有关在 Microsoft Intune 中配置 Android 企业设备的端到端指南
本指南可帮助管理员了解如何在Microsoft Intune环境中配置 Android 企业设备并对其进行故障排除。 它涵盖以下常见方案:
- 加入 Google
- 应用程序部署
- 启用工作配置文件注册
- 配置条件访问
- 工作配置文件注册最终用户体验
- 发出工作配置文件密码重置
它可帮助你确定哪种管理功能最适合你的组织,并提供有关 Android 企业的常见问题解答。
评估需求
在 Intune 中启用 Android 企业设备之前,必须确定是要将这些设备注册为个人设备 (自带设备,还是将 BYOD) 注册为公司设备。
BYOD 设备
BYOD 设备设置为具有 Android Enterprise 工作配置文件。 此功能内置于 Android 5.1 及更高版本中。 此功能允许将工作应用和数据存储在设备上独立的、独立的公司管理空间中。 由于个人应用和数据保留在用户个人资料内的设备上,因此员工可以像往常一样继续使用其设备。
公司设备
公司拥有的设备有两个选项,每个选项都提供一个独特的用例:
专用设备 (以前称为 COSU 或公司拥有的单一用途) 。
注意
本指南中使用的示例侧重于 BYOD 方案。 有关专用设备 (COSU) 方案的详细信息,请参阅 使用 QR 代码注册方法的 COSU 配置和注册。
专用设备通常锁定为单个应用或应用集, (也称为展台模式) 。 它允许管理员控制状态栏、键盘布局、锁屏界面和设备上的其他设置等内容。 它阻止用户在专用设备上启用其他应用或更改某些设置。
注意
以这种方式管理的设备在 Intune中注册,没有用户帐户,并且不与任何最终用户相关联。 它们不适用于个人使用应用程序或对用户特定帐户数据(如 Outlook 或 Gmail)有强烈要求的应用。
完全托管的设备 (以前称为 COBO 或仅限企业拥有) 。
注意
有关完全托管设备的详细信息,请参阅设置 android Enterprise 完全托管设备的Intune注册。
完全托管的设备适合更以用户为中心的方案。 单个用户与设备关联,而管理员仍保留对设备 (的完全控制,而不是工作配置文件方案,其中多个用户具有控制) 。
当你决定如何注册设备时,请注意,并非所有功能都可用于这两种方法。 下表显示了一些主要差异。
| 功能集 | 工作配置文件 (BYOD) | 专用 (展台) | 完全托管 |
|---|---|---|---|
| 托管Email配置文件 | ✓ | × | ✓ |
| 托管 Wi-Fi 配置文件 | ✓ | ✓ | ✓ |
| 托管 VPN 配置文件 | ✓ | × | ✓ |
| SCEP 证书配置文件 | ✓ | ✓ | ✓ |
| PKCS 证书配置文件 | ✓ | × | ✓ |
| 受信任的证书配置文件 | ✓ | ✓ | ✓ |
| 自定义配置文件 | ✓ | × | x |
| 阻止恢复出厂设置 | × | ✓ | ✓ |
| 阻止相机 & 屏幕捕获 | ✓ | ✓ | ✓ |
| 阻止音量按钮 | × | ✓ | ✓ |
| 阻止复制和粘贴/数据共享 | ✓ | ✓ | ✓ |
| 托管密码 | ✓ | ✓ | ✓ |
| 托管应用程序 (必需) | ✓ | ✓ | ✓ |
| 托管应用程序 (可用) | ✓ | × | ✓ |
| 容器化配置文件 | ✓ | × | x |
| 展台级别设备管理 | × | ✓ | x |
| 个人设备管理 | ✓ | × | x |
| NFC-Based 注册 | × | ✓ | ✓ |
| Token-Based 注册 | × | ✓ | ✓ |
| QR Code-Based 注册 | × | ✓ | ✓ |
| Zero Touch | × | ✓ | ✓ |
| 合规性/条件访问 | ✓ | × | ✓ |
有关详细信息,请参阅实现Microsoft Intune计划。
将Intune帐户连接到 Android 企业帐户
在环境中配置 Android 企业的第一步是将Intune租户帐户连接到 Android 企业帐户:
创建 Google 服务帐户 (@gmail.com) 。
注意
此帐户将与租户的所有 Android 企业管理任务相关联。 这是贵公司的 IT 管理员共享的 Google 帐户,用于在 Google Play 控制台中管理和发布应用。 可以使用现有 Google 帐户或创建新帐户。 使用的帐户不得与 G-Suite 域相关联。
使用Intune许可的全局管理员帐户登录到 Microsoft Intune 管理中心。
转到 “设备”>“Android>Android 注册>托管的 Google Play”,选择“ 我同意”,然后选择“ 启动 Google 以立即连接 ”以打开托管 Google Play 网站。
登录到 Google 帐户,然后选择“ 入门”。
输入你的公司名称,然后选择“ 下一步”。
接受条款,然后选择“ 确认”。
选择“ 完成注册”。
有关详细信息,请参阅将 Intune 帐户连接到托管 Google Play 帐户。
部署应用程序
Intune帐户连接到 Android 企业帐户后,可以按照以下步骤部署一些应用程序:
使用Intune许可的全局管理员帐户登录到 Microsoft Intune 管理中心。
转到 “应用>”“所有应用>添加”。
在 “选择应用类型 ”窗格中,找到可用的 “应用商店应用 类型”,然后选择“ 托管的 Google Play 应用”。
选择 “选择”。 将显示 托管的 Google Play 应用商店。
搜索应用以查看应用详细信息。 示例:Intune 公司门户应用。
在显示应用的页面上,选择“ 批准”。 此时会打开应用的窗口,并提示你授予应用执行各种操作的权限。
选择“再次 批准 ”以接受应用权限。
在 “审批设置” 选项卡上,选择“ 应用请求新权限时保持批准状态”,然后选择“ 保存”。
单击 “选择” 以选择应用。
选择顶部的“ 同步 ”,将应用与托管的 Google Play 服务同步。
选择“ 刷新 ”以更新应用列表并显示新添加的应用。
注意
Intune与托管 Google Play 商店之间的应用同步是手动的。 因此,每次批准新应用时,都必须选择 “同步 ”按钮。
将应用添加到Microsoft Intune后,可以将应用分配给用户和设备。 在Microsoft Intune管理中心,转到“应用>”“所有应用”。 在 “管理” 下查看列表中显示的应用。
若要将应用分配给组,请选择要分配的应用。 在菜单的“管理”部分中,选择“属性”,然后选择“分配”旁边的“编辑”,打开“添加组”窗格。
在“ 分配 ”选项卡的“ 必需”下,选择“ 添加组”,选择要包括的组,然后选择“ 选择”。
在“ 分配 ”窗格中,选择“ 查看 + 保存 ”以完成包含的组选择。
在 “分配 ”窗格中,选择“ 保存” 以保存所做的更改。
返回到 “应用属性” 视图,并在 “分配”下验证应用。
有关应用部署的详细信息,请参阅将 Android Enterprise 系统应用添加到Microsoft Intune。
启用 Android 企业工作配置文件注册
在Intune门户中,转到“设备注册>注册限制”,然后在“设备类型限制”下选择“默认”。
依次选择“ 属性>”“选择平台”、“ 阻止Android”、“ 允许Android 工作配置文件”、“ 确定”,然后选择“ 保存 ”以保存所做的更改。
注意
默认限制的优先级最低,适用于所有用户,无法编辑此限制。 创建其他自定义限制时,请注意分配给这些限制的组,以免创建与此配置冲突的组。
有关详细信息,请参阅 设置 Android Enterprise 工作配置文件设备的注册。
配置条件访问
将 Gmail 应用或 Nine Work 应用部署为 “必需”。
按照以下步骤创建应用的电子邮件配置文件:
在Intune Azure 门户,选择“设备配置文件>>创建配置文件”,然后输入电子邮件配置文件的“名称”和“说明”。
从“平台”下拉列表中选择“Android 企业”。
在“仅配置文件类型>工作配置文件”中,选择“Email”。
配置电子邮件配置文件设置。
有关这些设置的详细信息,请参阅在 Intune 中配置电子邮件、身份验证和同步的 Android 设备设置。
创建电子邮件配置文件后,将其分配给组。
配置 基于设备的条件访问。
有关详细信息,请参阅 为 Android 工作配置文件设备设置条件访问。
注册 Android 企业设备
使用工作帐户登录,然后点击“ 立即注册”。
在 “访问设置” 屏幕上,点击“ 继续”。
在隐私声明屏幕上,点击“ 继续”。
在“ 下一步” 屏幕上,点击“ 下一步”。
在 “设置工作配置文件” 屏幕上,点击“ 接受”。
在 “激活工作配置文件” 屏幕上,点击“ 继续”。
注意
可以在顶部看到锁屏提醒图标,这意味着你现在位于工作配置文件中。
在“ 你已全部设置” 屏幕上,点击“ 完成”。
现在可以登录到 Gmail。 当系统提示更新安全设置时,点击“ 立即更新”。
点击“ 激活” 以“设备管理员身份激活 Gmail”。
有关详细信息,请参阅 注册 Android 设备。
重置 Android 工作配置文件密码
按照以下步骤创建需要工作配置文件密码的设备配置文件:
在Intune Azure 门户,选择“设备配置文件>>创建配置文件”,输入配置文件的“名称”和“说明”。
从“平台”下拉列表中选择“Android 企业”。
在 “仅配置文件类型>工作配置文件”中,选择“ 设备限制”。
在“工作配置文件设置”中,选择“需要工作配置文件密码”。
在 Android 企业设备上,如果尚未设置工作配置文件密码,系统会提示你设置工作配置文件密码。
等待,直到收到第二个提示,指出 保护工作配置文件 - 授权公司支持人员远程重置工作配置文件密码。 输入密码以授权重置。 它会激活Intune成功执行此操作所需的重置密码令牌。
注意
如果跳过上述任何步骤,将收到以下错误消息:
启动重置密码失败选择 “重置密码”。
重置完成后,将显示临时密码。
在设备上输入此临时密码。
需要设置新 PIN 时,必须重新输入此临时密码,然后输入新 PIN。
有关密码重置的详细信息,请参阅 重置 Android 工作配置文件密码。
常见问题解答
问:为什么未从 Google Play for Work 应用商店中批准的应用不会从 Intune 管理员 门户中的“移动应用”页中删除?
答:此行为是预期行为。
问:为什么托管的 Google Play 应用不在 Intune 门户中的“发现的应用”下报告?
答:此行为是预期行为。
问:为什么未通过Intune在工作配置文件中显示未部署的托管 Google Play 应用?
答:创建工作配置文件时,设备 OEM 可以在工作配置文件中启用系统应用。 它不受 MDM 提供程序的控制。
若要进行故障排除,请执行以下步骤:
问:为什么“擦除 (恢复出厂设置) ”选项不适用于我的工作配置文件注册设备?
答:此行为是预期行为。 在工作配置文件方案中,MDM 提供程序无法完全控制设备。 唯一可用的选项是停用 (删除公司数据) 这会删除整个工作配置文件及其所有内容。
问:为什么在工作配置文件注册设备上找不到文件路径“内部存储/Android/Data.com.microsoft.windowsintune.companyportal/files”以手动收集公司门户日志?
答:此行为是预期行为。 此路径仅为设备管理员 (旧版 Android 注册) 方案创建。
若要收集日志,请执行以下步骤:
- 在带有锁屏提醒的公司门户应用中,点击“菜单>帮助>Email支持”,然后点击“发送Email &上传日志”。
- 当系统提示发送帮助请求时,请选择Email应用之一。
- 系统会向 IT 管理员生成一封电子邮件,其中包含可提供给 Microsoft 产品支持的事件 ID。
问:我检查了托管 Google Play 上次同步时间,但几天后尚未更新。 为什么?
答:此行为是预期行为。 仅当手动执行此操作时,才会触发同步。
问:已注册工作配置文件的设备是否支持 Web 应用程序?
答:是的。 所有 Android Enterprise 方案都支持 Web 应用 (或 Web 链接) 。
问:是否支持设备密码重置?
答:对于已注册工作配置文件的设备,如果工作配置文件密码是托管的,并且用户允许你重置工作配置文件密码,则只能在运行 Android 8.0+ 的设备上重置工作配置文件密码。 对于专用和完全托管的设备,支持设备密码重置。
问:注册时需要加密我的设备。 是否有关闭加密的选项?
答:否。 Google 要求对工作配置文件进行加密。
问:为什么 Samsung 设备阻止使用 SwiftKey 等第三方键盘?
答:Samsung 开始在 Android 8.0+ 设备上强制实施此功能。 Microsoft 当前正与 Samsung 合作处理此问题,并将在有新信息时发布新信息。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈