设置 Android Enterprise 专用设备的 Intune 注册

  • 项目

Android Enterprise 通过其专用设备解决方案支持公司拥有的一次性展台式设备。 这些设备用于单一用途,例如数字标牌、票证打印或库存管理。 管理员可以锁定设备的使用,设为仅限使用一个应用或包含 web 应用在内的有限的一组应用。 除非管理员明确批准,否则用户无法添加其他应用或在设备上执行操作。

专用设备可以通过两种不同的方式在 Microsoft Intune 中注册:

  • 注册为标准 Android Enterprise 专用设备。 这些设备在没有用户帐户的情况下注册到 Intune 中,并且不与用户关联。 这些设备不适用于需要用户特定帐户数据的个人应用或 Outlook 或 Gmail 等应用。

  • 作为标准 Android Enterprise 专用设备,使用 Microsoft Authenticator 自动设置,并在注册期间配置为Microsoft Entra共享设备模式。 这些设备在没有用户帐户的情况下在 Intune 中注册,并且不与用户关联。 这些设备适用于与Microsoft Entra共享设备模式集成的应用,并允许跨参与应用的用户之间进行单一登录和注销。

本文介绍如何设置和配置Microsoft Intune以注册专用设备。 有关 Android Enterprise 管理解决方案的详细信息,请参阅 Android Enterprise 入门 (打开 Android Enterprise 帮助中心) 。

设备要求

设备必须具有:

  • Android OS 8.0 或更高版本。
  • 具有 Google Mobile Services (GMS) 连接的 Android 发行版。 设备必须有可用的 GMS,并且必须能连接到 GMS。

设置 Android Enterprise 专用设备管理

要设置 Android Enterprise 专用设备管理,请执行以下步骤:

  1. 若准备管理移动设备,必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune”以获取说明。 第一次设置 Intune 以进行移动设备管理时,只需设置一次此项。
  2. 将 Intune 租户帐户连接到托管的 Google Play 帐户
  3. 创建注册配置文件
  4. 创建设备组
  5. 注册专用设备

创建注册配置文件

注意

令牌过期后,与其关联的配置文件将从 Android 注册>公司拥有的专用设备中的视图中消失。 若要查看与活动和非活动令牌关联的所有配置文件,请选择 “筛选”。 然后选中“ 活动 ”和“ 非活动” 策略状态的复选框。

必须创建注册配置文件,以便注册专用设备。 创建配置文件时,它将以字符串和 QR 代码的形式提供注册令牌。

  1. 登录到Microsoft Intune管理中心
  2. 转到 “设备>注册”。
  3. 选择“ Android ”选项卡。
  4. “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
  5. 选择“ 创建配置文件”。
  6. 输入配置文件的基础知识:
    • 名称:为配置文件命名,以便以后轻松识别它。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
    • 令牌类型:选择要用于注册专用设备的令牌类型。
      • 公司拥有的专用设备(默认):此令牌将设备注册为标准 Android Enterprise 专用设备。 这些设备在任何时候都不需要用户凭据。 这是专用设备注册时将使用的默认令牌类型,除非管理员在令牌创建时将其进行了更新。
      • 具有Microsoft Entra ID共享模式的公司拥有的专用设备:此令牌将设备注册为标准 Android Enterprise 专用设备,并在注册期间将配置为Microsoft Entra共享设备模式的 Microsoft Authenticator 应用。 使用此选项,用户可以跨设备上的应用实现单一登录和单一注销,这些应用与 Microsoft Entra Microsoft 身份验证库和全局登录/注销调用集成。
    • 令牌到期日期:输入希望令牌过期的日期,最长为未来 65 年。 令牌在所选日期的创建时区的中午 12:59:59 过期。 可接受的日期格式: MM/DD/YYYYYYYY-MM-DD
  7. 选择“ 下一步 ”以继续 转到“作用域标记”。
  8. (可选)应用一个或多个范围标记,以将配置文件可见性和管理限制为 Intune 中的某些管理员用户。 有关如何使用范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记
  9. 选择“ 下一步 ”继续 查看 + 创建
  10. 查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

在管理中心访问注册令牌。

  1. 转到 “设备>注册”。
  2. 选择“ Android ”选项卡。
  3. “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
  4. 从列表中选择注册配置文件。
  5. 选择“令牌”。

令牌显示为 20 位字符串和 QR 码。 使用此令牌通过 注册专用、完全托管或公司拥有的工作配置文件设备中所述的机制注册设备。 注册时,系统会提示设备用户输入注册令牌。 你可以提供字符串或 QR,只要它受 Android OS 和注册设备的版本支持。

替换、删除或导出令牌

选择令牌以访问以下选项:

  • 替换令牌:生成即将过期的新令牌。
  • 撤销令牌:立即使令牌过期。 吊销后,令牌不再可用。 此选项在以下情况下很有用:
    • 意外地与未经授权的参与方共享令牌。
    • 完成所有注册,不再需要令牌。
  • 导出令牌:导出令牌的 JSON 内容。 此选项可用于获取配置 Google Zero TouchKnox Mobile Enrollment 所需的 JSON 内容。

应用后,这些操作不会对已注册的设备产生任何影响。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra设备组,以自动填充使用特定注册配置文件注册的设备:

  1. 登录到Microsoft Intune管理中心,然后选择“组>”“所有组>”“新建组”。
  2. 在“”边栏选项卡中,填写必填字段,如下所示:
    • 组类型:安全性
    • 组名:键入直观的名称(如中心 1 设备)
    • 成员身份类型:动态设备
  3. 选择“添加动态查询”
  4. 在“动态成员身份规则”边栏选项卡中,填写如下字段
    • 添加动态成员身份规则:简单规则
    • 添加设备位置:enrollmentProfileName
    • 在中间的框中,选择“等于”
    • 在最后一个字段中,输入之前创建的注册配置文件名称。 有关动态成员身份规则的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则
  5. 选择“添加查询”>“创建”。

注册专用设备

现在可以注册专用设备

注意

注册专用设备期间将自动安装 Microsoft Intune 应用。 此应用必须进行注册,不能卸载。 使用具有共享模式的令牌类型“公司拥有的 Microsoft Entra ID专用设备”时,将在注册专用设备期间自动安装 Microsoft Authenticator 应用。 此注册方法需要此应用,并且无法卸载。

在 Android Enterprise 专用设备上管理应用

Android Enterprise 专用设备上只能安装分配类型设置为必需的应用。 应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人拥有和公司拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时,托管设备上的应用会自动更新。

要从 Android Enterprise 专业设备中删除应用,可执行以下任一操作:

  • 删除所需的应用部署。
  • 创建应用的卸载部署。

后续步骤