在 Microsoft Intune 中設定 Android 企業裝置的端對端指南

文章
01/10/2024

本指南可協助系統管理員瞭解如何在 Microsoft Intune 環境中設定Android企業裝置並進行疑難解答。其中涵蓋下列常見案例：

上線至Google
應用程式部署
啟用工作配置檔註冊
設定條件式存取
工作配置檔註冊終端用戶體驗
發出工作配置檔密碼重設

它可協助您決定哪個管理功能最適合您的組織，並提供Android企業相關常見問題。

評估您的需求

在 Intune 中啟用 Android 企業裝置之前，您必須先判斷您要將這些裝置註冊為個人裝置， (攜帶您自己的裝置，或是 BYOD) 或公司裝置。

BYOD 裝置

BYOD 裝置設定為具有 Android Enterprise 工作配置檔。這項功能內建於 Android 5.1 和更新版本。這項功能可讓工作應用程式和資料儲存在裝置上個別、獨立、由公司管理的空間中。由於個人應用程式和數據會保留在用戶個人配置檔內的裝置上，因此員工可以像平常一樣繼續使用他們的裝置。

公司裝置

公司擁有的裝置有兩個選項，且每個都提供唯一的使用案例：

專用裝置 (先前稱為 COSU 或公司擁有的單一使用) 。

注意事項

本指南中使用的範例著重於 BYOD 案例。如需 COSU) 案例 (專用裝置的詳細資訊，請參閱使用 QR 程式代碼註冊方法的 COSU 設定和註冊。

專用裝置通常會鎖定為單一應用程式或一組應用程式， (也稱為 kiosk 模式) 。它可讓系統管理員控制裝置上的狀態列、鍵盤佈局、鎖定畫面和其他設定等專案。它可防止使用者啟用其他應用程式，或變更專用裝置上的特定設定。

注意事項

您以這種方式管理的裝置會在沒有用戶帳戶的 Intune 中註冊，且不會與任何使用者相關聯。它們不適用於個人用途應用程式，或對 Outlook 或 Gmail 等使用者特定帳戶數據有強烈需求的應用程式。
完全受控裝置 (先前稱為 COBO 或僅限公司擁有的企業) 。

注意事項

如需完全受控裝置的詳細資訊，請參閱設定 Android Enterprise 完全受控裝置的 Intune 註冊。

完全受控裝置適合以使用者為中心的案例。單一使用者與裝置相關聯，而系統管理員仍會保留裝置 (的完整控制權，而不是多個使用者擁有控制權) 的工作配置檔案例。

當您決定如何註冊裝置時，請注意並非所有功能都適用於這兩種方法。下表顯示一些主要差異。

功能集	BYOD (工作配置檔)	專用 (kiosk)	完全受控
Managed Email 配置檔	✓	×	✓
Managed Wi-Fi 配置檔	✓	✓	✓
受控 VPN 設定檔	✓	×	✓
SCEP 憑證配置檔	✓	✓	✓
PKCS 憑證配置檔	✓	×	✓
受信任的憑證配置檔	✓	✓	✓
自訂配置檔	✓	×	x
防止恢復出廠預設值	×	✓	✓
封鎖相機 & 螢幕擷取	✓	✓	✓
區塊音量按鈕	×	✓	✓
封鎖複製和貼上/數據共用	✓	✓	✓
Managed Password	✓	✓	✓
(必要) 的 Managed 應用程式	✓	✓	✓
(可用) 的 Managed 應用程式	✓	×	✓
容器化配置檔	✓	×	x
Kiosk 層級裝置管理	×	✓	x
個人裝置管理	✓	×	x
NFC-Based 註冊	×	✓	✓
Token-Based 註冊	×	✓	✓
QR Code-Based 註冊	×	✓	✓
零觸控	×	✓	✓
合規性/條件式存取	✓	×	✓

如需詳細資訊，請參閱實作您的 Microsoft Intune 方案。

將 Intune 帳戶連線至 Android 企業帳戶

在您的環境中設定 Android 企業的第一個步驟是將 Intune 租使用者帳戶連線到您的 Android 企業帳戶：

建立Google服務帳戶 (@gmail.com) 。

注意事項

此帳戶會與您租使用者的所有 Android 企業管理工作相關聯。這是貴公司的IT系統管理員將共用的Google帳戶，以在Google Play控制台中管理和發佈應用程式。您可以使用現有的 Google 帳戶或建立新的帳戶。您使用的帳戶不得與 G-Suite 網域相關聯。
使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心。
移至 [裝置>Android Android>註冊>受控 Google Play]，選取 [ 我同意]，然後選取 [ 立即啟動 Google 以連線 ] 以開啟受控 Google Play 網站。
登入您的Google帳戶，然後選取 [ 開始使用]。
輸入您的公司名稱，然後選取 [ 下一步]。
接受條款，然後選取 [ 確認]。
選 取 [完成註冊]。

如需詳細資訊，請參閱將您的 Intune 帳戶連線到受控 Google Play 帳戶。

部署應用程式

在您的 Intune 帳戶連線到您的 Android 企業帳戶之後，您可以遵循下列步驟來部署一些應用程式：

使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心。
移至 [所有>應用程式]>[新增]。
在 [ 選取應用程式類型] 窗格中，找出可用的 市集應用程式 類型，然後選取 [ 受控 Google Play 應用程式]。
選 取 [選取]。受 控Google Play App Store 隨即顯示。
搜尋應用程式以檢視應用程式詳細數據。範例：Intune 公司入口網站應用程式。
在顯示應用程式的頁面上，選取 [ 核准]。應用程式的視窗隨即開啟，並提示您授與應用程式執行各種作業的許可權。
再次選取 [核准 ] 以接受應用程式許可權。
在 [ 核准設定] 索引標籤上 ，選取 [應用程式要求新許可權時保持核准]，然後選取 [ 儲存]。
按兩下 [選取 ] 以選取應用程式。
選取頂端的 [同步 處理]，以同步處理應用程式與受控Google Play 服務。
選 取 [重新整理 ] 以更新應用程式清單，並顯示新增的應用程式。

注意事項

Intune 與受控 Google Play 商店之間的應用程式同步處理是手動的。因此，每次核准新的應用程式時，都必須選取 [ 同步處理] 按鈕。
將應用程式新增至 Microsoft Intune 之後，您可以將應用程式指派給使用者和裝置。從 Microsoft Intune 系統管理中心，移至 [應用程式>所有應用程式]。查看 [ 管理] 底下，以查看列表中顯示的應用程式。
若要將應用程式指派給群組，請選取您要指派的應用程式。在功能表的 [管理] 區段中，選取 [屬性]，然後選取 [指派] 旁的 [編輯]，以開啟 [新增群組] 窗格。
在 [ 指派] 索引標籤的 [ 必要] 底下，選取 [ 新增群組]，選取要包含的群組，然後選取 [ 選取]。
在 [ 指派] 窗格上，選取 [ 檢閱 + 儲存] 以完成包含的群組選取。
在 [ 指派] 窗格中，選取 [ 儲存 ] 以儲存變更。
返回 [ 應用程式屬性] 檢視，並確認 [ 指派] 底下的應用程式。

如需應用程式部署的詳細資訊，請參閱將Android Enterprise系統應用程式新增至 Microsoft Intune。

啟用 Android 企業工作配置檔註冊

從 Intune 入口網站，移至 [裝置註冊註冊>限制]，然後選取 [裝置類型限制] 底下的 [預設]。
選取 [屬性>][選取平臺]，選取 [封鎖Android]，選取 [ 允許Android 工作配置檔]，選取 [ 確定]，然後選取 [ 儲存 ] 以儲存您的變更。

注意事項

默認限制的優先順序最低且適用於所有使用者，因此無法編輯。當您建立其他自定義限制時，請留意指派這些限制的群組，以免與此組態產生衝突。

如需詳細資訊，請參閱設定 Android Enterprise 工作配置檔裝置的註冊。

設定條件式存取

將 Gmail 應用程式或 Nine Work 應用程式部署為 必要專案。
依照下列步驟建立應用程式的電子郵件設定檔：
1. 在 Intune Azure 入口網站中，選取 [裝置組態>配置檔>] [建立配置檔]，然後輸入電子郵件設置檔的 [名稱] 和 [描述]。
2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。
3. 在 [僅配置文件類型>工作配置檔] 中，選取 [Email]。
4. 設定電子郵件設置檔設定。
  
  如需這些設定的詳細資訊，請參閱在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定。
建立電子郵件設置檔之後，請將它指派給群組。
設定裝置型條件式存取。

如需詳細資訊，請參閱設定 Android 工作設定檔裝置的條件式存取。

註冊您的 Android 企業裝置

使用您的工作帳戶登入，然後點選 [ 立即註冊]。
在 [ 存取設定] 畫面上，點選 [ 繼續]。
在隱私聲明畫面上，點選 [ 繼續]。
在 [ 下一個功能] 畫面上，點選 [ 下一步]。
在 [ 設定工作配置檔 ] 畫面上，點選 [ 接受]。
在 [ 啟用工作配置檔 ] 畫面上，點選 [ 繼續]。

注意事項

您可以在頂端看到徽章圖示，這表示您現在位於工作配置檔內。
在 [ 全部設定 ] 畫面上，點選 [ 完成]。
您現在可以登入 Gmail。當系統提示您更新安全性設定時，請點選 [ 立即更新]。
點 選 [啟用 ] 以裝置系統管理員身分啟用 Gmail。

如需詳細資訊，請參閱註冊 Android 裝置。

重設Android工作設定文件密碼

依照下列步驟建立需要工作配置文件密碼的裝置配置檔：
1. 在 Intune Azure 入口網站中，選取 [裝置組態>配置檔>] [建立配置檔]，輸入配置檔的 [名稱] 和 [描述]。
2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。
3. 在 [僅配置檔類型>工作配置檔] 中，選取 [ 裝置限制]。
4. 在 [工作配置檔設定] 中，選取 [需要工作配置文件密碼] 中的 [需要]。
在 Android 企業裝置上，如果您尚未設定工作設定檔密碼，系統會提示您設定密碼。
等候您收到第二個提示，指出 保護您的工作配置檔 - 授權公司支援人員從遠端重設您的工作配置檔密碼。輸入密碼以授權重設。它會啟用重設密碼令牌，Intune 才能成功執行此動作。

注意事項

如果您略過上述任何步驟，將會收到下列錯誤訊息：
起始重設密碼失敗
選 取 [重設密碼]。
重設完成之後，會顯示暫時密碼。
在您的裝置上輸入此暫時密碼。
當您需要設定新的 PIN 時，必須重新輸入此暫時密碼，然後輸入新的 PIN 碼。

如需密碼重設的詳細資訊，請參閱重設Android工作配置檔密碼。

常見問題集

問題：為什麼未從Google Play for Work 商店核准的應用程式不會從 Intune 管理員入口網站的 [Mobile Apps] 頁面中移除？

答：這是預期的行為。
問題：為什麼受控 Google Play 應用程式不會在 Intune 入口網站的 [探索到的應用程式] 底下回報？

答：這是預期的行為。
問題：為什麼未透過工作配置檔中顯示的 Intune 部署的受控 Google Play 應用程式？

答：建立工作配置檔時，裝置 OEM 可以在工作設定檔中啟用系統應用程式。它不是由 MDM 提供者控制。

若要進行疑難解答，請遵循下列步驟：
1. 收集公司入口網站記錄。
2. 請注意在工作配置檔中意外出現的任何應用程式。
3. 從 Intune 取消註冊裝置，然後卸載公司入口網站。
4. 安裝測試 DPC 應用程式，允許在沒有 EMM 的情況下建立工作設定檔以進行測試。
5. 請遵循測試 DPC 中的指示，在裝置上建立工作配置檔。
6. 檢閱出現在工作配置檔中的應用程式。
7. 如果相同的應用程式顯示在測試 DPC 應用程式中，OEM 會預期該裝置的應用程式。
問題：為什麼工作配置檔註冊的裝置無法使用 [抹除 (處理站重設) ] 選項？

答：這是預期的行為。在工作配置檔案例中，MDM 提供者無法完全控制裝置。唯一可用的選項是 [淘汰 (移除公司數據) ，這會移除整個工作配置檔及其所有內容。
問題：為什麼我無法在我的工作配置檔註冊裝置上找到檔案路徑內部記憶體/Android/Data.com.microsoft.windowsintune.companyportal/files，以手動收集公司入口網站記錄？

答：這是預期的行為。此路徑僅針對裝置管理員 (舊版 Android 註冊) 案例建立。

若要收集記錄，請遵循下列步驟：
1. 在具有徽章的公司入口網站應用程式中，點選 [功能表>說明>Email 支援]，然後點選 [傳送 Email & 上傳記錄檔]。
2. 當系統提示您傳送說明要求時，請選取其中一個 Email 應用程式。
3. 系統會產生一封電子郵件給您的IT系統管理員，其中包含可提供給 Microsoft 產品支援人員的事件標識碼。
問題：我已檢查受控 Google Play 上次同步處理時間，但數天未更新。為什麼？

答：這是預期的行為。只有當您手動執行同步處理時，才會觸發同步處理。
問題：工作配置檔註冊的裝置是否支援 Web 應用程式？

答：是。所有 Android Enterprise 案例都支援 Web 應用程式 (或 Web 連結) 。
問題：是否支援裝置密碼重設？

答：對於已註冊工作配置檔的裝置，如果工作配置文件密碼受到管理，且使用者允許您重設工作配置檔密碼，則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。針對專用且完全受控的裝置，支援裝置密碼重設。
問題：我的裝置必須在註冊時加密。是否有關閉加密的選項？

答：否。 Google 需要對工作配置檔進行加密。
問題：為什麼 Samsung 裝置會封鎖 SwiftKey 等第三方鍵盤的使用？

答：Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft 目前正與 Samsung 合作處理此問題，並會在有新資訊可用時張貼新資訊。