Комплексное руководство по настройке корпоративных устройств Android в Microsoft Intune

  • Статья

Это руководство поможет администраторам понять, как настраивать и устранять неполадки устройств Android enterprise в среде Microsoft Intune. В ней рассматриваются следующие распространенные сценарии:

  • Подключение к Google
  • Развертывание приложений
  • Включение регистрации рабочего профиля
  • Настройка условного доступа
  • Взаимодействие с конечным пользователем для регистрации рабочего профиля
  • Выдача сброса секретного кода рабочего профиля

Он помогает решить, какие возможности управления лучше всего подходит для вашей организации, и предоставляет вопросы и ответы о android enterprise.

Оценка потребностей

Прежде чем включать корпоративные устройства Android в Intune, необходимо определить, хотите ли вы зарегистрировать эти устройства как личные устройства (принеси собственное устройство или BYOD) или как корпоративные устройства.

Устройства BYOD

Для устройств BYOD настроен рабочий профиль Android Enterprise. Эта функция встроена в Android 5.1 и более поздних версий. Эта функция позволяет хранить рабочие приложения и данные в отдельном автономном пространстве, управляемом компанией на устройстве. Так как личные приложения и данные остаются на устройстве в личном профиле пользователя, сотрудники могут продолжать использовать свое устройство, как обычно.

Корпоративные устройства

Существует два варианта корпоративных устройств, и каждое из них служит уникальным вариантом использования:

  • Выделенные устройства (прежнее название — COSU или корпоративное одноразовое использование).

    Примечание.

    Пример, используемый в этом руководстве, посвящен сценариям BYOD. Дополнительные сведения о сценариях с выделенными устройствами (COSU) см. в разделе Настройка и регистрация COSU с помощью метода регистрации QR-кода.

    Выделенные устройства обычно блокируются для одного приложения или набора приложений (также известного как режим киоска). Он позволяет администратору управлять такими параметрами, как строка состояния, раскладки клавиатуры, экран блокировки и другие параметры на устройстве. Это не позволяет пользователям включать другие приложения или изменять определенные параметры на выделенных устройствах.

    Примечание.

    Устройства, которыми вы управляете таким образом, регистрируются в Intune без учетной записи пользователя и не связаны с каким-либо конечным пользователем. Они не предназначены для приложений личного использования или приложений, которые строго обязательны для данных учетной записи пользователя, таких как Outlook или Gmail.

  • Полностью управляемые устройства (прежнее название — COBO или только корпоративный бизнес).

    Примечание.

    Дополнительные сведения о полностью управляемых устройствах см. в статье Настройка Intune регистрации полностью управляемых устройств Android Enterprise.

    Полностью управляемые устройства подходят для более ориентированного на пользователя сценария. С устройством связан один пользователь, в то время как администратор по-прежнему сохраняет полный контроль над устройством (в отличие от сценария рабочего профиля, в котором несколько пользователей имеют контроль).

Когда вы решите, как зарегистрировать устройства, имейте в виду, что не все функции доступны для обоих методов. В следующей таблице показаны некоторые ключевые различия.

Набор возможностей Рабочий профиль (BYOD) Выделенный (киоск) полностью управляемое устройство.
Управляемый профиль Email ×
Управляемый профиль Wi-Fi
Управляемый профиль VPN ×
Профиль сертификата SCEP
Профиль сертификата PKCS ×
Профиль доверенного сертификата
Настраиваемый профиль × x
Предотвращение сброса до заводских настроек ×
Блокировка камеры & снимок экрана
Блочные кнопки громкости ×
Блокировка копирования и вставки / общий доступ к данным
Управляемый пароль
Управляемые приложения (обязательно)
Управляемые приложения (доступно) ×
Контейнеризованный профиль × x
Управление устройствами уровня терминала × x
Личное Управление устройствами × x
Регистрация NFC-Based ×
Регистрация Token-Based ×
Регистрация QR-Code-Based ×
Автоматическая настройка ×
Соответствие требованиям и условный доступ ×

Дополнительные сведения см. в статье Реализация плана Microsoft Intune.

Подключение учетной записи Intune к корпоративной учетной записи Android

Первым шагом для настройки Android enterprise в вашей среде является подключение учетной записи клиента Intune к корпоративной учетной записи Android:

  1. Создайте учетную запись службы Google (@gmail.com).

    Примечание.

    Эта учетная запись будет связана со всеми задачами управления предприятиями Android для вашего клиента. Это учетная запись Google, которую ИТ-администраторы вашей компании будут совместно использовать для управления и публикации приложений в консоли Google Play. Можно использовать уже существующую учетную запись Google или создать новую. Используемая учетная запись не должна быть связана с доменом G-Suite.

  2. Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора с Intune лицензией.

  3. Перейдите в раздел Устройства>Android>Регистрация>Android Управляемые Google Play, выберите Я принимаю, а затем выберите Запустить Google, чтобы подключиться сейчас , чтобы открыть веб-сайт Managed Google Play.

    Снимок экрана: страница Managed Google Play, где можно запустить Google для подключения.

  4. Войдите в учетную запись Google и выберите Начало работы.

    Выберите Начало работы.

  5. Введите название своей компании и нажмите кнопку Далее.

    Введите страницу название вашей компании.

  6. Примите условия и нажмите кнопку Подтвердить.

  7. Выберите Завершить регистрацию.

    Выберите Страницу Завершить регистрацию.

Дополнительные сведения см. в статье Подключение учетной записи Intune к управляемой учетной записи Google Play.

Развертывание приложений

После подключения учетной записи Intune к корпоративной учетной записи Android можно развернуть некоторые приложения, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора с Intune лицензией.

  2. Перейдите в раздел Приложения>Все приложения>Добавить.

  3. В области Выбор типа приложения найдите доступные типы приложений Магазина , а затем выберите Управляемое приложение Google Play.

  4. Выберите Выбрать. Отобразится управляемый магазин приложений Google Play .

    Управляемый магазин приложений Google Play.

  5. Выполните поиск приложения для просмотра сведений о приложении. Пример: Корпоративный портал Intune приложение.

  6. На странице с приложением выберите Утвердить. Откроется окно приложения с запросом на предоставление приложению разрешений на выполнение различных операций.

    Выберите Утвердить в примере Корпоративный портал Intune.

  7. Нажмите кнопку Утвердить еще раз, чтобы принять разрешения приложения.

    Нажмите кнопку Утвердить еще раз, чтобы принять разрешения приложения.

  8. На вкладке Параметры утверждения выберите Сохранить утверждение, когда приложение запрашивает новые разрешения, а затем нажмите кнопку Сохранить.

    Выберите Сохранить утверждение, когда приложение запрашивает новые разрешения на вкладке Параметры утверждения.

  9. Нажмите кнопку Выбрать , чтобы выбрать приложение.

  10. Выберите Синхронизировать в верхней части страницы, чтобы синхронизировать приложение с управляемой службой Google Play.

  11. Выберите Обновить , чтобы обновить список приложений и отобразить только что добавленное приложение.

    Примечание.

    Синхронизация приложений между Intune и управляемым магазином Google Play выполняется вручную. Поэтому при каждом утверждении нового приложения необходимо нажать кнопку Синхронизация .

  12. После добавления приложения в Microsoft Intune его можно назначить пользователям и устройствам. В центре администрирования Microsoft Intune перейдите в раздел Приложения>Все приложения. Перейдите в раздел Управление , чтобы увидеть приложение, отображаемое в списке.

    Страница

  13. Чтобы назначить приложение группе, выберите приложение, которое нужно назначить. В разделе Управление меню выберите Свойства, а затем нажмите кнопку Изменить рядом с пунктом Назначения, чтобы открыть панель Добавить группу .

    Выберите Свойства, а затем — Назначения.

  14. На вкладке Назначения в разделе Обязательный выберите Добавить группу, выберите группы для включения, а затем нажмите кнопку Выбрать.

    Выберите Добавить группу в разделе Обязательный.

  15. На панели Назначить выберите Проверить и сохранить , чтобы завершить выбор включенных групп.

  16. На панели Назначения выберите Сохранить , чтобы сохранить изменения.

  17. Вернитесь в представление Свойства приложения и проверьте приложение в разделе Назначения.

    Подтвердите назначение приложения.

Дополнительные сведения о развертывании приложений см. в статье Добавление системных приложений Android Enterprise в Microsoft Intune.

Включение регистрации корпоративного рабочего профиля Android

  1. На портале Intune перейдите в разделОграничения регистрацииустройств>, а затем выберите По умолчанию в разделе Ограничения типа устройства.

    Экран Ограничения типов устройств.

  2. Выберите Свойства>Выберите платформы, выберите Блокировать для Android, выберите Разрешитьрабочий профиль Android, нажмите кнопку ОК, а затем нажмите кнопку Сохранить , чтобы сохранить изменения.

    Экран свойств регистрации.

    Примечание.

    Ограничения по умолчанию имеют самый низкий приоритет и применяются ко всем пользователям. Это невозможно изменить. При создании дополнительных настраиваемых ограничений учитывайте группы, которым они назначены, чтобы не создавать конфликт с этой конфигурацией.

Дополнительные сведения см. в статье Настройка регистрации устройств с рабочим профилем Android Enterprise.

Настройка условного доступа

  1. Разверните приложение Gmail или приложение Nine Work в качестве обязательного.

  2. Создайте профиль электронной почты для приложения, выполнив следующие действия.

    1. В Intune портал Azure выберитеПрофили>конфигурации> устройстваСоздать профиль, а затем введите Имя и Описание для профиля электронной почты.

    2. Выберите Android Enterprise в раскрывающемся списке Платформа .

    3. В разделе Тип> профиляТолько рабочий профиль выберите Email.

    4. Настройте параметры профиля электронной почты.

      Настройте параметры профиля электронной почты.

      Дополнительные сведения об этих параметрах см. в разделе Параметры устройства Android для настройки электронной почты, проверки подлинности и синхронизации в Intune.

  3. После создания профиля электронной почты назначьте его группам.

    Экран

  4. Настройка условного доступа на основе устройств.

Дополнительные сведения см. в статье Настройка условного доступа для устройств с рабочим профилем Android.

Регистрация корпоративного устройства Android

  1. Войдите с помощью рабочей учетной записи и нажмите Кнопку Зарегистрироваться.

    Экран

  2. На экране Настройка доступа нажмите Кнопку Продолжить.

    Экран настройки доступа.

  3. На экране заявления о конфиденциальности нажмите Кнопку Продолжить.

    Экран заявления о конфиденциальности.

  4. На экране Дальнейшие действия нажмите кнопку Далее.

    Следующий экран.

  5. На экране Настройка рабочего профиля коснитесь пункта Принять.

    Настройка экрана рабочего профиля.

  6. На экране Активация рабочего профиля нажмите Кнопку Продолжить.

    Экран активации рабочего профиля.

    Примечание.

    В верхней части окна отображается значок значка, что означает, что вы находитесь в рабочем профиле.

  7. На экране Все задано нажмите Готово.

    Вы все настроены на экране.

  8. Теперь вы можете войти в Gmail. При появлении запроса на обновление параметров безопасности коснитесь пункта ОБНОВИТЬ.

    Экран обновления системы безопасности.

  9. Нажмите Кнопку Активировать , чтобы активировать Gmail от имени администратора устройств.

    Экран администратора устройства.

Дополнительные сведения см. в разделе Регистрация устройств Android.

Сброс секретных кодов рабочего профиля Android

  1. Создайте профиль устройства, которому требуется секретный код рабочего профиля, выполнив следующие действия.

    1. В Intune портал Azure выберитеПрофили>конфигурации> устройствСоздать профиль, введите имя и описание профиля.

    2. Выберите Android Enterprise в раскрывающемся списке Платформа .

    3. В разделе Тип> профиляТолько рабочий профиль выберите Ограничения устройств.

    4. В разделе Параметры рабочего профиля выберите Требовать в поле Требовать пароль рабочего профиля.

      Страница свойств рабочего профиля.

  2. На устройстве Android для предприятий вам будет предложено задать секретный код рабочего профиля, если он не задан.

  3. Подождите, пока не появится второй запрос с надписью Secure your Work Profile — Authorize your company support to remotely reset your work profile password (Защита рабочего профиля — авторизация службы поддержки организации для удаленного сброса пароля рабочего профиля). Введите секретный код для авторизации сброса. Он активирует маркер сброса пароля, который Intune необходимо для успешного выполнения этого действия.

    Экран защиты рабочего профиля.

    Примечание.

    Если пропустить какой-либо из этих шагов, появится следующее сообщение об ошибке:
    Сбой при инициации сброса секретного кода

  4. Выберите Сброс секретного кода.

    Сброс экрана секретного кода.

  5. После завершения сброса отображается временный секретный код.

    Сброс экрана завершения секретного кода.

  6. Введите этот временный секретный код на устройстве.

  7. Если вам потребуется задать новый ПИН-код, необходимо повторно ввести этот временный секретный код, а затем ввести новый ПИН-код.

Дополнительные сведения о сбросе секретного кода см. в разделе Сброс секретных кодов рабочего профиля Android.

Вопросы и ответы

  • Вопрос. Почему приложения, которые я не одобрял из магазина Google Play for Work, не удаляются со страницы мобильных приложений на портале Intune Администратор?

    Ответ. Это поведение ожидается.

  • Вопрос. Почему управляемые приложения Google Play не сообщают в разделе Обнаруженные приложения на портале Intune?

    Ответ. Это поведение ожидается.

  • Вопрос. Почему управляемые приложения Google Play не развертываются через Intune отображаются в рабочем профиле?

    Ответ. Системные приложения могут быть включены в рабочем профиле изготовителем устройства во время создания рабочего профиля. Он не контролируется поставщиком MDM.

    Чтобы устранить неполадки, выполните следующие действия.

    1. Сбор журналов Корпоративный портал.
    2. Обратите внимание на все приложения, которые неожиданно отображаются в рабочем профиле.
    3. Отмените регистрацию устройства из Intune и удалите Корпоративный портал.
    4. Установите приложение Test DPC , которое позволяет создать рабочий профиль без EMM для тестирования.
    5. Следуйте инструкциям в разделе Тестирование DPC , чтобы создать рабочий профиль на устройстве.
    6. Просмотрите приложения, которые отображаются в рабочем профиле.
    7. Если в тестовом приложении DPC отображаются те же приложения, изготовитель оборудования ожидает их для этого устройства.

  • Вопрос. Почему параметр Очистка (сброс заводских настроек) недоступен для устройства, зарегистрированного в рабочем профиле?

    Ответ. Это поведение ожидается. В сценарии рабочего профиля поставщик MDM не имеет полного контроля над устройством. Единственный доступный вариант — снять с учета (удалить данные компании), который удаляет весь рабочий профиль и все его содержимое.

  • Вопрос. Почему не удается найти путь к файлу Внутреннее хранилище/Android/Data.com.microsoft.windowsintune.companyportal/files на устройстве, зарегистрированном в рабочем профиле, для сбора журналов Корпоративный портал вручную?

    Ответ. Это поведение ожидается. Этот путь создается только для сценария Администратор устройства (устаревшая регистрация Android).

    Чтобы собрать журналы, выполните следующие действия.

    1. В приложении Корпоративный портал с индикатором событий выберите Пункт Меню>Справка>Email Поддержка, а затем выберите Отправить Email & отправить журналы.
    2. При появлении запроса отправить запрос на помощь с выберите одно из Email приложений.
    3. Ит-администратору создается сообщение электронной почты с идентификатором инцидента, который можно предоставить в службу поддержки продуктов Майкрософт.

  • Вопрос. Я проверил время последней синхронизации Управляемого Google Play, и оно не обновлялось в течение нескольких дней. Почему?

    Ответ. Это поведение ожидается. Синхронизация активируется только при выполнении этого вручную.

  • Вопрос. Поддерживаются ли веб-приложения для устройств, зарегистрированных в рабочих профилях?

    Ответ: Да. Веб-приложения (или веб-ссылки) поддерживаются во всех сценариях Android Enterprise.

  • Вопрос. Поддерживается ли сброс секретного кода устройства?

    Ответ. Для устройств, зарегистрированных в рабочем профиле, можно сбрасывать секретный код рабочего профиля только на устройствах под управлением Android 8.0 и более поздних версий, если секретный код рабочего профиля управляется и пользователь разрешил сбросить его. Для выделенных и полностью управляемых устройств поддерживается сброс секретного кода устройства.

  • Вопрос. Мое устройство должно быть зашифровано при регистрации. Можно ли отключить шифрование?

    Ответ: Нет. Google требует шифрования для рабочего профиля.

  • Вопрос. Почему устройства Samsung блокируют использование сторонних клавиатур, таких как SwiftKey?

    Ответ: Samsung начал применять это на устройствах Android 8.0 и более поздних версий. Корпорация Майкрософт в настоящее время работает с Samsung по этой проблеме и будет публиковать новые сведения, когда они будут доступны.