設定 Android Enterprise 完全受控裝置的註冊

  • 發行項

在 Microsoft Intune 中設定 Android Enterprise 完全受控裝置解決方案,以註冊和管理公司擁有的裝置。 完全受控裝置會與單一使用者相關聯,且適用於工作,而非個人用途。 身為 Intune 系統管理員,您可以管理整個裝置,並強制執行 Android Enterprise 工作設定檔無法使用的原則控制件,例如:

  • 只允許從受控Google Play 安裝應用程式。
  • 禁止使用者卸載受控應用程式。
  • 防止使用者將裝置重設為出廠預設值。

您和您的裝置使用者可以在裝置安裝期間輸入或掃描註冊令牌來起始註冊。 本文說明註冊的必要條件,以及如何建立註冊配置檔和令牌。 在本文結尾,您將準備好註冊裝置。

步驟 1:必要條件

請完成這些必要條件,以確保註冊成功。

  • 您必須擁有 Intune 獨立租使用者,且行動裝置管理 (MDM) 授權單位設定為 Microsoft Intune

  • 裝置必須:

    • 執行 Android OS 8.0 版和更新版本。
    • 執行具有Google行動服務連線能力的Android組建。
    • 讓Google行動服務可供使用,並能夠連線到該服務。

    如果符合這三項需求,則裝置製造商/OEM 沒有任何限制。

  • 請確定您的區域支援 Android Enterprise。 如需 Android Enterprise 需求, 請參閱開始使用 Android Enterprise

  • 將您的 Intune 租使用者帳戶連線到您的 Android Enterprise 帳戶

  • Android 安裝程式會使用 Chrome 索引標籤在註冊期間驗證裝置使用者。 如果您有具有下列設定的 Microsoft Entra 條件式存取原則,您必須從原則中排除 Microsoft Intune 雲端應用程式:

    • 需要將裝置標示為符合規範 的設定,才能用來授與或封鎖存取權。
    • 此原則適用於 所有雲端應用程式Android瀏覽器

步驟 2:建立新的註冊配置檔

Intune 會自動產生完全受控裝置的默認註冊配置檔和註冊令牌。 默認註冊配置檔的名稱為 預設完全受控配置檔

若要建立新的註冊設定檔:

  1. 登入 Microsoft Intune 系統管理中心
  2. 移至 [裝置>註冊]
  3. 選取 [Android] 索引 標籤。
  4. [Android Enterprise>註冊配置檔] 下,選擇 [公司擁有且完全受控的使用者裝置]
  5. 在 [ 允許用戶註冊公司擁有的用戶裝置] 下,選擇 [ 是]
  6. 取 [建立配置檔]
  7. 輸入設定檔的基本概念:
    • 名稱:為配置檔命名。 請記下名稱以供稍後使用,因為當您設定動態裝置群組時,將會需要它。
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
  8. 取 [下一步 ] 繼續前往 [範圍卷標]
  9. 選擇性地套用一或多個範圍標籤,以限制 Intune 中特定系統管理員使用者的配置檔可見度和管理。 如需如何使用範圍標籤的詳細資訊,請參閱 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍卷標
  10. 取 [下一步 ] 繼續進行 [檢閱 + 建立]
  11. 檢閱配置檔的摘要,然後選取 [ 建立 ] 來完成它。

若要檢閱、進行變更或刪除設定檔:

  1. 選取配置檔。
  2. 取 [概觀 ] 以檢閱配置檔基本資訊並刪除配置檔。
  3. 取 [屬性>編輯 ],對配置檔基本概念或範圍標籤進行變更。
  4. 取 [令牌 ] 以擷取、撤銷或匯出令牌。

步驟 3:建立動態 Microsoft Entra 群組

或者,建立動態 Microsoft Entra 群組,以根據特定屬性或變數自動將裝置分組。 在此情況下,我們想要使用 enrollmentProfileName 屬性將使用相同配置檔註冊的裝置分組。

將這些組態新增至您的群組:

您無法使用具有預設註冊設定檔的動態群組。 如需如何使用規則建立動態群組的詳細資訊,請參閱 建立群組成員資格規則

步驟 4:註冊裝置

現在您已設定註冊設定檔、令牌和動態群組,您可以使用下列任何一種佈建方法,將裝置註冊為完全受控:

  • NFC (近距離通訊)
  • 令牌字串或 QR 代碼
  • 零觸控註冊
  • Samsung Knox Mobile 註冊

如需後續步驟,包括如何使用每個布建方法註冊裝置,請參閱 註冊 Android Enterprise 公司擁有的裝置