtsstatus nur auf registrierten Geräten verfügbar.

      Für Für registrierte Geräte verfügbar:

      • Die App wird nur als verfügbar angezeigt, wenn der beim Unternehmensportal angemeldete Benutzer der primäre Benutzer ist, der das Gerät registriert hat und die App auf das Gerät anwendbar ist.
  8. Um die Gruppen von Benutzern auszuwählen, die von dieser App-Zuweisung betroffen sind, wählen Sie Eingeschlossene Gruppen aus.

  9. Nachdem Sie eine oder mehrere einzuschließde Gruppen ausgewählt haben, wählen Sie Auswählen aus.

  10. Wählen Sie im Bereich Zuweisendie Option OK aus, um die Auswahl der eingeschlossenen Gruppen abzuschließen.

  11. Wenn Sie Benutzergruppen von dieser App-Zuweisung ausschließen möchten, wählen Sie Gruppen ausschließen aus.

  12. Wenn Sie auszuschließende Gruppen ausgewählt haben, wählen Sie in Gruppen auswählen die Option Auswählen aus.

  13. Wählen Sie im Bereich Gruppe hinzufügendie Option OK aus.

  14. Wählen Sie im App-Bereich Zuweisungendie Option Speichern aus.

Die App ist jetzt den von Ihnen ausgewählten Gruppen zugewiesen. Weitere Informationen zum Ein- und Ausschließen von App-Zuweisungen finden Sie unter Einschließen und Ausschließen von App-Zuweisungen.

Tipp

Intune unterstützt auch das Zuweisen von Apps zu geschachtelten Gruppen. Wenn Sie beispielsweise der Gruppe "Engineering Global" eine App zugewiesen haben und "Engineering APAC", "Engineering EMEA" und "Engineering US" als untergeordnete Gruppen geschachtelt sind, werden die Mitglieder dieser untergeordneten Gruppen ebenfalls als Ziel für die Zuweisung verwendet.

Verhindern der Sicherungseinstellung für iCloud-Apps für iOS-/iPadOS- und macOS-Apps

Administratoren haben die Möglichkeit, verwaltete App Store-Apps und Branchen-Apps (LOB) unter iOS/iPadOS und verwaltete App Store-Apps auf macOS-Geräten nicht mehr zu sichern, sowohl für benutzer- als auch für gerätelizenzierte VPP/Nicht-VPP-Apps. branchenspezifische macOS-Apps unterstützen diese Einstellung nicht. Diese Funktionalität umfasst sowohl neue als auch vorhandene App Store-/LOB-Apps, die mit und ohne VPP gesendet werden und zu Intune hinzugefügt werden und für Benutzer und Geräte vorgesehen sind. Wenn Sie die Sicherung der angegebenen verwalteten Apps verhindern, stellen Sie sicher, dass diese Apps ordnungsgemäß über Intune bereitgestellt werden können, wenn das Gerät registriert und aus der Sicherung wiederhergestellt wird. Wenn Sie die neue Einstellung für neue/vorhandene Apps in Ihrem Mandanten konfigurieren, können und werden verwaltete Apps für Geräte neu installiert, aber Intune lässt nicht mehr zu, dass sie gesichert werden.

Hinweis

Obwohl wir nicht erwarten, dass verwaltete Apps auf Geräten Daten in iCloud sichern, beachten Sie, dass lokal gespeicherte Daten für verwaltete Apps nach einer Sicherung und Wiederherstellung möglicherweise nicht verfügbar sind.

Wenn für vorhandene Geräte iCloud-App-Sicherung verhindern für eine App/Apps auf Ja festgelegt ist, wird das neue Verhalten für alle erforderlichen App Store-/LOB-Apps (mit oder ohne VPP) automatisch aktualisiert. Erforderliche Apps, die zuvor auf Geräten installiert wurden, werden automatisch für alle Geräte neu konfiguriert, sobald der Einstellungswert auf Ja gespeichert wurde. Bei verfügbaren Apps muss der Benutzer die verfügbare App aus der Unternehmensportal-App oder der Unternehmensportal-Website erneut herunterladen. Darüber hinaus kann je nach Konfiguration und Lizenzierung der App eine Synchronisierung zwischen Intune und dem Gerät erforderlich sein.

Wie Konflikte zwischen App-Absichten gelöst werden

Eine einzelne Gruppe kann nicht für mehrere App-Zuweisungsabsichten bestimmt werden. Wenn ein Benutzer oder ein Gerät jedoch Mitglied mehrerer Gruppen ist, denen jeweils unterschiedliche Absichten zugewiesen sind, führt dies zu einem Konflikt. Das Erstellen von Zuweisungskonflikten für Anwendungen wird nicht empfohlen. Die Informationen in der folgenden Tabelle können Ihnen helfen, die resultierende Absicht zu verstehen, wenn ein Konflikt auftritt:

Gruppe 1-Absicht Gruppe 2-Absicht Resultierende Absicht
Benutzer erforderlich Benutzer verfügbar Erforderlich und verfügbar
Benutzer erforderlich Benutzer deinstallieren Erforderlich
Benutzer verfügbar Benutzer deinstallieren Deinstallieren
Benutzer erforderlich Gerät erforderlich Beide sind vorhanden, Intune behandelt Erforderlich.
Benutzer erforderlich Deinstallation des Geräts Beide sind vorhanden, Intune löst Erforderlich auf.
Benutzer verfügbar Gerät erforderlich Beide sind vorhanden, Intune löst Erforderlich (Erforderlich und Verfügbar) auf.
Benutzer verfügbar Deinstallation des Geräts Beide sind vorhanden, Und Intune löst Verfügbar auf.

Die App wird im Unternehmensportal angezeigt.

Wenn die App bereits installiert ist (als erforderliche App mit vorheriger Absicht), wird die App deinstalliert.

Wenn der Benutzer im Unternehmensportal Installieren auswählt, wird die App installiert, und die Deinstallationsabsicht wird nicht berücksichtigt.
Benutzer deinstallieren Gerät erforderlich Beide sind vorhanden, Intune löst Erforderlich auf.
Benutzer deinstallieren Deinstallation des Geräts Beide sind vorhanden, Intune löst die Deinstallation auf
Gerät erforderlich Deinstallation des Geräts Erforderlich
Benutzer erforderlich und verfügbar Benutzer verfügbar Erforderlich und verfügbar
Benutzer erforderlich und verfügbar Benutzer deinstallieren Erforderlich und verfügbar
Benutzer erforderlich und verfügbar Gerät erforderlich Beide sind vorhanden, erforderlich und verfügbar.
Benutzer erforderlich und verfügbar Deinstallation des Geräts Beide sind vorhanden, Intune löst Erforderlich (Erforderlich und Verfügbar) auf.
Benutzer ohne Registrierung verfügbar Benutzer erforderlich und verfügbar Erforderlich und verfügbar
Benutzer ohne Registrierung verfügbar Benutzer erforderlich Erforderlich
Benutzer ohne Registrierung verfügbar Benutzer verfügbar Verfügbar
Benutzer ohne Registrierung verfügbar Gerät erforderlich Erforderlich und verfügbar ohne Registrierung
Benutzer ohne Registrierung verfügbar Deinstallation des Geräts Deinstallieren und ohne Registrierung verfügbar.

Wenn der Benutzer die App nicht über das Unternehmensportal installiert hat, wird die Deinstallation berücksichtigt.

Wenn der Benutzer die App über das Unternehmensportal installiert, wird die Installation vor der Deinstallation priorisiert.

Hinweis

Wenn Sie diese Apps nur für verwaltete iOS-Store-Apps zu Microsoft Intune hinzufügen und als Erforderlich zuweisen, werden die Apps automatisch mit den Absichten Erforderlich und Verfügbar erstellt.

iOS Store-Apps (keine iOS-/iPadOS-VPP-Apps), die für die erforderliche Absicht bestimmt sind, werden beim Einchecken des Geräts auf dem Gerät erzwungen und auch in der Unternehmensportal-App angezeigt.

Wenn in der Einstellung Deinstallation bei Geräteentfernung Konflikte auftreten, wird die App nicht vom Gerät entfernt, wenn das Gerät nicht mehr verwaltet wird.

Hinweis

Apps, die als Erforderlich für unternehmenseigene Arbeitsprofile und unternehmenseigene vollständig verwaltete Geräte bereitgestellt werden, können nicht manuell vom Benutzer deinstalliert werden.

Bereitstellung einer verwalteten Google Play-App auf nicht verwalteten Geräten

Für nicht registrierte Android-Geräte können Sie verwaltetes Google Play verwenden, um Store-Apps und Branchen-Apps (LOB) für Benutzer bereitzustellen. Nach der Bereitstellung können Sie die Mobile Application Management (MAM) verwenden, um die Anwendungen zu verwalten. Verwaltete Google Play-Apps, die als Mit oder ohne Registrierung verfügbar sind, werden in der Play Store-App auf dem Gerät des Endbenutzers und nicht in der Unternehmensportal-App angezeigt. Endbenutzer durchsuchen und installieren Apps, die auf diese Weise von der Play-App bereitgestellt werden. Da die Apps von verwaltetem Google Play installiert werden, muss der Endbenutzer seine Geräteeinstellungen nicht ändern, um die App-Installation aus unbekannten Quellen zu ermöglichen. Dies bedeutet, dass die Geräte sicherer sind. Wenn der App-Entwickler eine neue Version einer App in Play veröffentlicht, die auf dem Gerät eines Benutzers installiert wurde, wird die App automatisch von Play aktualisiert.

Schritte zum Zuweisen einer verwalteten Google Play-App zu nicht verwalteten Geräten:

  1. Verbinden Sie Ihren Intune-Mandanten mit verwaltetem Google Play. Wenn Sie dies bereits getan haben, um persönliche, dedizierte, vollständig verwaltete oder unternehmenseigene Android Enterprise-Arbeitsprofilgeräte zu verwalten, müssen Sie dies nicht erneut tun.

  2. Fügen Sie Ihrem Intune Admin Center Apps aus verwaltetem Google Play hinzu.

  3. Wählen Sie verwaltete Google Play-Apps als Verfügbar mit oder ohne Registrierung bei der gewünschten Benutzergruppe aus. Die App-Ziele "Erforderlich" und "Deinstallieren" werden für nicht registrierte Geräte nicht unterstützt.

  4. Weisen Sie der Benutzergruppe eine App-Schutzrichtlinie zu.

  5. Benutzer meldet sich in jeder geschützten App an.

  6. Wenn der Endbenutzer die Unternehmensportal-App das nächste Mal öffnet und den Anmeldevorgang abschließt, wird im Abschnitt Apps eine Meldung angezeigt, die angibt, dass apps für sie verfügbar sind. Der Benutzer kann diese Benachrichtigung auswählen, um zum Play Store zu navigieren.

    Hinweis

    Sie können die Einstellungen für die Geräteregistrierung so konfigurieren , dass sie verfügbar, keine Eingabeaufforderungen oder Nicht verfügbar sind. Diese Einstellung verhindert, dass Benutzer ihr Gerät unbeabsichtigt registrieren oder Benachrichtigungen erhalten, um ihr Gerät zu registrieren, nachdem sie sich beim Unternehmensportal angemeldet haben.

  7. Der Endbenutzer kann das Kontextmenü in der Play Store-App erweitern und zwischen ihrem persönlichen Google-Konto (wo er seine persönlichen Apps sieht) und ihrem Geschäftskonto (wo er Store- und BRANCHEN-Apps für sie sehen) wechseln. Endbenutzer installieren die Apps, indem sie in der Play Store-App auf Installieren tippen.

Wenn eine selektive APP-Zurücksetzung im Intune Admin Center ausgegeben wird, wird das Geschäftskonto automatisch aus der Play Store-App entfernt, und der Endbenutzer sieht ab diesem Zeitpunkt keine geschäftlichen Apps mehr im Play Store-App-Katalog. Wenn das Geschäftskonto von einem Gerät entfernt wird, bleiben aus dem Play Store installierte Apps auf dem Gerät installiert und werden nicht deinstalliert.

App-Deinstallationseinstellung für verwaltete iOS-Apps

Bei iOS-/iPadOS-Geräten können Sie auswählen, was mit verwalteten Apps geschieht, wenn die Registrierung des Geräts bei Intune aufgehoben oder das Verwaltungsprofil entfernt wird, indem Sie die Einstellung Deinstallation auf Gerät entfernen verwenden. Diese Einstellung gilt nur für Apps, nachdem das Gerät registriert wurde und Apps als verwaltet installiert werden. Die Einstellung kann nicht für Web-Apps oder Weblinks konfiguriert werden. Nur Daten, die durch mobile Anwendungsverwaltung (Mobile Application Management, MAM) geschützt sind, werden nach der Deaktivierung durch eine selektive App-Zurücksetzung entfernt.

Standardwerte für die Einstellung werden für neue Zuweisungen wie folgt vorab aufgefüllt:

iOS-App-Typ Standardeinstellung für "Deinstallieren bei Geräteentfernung"
Branchenspezifische App Ja
Store-App Nein
VPP-App Nein
Integrierte App Nein

Hinweis

"Verfügbare" Zuweisungstypen: Wenn Sie diese Einstellung für Gruppen "für registrierte Geräte verfügbar" oder "mit oder ohne Registrierung verfügbar" aktualisieren, erhalten Benutzer, die bereits über die verwaltete App verfügen, die aktualisierte Einstellung erst, wenn sie das Gerät mit Intune synchronisieren und die App neu installieren.

Bereits vorhandene Zuweisungen: Die Einstellung für die App-Deinstallation wurde im Mai 2019 eingeführt. Zuweisungen, die vor diesem Datum vorhanden waren, sind unverändert, und alle verwalteten Apps werden beim Entfernen des Geräts aus der Verwaltung entfernt. Wenn Ihre Zuweisung vor Mai 2019 erstellt wurde, müssen Sie möglicherweise die Einstellung für die App-Deinstallation explizit festlegen, da die oben genannten Standardeinstellungen möglicherweise nicht gelten.

Nächste Schritte

Weitere Informationen zum Überwachen von App-Zuweisungen finden Sie unter Überwachen von Apps.