Apple 允许使用 Apple Business Manager 或 Apple School Manager 为你要在组织的 iOS/iPadOS 和 macOS 设备上使用的应用购买多个许可证。 然后可以将批量采购信息与 Intune 同步,并跟踪批量采购应用的使用情况。 购买应用许可证可帮助你有效管理公司内的应用,并保持对所购买的应用程序的所有权和控制权。
Microsoft Intune 可帮助管理通过此类计划购买的应用,方法为:
- 同步从 Apple Business Manager 下载的位置令牌。
- 跟踪可供购买的应用使用的许可证数量。
- 安装应用,最多安装你拥有的许可证数。
可以使用 Intune 同步、管理和分配从 Apple Business Manager 购买的书籍到 iOS/iPadOS 设备。 有关详细信息,请参阅如何管理通过批量购买计划购买的 iOS/iPadOS 电子书。
什么是位置令牌?
位置令牌是指批量购买许可证,通常称为 Volume Purchase Program (VPP) 令牌。 这些位置令牌用于分配和管理使用 Apple 商务管理购买的许可证。 内容管理员可以购买许可证,并将其与在 Apple Business Manager 中拥有权限的位置令牌相关联。 然后,这些位置令牌从 Apple Business Manager 下载并在 Microsoft Intune 上传。 Microsoft Intune 支持每个租户上传多个位置令牌。 每个令牌的有效期为一年。
注意
Apple Volume Purchase Program (VPP) 已集成到 Apple Business Manager 中。 Apple Business Manager 是管理员用于部署 Apple 设备并批量购买内容的门户。 内容可能包括应用、书籍和自定义应用。 位置令牌用于分配和管理使用 Apple 商务管理购买的许可证。 VPP 现在称为旧版 VPP 令牌。
如何授权购买的应用?
购买的应用可以使用 Apple 提供的用于 iOS/iPadOS 和 macOS 设备的两种类型的许可证分配给组。
注意
设备许可的 VPP 应用只能通过 MDM 频道安装和更新。 用户无法直接在应用商店中手动安装或更新 VPP 应用。
| 操作 | 设备许可 | 用户许可 |
|---|---|---|
| App Store登录 | 可选。 | 当系统提示登录App Store时,每个最终用户必须使用唯一的 Apple 帐户。 |
| 设备配置阻止访问App Store | 可以使用公司门户安装和更新应用。 | 加入 Apple Business Manager 的邀请需要访问App Store。 如果将策略设置为禁用App Store,则 VPP 应用的用户许可不起作用。 |
| 自动应用更新 | 由 Intune 管理员在 Apple 商务管理令牌设置中配置。 如果分配类型可用于已注册的设备,则可通过在“应用详细信息”页面选择“更新”操作从公司门户安装可用的应用更新。 |
由 Intune 管理员在 Apple 商务管理令牌设置中配置。 如果分配类型可用于已注册的设备,则可通过在“应用详细信息”页面选择“更新”操作从公司门户安装可用的应用更新。 |
| 用户注册 | 不支持。 | 支持使用托管 Apple 帐户。 |
| 书籍 | 不支持。 | 支持。 |
| 使用的许可证 | 每个设备一个许可证。 许可证与设备关联。 | 使用同一个人 Apple 帐户的最多 5 台设备的一个许可证。 许可证与用户关联。 与 Intune 中的个人 Apple 帐户和托管 Apple 帐户关联的最终用户使用两个应用许可证。 |
| 许可证迁移 | 仅当使用要求的分配类型时,应用才可以从用户静默迁移到设备许可证。 | 对于任何分配类型,应用都无法从设备迁移到用户许可证。 |
注意
公司门户不会在用户注册设备上显示设备许可的应用,因为用户注册设备上只能安装用户许可的应用。
为 Apple Volume Purchase Program (VPP) 应用创建新分配时,默认许可证类型现在为“设备”。现有分配保持不变。
不要跨帐户驱动用户注册和非帐户驱动用户注册对同一托管 Apple 帐户使用用户许可。
支持哪些应用类型?
可以使用 Apple Business Manager 购买和分发公共和专用应用。
- 应用商店应用:内容经理可以使用 Apple Business Manager 从App Store获取免费和付费应用。
- 自定义应用: 内容管理员还可以使用 Apple Business Manager 获取向组织公开提供的自定义应用。 这些应用是由与你直接合作的开发人员根据组织的特定需求定制的。 了解有关如何分发自定义应用的详细信息。
先决条件
- 组织的 Apple Business Manager 或 Apple School Manager 帐户。
- 分配给一个或多个位置令牌的应用许可证。
- 位置令牌。
重要
- 位置令牌一次只能与一个设备管理解决方案一起使用。 在开始在 Intune 中使用购买的应用之前,请先撤销和删除其他移动设备管理 (MDM) 供应商使用的任何现有位置令牌。
- 仅支持一次在一个 Intune 租户上使用一个位置令牌。 不要对多个 Intune 租户重复使用同一令牌。
- 默认情况下,Intune 每天将位置令牌与 Apple 同步一次。 你可以在任何时候从 Intune 启动手动同步。
- 将位置令牌导入 Intune 后,将同一令牌导入到另一个设备管理解决方案可能会导致许可证分配和用户记录丢失。
从 Volume Purchase Program (VPP) 迁移到应用和书籍
如果你的组织未迁移到 Apple Business Manager 或 Apple School Manager,请先查看 Apple 关于迁移到应用和书籍的指南 ,然后再继续在 Intune 中管理购买的应用。
重要
- 每个位置仅迁移一个 VPP 购买者。 如果每个购买者迁移到唯一位置,则所有许可证(已分配和未分配)都将移动到应用和书籍。
- 请勿删除 Intune 中的现有旧 VPP 令牌或与 Intune 中现有旧 VPP 令牌关联的应用和分配。 这些作需要在 Intune 中重新创建所有应用分配。
按照以下步骤将现有已购买的 VPP 内容和令牌迁移到 Apple Business Manager 或 Apple School Manager 中的应用和书籍:
- 邀请 VPP 购买者加入你的组织,并指导每个用户选择一个唯一位置。
- 在继续作之前,请确保组织中的所有 VPP 购买者都已完成步骤 1。
- 验证所有购买的应用和许可证是否已迁移到 Apple Business Manager 或 Apple School Manager 中的应用和书籍。
- 转到 Apple Business (或 School) Manager>你的名称>首选项>付款和计费>应用和书籍>内容令牌下载来下载新的位置令牌>。
- 转到租户管理>连接器和>令牌Apple VPP 令牌并手动上传令牌,更新 intune 管理中心Microsoft位置令牌。
上传 Apple VPP 或 Apple 商务管理位置令牌
- 登录到 Microsoft Intune 管理中心。
- 选择“租户管理”>“连接器和令牌”>“Apple VPP 令牌”。
- 在 VPP 令牌列表窗格中,选择“创建”。 将显示“创建 VPP 令牌”进程。 创建 VPP 令牌时使用了四个页面。 第一个是“基本”。
- 在“基本信息”页上,指定下列信息:
- 令牌名称 - 用于设置令牌名称的管理字段。
- Apple 帐户 - 输入与上传的令牌关联的帐户的托管 Apple 帐户。
- VPP 令牌文件 - 如果尚未注册,请注册 Apple Business Manager 或 Apple School Manager。 注册后,为您的帐户下载 Apple 商务管理位置令牌(Apple VPP 令牌),并在此处选择它。
- 选择“ 下一步 ”以显示 “设置” 页。
- 在“设置”页上,指定以下信息:
控制另一个 MDM 的令牌 - 将此选项设置为“是”以允许将令牌从另一个 MDM 解决方案重新分配给 Intune。
国家/地区 - 选择 VPP 国家/地区应用商店。 Intune 将同步指定 VPP 国家/地区应用商店中所有区域设置对应的 VPP 应用。
警告
对于使用此令牌创建的应用,下次与 Apple 服务同步期间,更改国家/地区会更新应用元数据和App Store URL。 如果新国家/地区商店中不存在该应用,则不会更新该应用。
VPP 帐户类型 - 从“企业版”或“教育版”中进行选择。
自动应用更新 - 从“是”或“否”中选择,以启用自动更新。 启用后,Intune 将在应用商店内检测 VPP 应用更新,并在设备进行签入时自动将这些更新推送到设备中。
注意
Apple VPP 应用会针对 “必需” 和 “可用 ”安装意向自动更新。 但是,在这两种情况下,如果设备签入但更新未安装,可能会暂时看到错误消息“0x87D13B9F/已安装 VPP 应用,但有较新版本可用”。 在下一个检查时,只要用户仍包含在“必需”或“可用”分配中,Intune 就会向设备发送 install 命令。 但是,如果从分配中删除了用户或设备,Intune 将不再向该特定应用推送更新,即使 Intune 最初安装了该应用也是如此。
更新 VPP 应用时,设备最多可能需要 24 小时才能接收更新。 设备必须已解锁并可供安装更新。
如果将 Apple VPP 应用的应用安装意向从 “必需 ”更改为 “可用”,则已安装的应用将停止自动更新。 将意向更改为“可用”后手动安装应用会恢复自动更新。
我授权 Microsoft 向 Apple 发送用户和设备信息。 - 必须选择“我同意”才能继续。 若要查看 Microsoft 向 Apple 发送的数据,请参阅 Intune 向 Apple 发送的数据。
- 选择“ 下一步 ”以显示“ 作用域标记 ”页。
- 选择 “选择范围标记 ”,可以选择为应用添加范围标记。 有关详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
- 选择“ 下一步 ”以显示“ 查看 + 创建 ”页。 查看为 VPP 令牌输入的值和设置。
- 完成操作后,选择“创建”。 该令牌显示在“令牌列表”窗格中。
同步 VPP 令牌
可以通过为所选令牌选择 “同步 ”来同步 Intune 中购买的应用的应用名称、元数据和许可证信息。
分配批量购买的应用
在 Intune 中,选择“ 应用>所有应用”。
在应用列表窗格中,选择要分配的应用,然后选择“属性”。 选择“分配”旁边的“编辑”。
在“分配”选项卡上,选择应用是“必需”还是“可用于已注册的设备”。
选择所选分配类型下的“添加组”,然后在“选择组”窗格上选择要将应用分配到Microsoft Entra用户或设备组。
注意
为 Apple Volume Purchase Program (VPP) 应用创建新分配时,默认许可证类型为“设备”。现有分配保持不变。
完成后,选择“ 保存”。
注意
设备组不支持可用部署意向。 只有用户组支持此意向。 所显示的应用列表中的每个应用与一个令牌相关联。 如果应用与多个 VPP 令牌相关联,则同一应用会多次显示,每个令牌显示一次。
在用户启动应用程序安装之前,分配为“可用”的应用不会在设备上进行管理。 安装分配为“可用”的应用,或用户尝试安装该应用程序后,Intune 可确保该应用获得许可。
Intune (或任何其他 MDM,) 实际上不会安装 VPP 应用。 Intune 会连接到 VPP 帐户,并告诉 Apple 将哪些应用许可证分配到哪些设备。 从这里开始,所有实际安装都由 Apple 和设备进行协调。
注意
“应用”工作负载中提供的 “VPP 令牌名称” 列允许你快速确定令牌和应用关联。 此列位于“所有应用”列表 (“所有应用>) ”和“应用配置策略 (应用”应用配置策略) 的应用>选择窗格中。
VPP 的最终用户提示
在许多情况下,最终用户会收到 VPP 应用安装的提示。 下表分别介绍了每种情况:
| # | 应用场景 | 邀请到 Apple VPP 计划 | 应用安装提示 | Apple 帐户提示 |
|---|---|---|---|---|
| 1 | 将自己的设备 (BYOD) – 用户许可 (而不是用户注册设备) | Y | Y | Y |
| 2 | Corp - 用户已获许可(不受监督的设备) | Y | Y | Y |
| 3 | Corp - 用户已获许可(受监督的设备) | Y | N | Y |
| 4 | BYOD - 设备已获许可 | N | Y | N |
| 5 | CORP - 设备已获许可(不受监督的设备) | N | Y | N |
| 6 | CORP - 设备已获许可(受监督的设备) | N | N | N |
| 7 | 展台模式(受监督的设备)- 设备已获许可 | N | N | N |
| 8 | 展台模式(受监督的设备)- 用户已获许可 | --- | --- | --- |
注意
在上表中 (方案 3 和 6 的受监督设备上运行的用户和设备许可应用) 如果应用正在使用或在后台运行,仍会提示更新。 接受安装应用的提示可能不会导致应用安装。 若要更新应用,你必须:关闭应用、启动同步,并在应用更新时保持设备解锁状态。
注意
不建议使用用户许可将 VPP 应用分配给展台模式设备。
注意
当设备处于单应用模式锁定时,无法更新任何应用。 需要退出单应用模式足够长的时间才能根据需要更新应用。 在此期间,应尽可能限制可见应用,但“设置”和其他无法阻止的应用除外。
撤销应用许可证
可根据给定的设备、用户或应用,撤销所有关联的 iOS/iPadOS 或 macOS 批量采购计划 (VPP) 应用许可证。 但 iOS/iPadOS 与 macOS 平台之间有一些差异。
| 操作 | iOS/iPadOS | macOS |
|---|---|---|
| 删除应用分配 | 删除应用分配是吊销应用许可证的先决条件。 删除用户的应用分配时,在将分配更改为 “卸载”之前,Intune 不会回收用户或设备许可证。 如果在安装应用时删除了应用分配,并且从未将其分配为 “卸载”,则仍会保持安装状态,但不再向用户或设备提供安装。 | 删除应用分配是吊销应用许可证的先决条件。 删除用户的应用分配时,在将分配更改为 “卸载”之前,Intune 不会回收用户或设备许可证。 如果在安装应用时删除了应用分配,并且从未将其分配为 “卸载”,则仍会保持安装状态,但不再向用户或设备提供安装。 |
| 吊销应用许可证 | 删除应用分配后,可以使用“撤销许可证”作从用户或设备回收 应用许可证 。 必须将分配更改为“卸载”才能从设备中删除应用并吊销应用许可证。 | 删除应用分配后,可以使用“撤销许可证”作从用户或设备回收 应用许可证 。 具有已吊销许可证的 macOS 应用在设备上仍可用,但在将许可证重新分配给用户或设备之前无法更新。 根据 Apple 的规定,超过 30 天的宽限期后,将删除此类应用。 必须将分配更改为“卸载”才能从设备中删除应用并吊销应用许可证。 |
注意
- 当员工离开公司并且不再属于Microsoft Entra组时,Intune 会回收应用许可证。
- 当使用“卸载”意向分配购买的应用时,Intune 将回收许可证并卸载应用。
- 从 Intune 管理中删除设备时,不会回收应用许可证。
- 从Microsoft Entra ID 中删除用户时,Intune 会吊销应用许可证。
- Intune 仅支持撤销满足以下条件的 VPP 应用许可证:
- VPP 应用许可证是从 Intune 分配的
- VPP 应用许可证适用于由 Intune 管理的设备
- VPP 应用许可证与设备仍存在 Intune 设备记录的设备相关
删除 VPP 应用
若要从 Intune 中删除 VPP 应用,请执行以下步骤:
- 删除所有应用分配组。
- 撤销所有应用许可证,并在 ABM (Apple Business Manager 中确保) 没有用户或设备仍持有许可证。
- 将所有应用许可证转移到其他 VPP 令牌。
- 从 Intune 控制台中删除 VPP 应用。 V2 VPP 令牌不需要此步骤,因为后续同步会删除应用。
删除 VPP 令牌
可以使用控制台删除 Apple Volume Purchase Program (VPP) 令牌。 如果 VPP 令牌的实例重复,则可能需要执行此作。 删除令牌还会删除任何关联的应用和分配。 删除令牌会撤消关联的应用许可证,但不会卸载应用。
注意
删除令牌后,Intune 无法撤销应用许可证。
若要撤销适用于给定 VPP 令牌的所有 VPP 应用的许可证,必须首先撤销所有与令牌相关联的应用许可证,然后删除令牌。
续订 VPP 令牌或 Apple 商务管理位置令牌
(Apple VPP 令牌) 续订 Apple Business Manager 位置令牌,方法是再次从 Apple Business Manager 或 Apple School Manager 下载令牌,然后在 Intune 中更新现有令牌。
若要续订 Apple 商务管理位置令牌(Apple VPP 令牌),请按以下步骤操作:
- 导航到 Apple Business Manager 或 Apple School Manager。
- 在 Apple Business (或 School) Manager 中,选择“首选项>付款和计费>应用和书籍>内容令牌”。
- 选择“ 下载 ”并保存令牌文件。
- 通过选择租户管理>连接器和令牌>Apple VPP 令牌,更新 Microsoft Intune 管理中心中的令牌。
- 选择要续订的 VPP 令牌,在“基本信息”类别中选择 “编辑” ,在此页上上传新令牌,然后保存所做的更改。
注意
Intune 中列出的到期日期可能需要一些时间来反映续订后的新证书到期日期。 通过刷新页面,直到到期日期更新,确认续订成功。
如果对用于设置令牌的托管 Apple ID 帐户有任何更改, (域更改、密码已更改或已过期、帐户) 禁用,请续订现有的 Apple VPP 令牌或位置令牌。 令牌在任一方案中或在令牌过期时在 Intune 中显示“无效”状态。
配置 VPP 应用的更新
可以使用 “阻止 自动更新”设置,在每应用分配级别控制 Apple VPP 的自动更新行为。 “阻止自动更新”设置依赖于令牌级别的“允许自动更新”设置。 若要使用 “阻止自动更新”,必须将 “允许自动更新” 设置设置为 “是”。 通过选择“应用>iOS/iPadOS 或 macOS>选择批量购买计划应用>属性>分配”,Microsoft Intune 管理中心提供此设置。
删除 VPP 应用
你可以删除未关联任何可用或已用许可证的已购买应用。 可能需要删除应用才能清理不再分配的应用。
若要删除 VPP 应用,请执行以下步骤:
- 在 Apple Business Manager 或 Apple School Manager 中创建一个新位置。
- 吊销使用关联的位置令牌的应用的所有许可证。 在 Microsoft Intune 管理中心,选择“ 应用>”“所有应用>”,选择要删除>应用许可证的应用>“撤销许可证”。
- 在 Apple Business Manager 或 Apple School Manager 中,将应用的所有许可证从原始位置传输到新位置。
- 在 Intune 管理中心Microsoft同步位置令牌。
- 在 Microsoft Intune 管理中心中删除应用,方法是选择“应用>所有应用>”,右键单击该应用以删除>“删除”。
删除 VPP 应用会导致以下结果:
- 将删除关联的应用分配。
- 如果 VPP 应用在尝试删除时分配了许可证,则会显示错误。
注意
不会删除与 VPP 令牌关联的已购买书籍。
分配 VPP 自定义角色权限
可以利用分配给 Intune 自定义管理员角色的权限独立控制 Apple 商务管理位置令牌和应用(Apple VPP 令牌和 VPP 应用)访问。
- 若要允许 Intune 自定义角色管理 Apple Business Manager 位置令牌,请在 Intune 管理中心Microsoft,选择 “租户管理>连接器和令牌>”“Apple VPP 令牌”,为 托管应用分配权限。
- 若要允许 Intune 自定义角色在“应用”“所有应用”>下管理使用 iOS/iPadOS VPP 令牌购买的应用,请为移动应用分配权限。
注意
只能使用分配的移动应用权限查看和管理 VPP 应用 。 以前,需要 托管应用 权限才能查看和管理 VPP 应用。 此更改不适用于仍需要分配 托管应用 权限的 Intune 教育版租户。
其他信息
Apple 提供针对创建和续订 VPP 令牌的直接协助。 有关详细信息,请参阅 Apple 文档一部分的使用批量采购计划 (VPP) 将内容分发给用户。
如果令牌的状态为 “重复”,则上传了具有相同 令牌位置的多个令牌。 删除重复令牌以再次开始同步令牌。 你仍然可以为标记为重复的令牌分配和撤销许可证。 但是,一旦令牌标记为重复,购买的新应用和书籍的许可证可能不会反映。
常见问题解答
可以上传多少个令牌?
最多可在 Intune 中上传 3000 个令牌。
从设备中安装和删除应用后,门户需要多长时间来更新许可证计数?
安装或卸载应用后,许可证会在几小时内更新。 如果最终用户从设备中删除应用,则许可证仍分配给该用户或设备。
是否可以超额订阅应用,如可以,请指明情况。
是。 Intune 管理员可以超额订阅应用。 例如,如果管理员针对应用 XYZ 购买 100 个许可证,然后将应用分配给包含 500 个成员的组。 前 100 个成员 (用户或设备) 获得分配给他们的许可证。 其余成员在许可证分配时失败。
注意
当已用许可证数大于或等于特定应用可用许可证总数的 50%时,“注册警报”选项卡下会显示一条警报。当已用许可证数小于应用可用许可证总数的 50% 时,警报将消失。
后续步骤
有关帮助监视应用分配的信息,请参阅如何监视应用。
有关解决应用相关问题的信息,请参阅如何排查应用问题。