設定 Android Enterprise 專用裝置的 Intune 註冊

  • 發行項

Android Enterprise 支援公司擁有、單一使用、kiosk 樣式裝置及其專用裝置解決方案。 這些裝置用於單一用途,例如數位簽名、票證列印或庫存管理。 系統管理員可以將裝置的使用方式鎖定為單一應用程式,或包含 Web 應用程式的有限應用程式集。 除非系統管理員明確核准,否則使用者無法在裝置上新增其他應用程式或採取動作。

適用於專用的裝置可以透過兩種不同的方式 Microsoft Intune 註冊:

  • 作為標準 Android Enterprise 專用裝置。 這些裝置在沒有使用者帳戶的情況下註冊到 Intune,且未與使用者相關聯。 這些裝置不適用於個人應用程式,或是需要使用者特定帳戶數據的 Outlook 或 Gmail 等應用程式。

  • 作為標準的 Android Enterprise 專用裝置,會使用 Microsoft Authenticator 自動設定,並在註冊期間設定為 Microsoft Entra 共用裝置模式。 這些裝置會在沒有用戶帳戶的 Intune 中註冊,且不會與使用者相關聯。 這些裝置適用於與 Microsoft Entra 共用裝置模式整合的應用程式,並允許跨參與應用程式的使用者進行單一登錄和註銷。

本文說明如何設定 Microsoft Intune 註冊專用裝置。 如需 Android Enterprise 管理解決方案的詳細資訊,請 參閱開始使用 Android Enterprise (開啟 Android Enterprise Help Center) 。

裝置需求

裝置必須具備:

  • Android OS 8.0 版或更新版本。
  • 具有Google行動服務 (GMS) 連線的 Android 散發套件。 裝置必須有可用的 GMS,而且必須能夠連線到 GMS。

設定 Android Enterprise 專用裝置管理

若要設定 Android Enterprise 專用裝置管理,請遵循下列步驟:

  1. 若要準備管理行動裝置,您必須將行動裝置管理 (MDM) 授權單位設定為 Microsoft Intune 以取得指示。 當您第一次設定 Intune 以進行行動裝置管理時,您只會設定此專案一次。
  2. 將您的 Intune 租使用者帳戶連線到受控 Google Play 帳戶
  3. 建立註冊配置檔。
  4. 建立裝置群組
  5. 註冊專用裝置

建立註冊配置檔

注意事項

令牌過期之後,與令牌相關聯的配置檔會從Android註冊>公司擁有的專用裝置中的檢視中消失。 若要查看與作用中和非使用中令牌相關聯的所有配置檔,請選擇 [ 篩選]。 然後選取 [ 作用 中] 和 [ 非使用中 ] 原則狀態的複選框。

您必須建立註冊配置檔,才能註冊專用裝置。 建立設定檔時,它會以字串和 QR 代碼的形式為您提供註冊令牌。

  1. 登入 Microsoft Intune 系統管理中心
  2. 移至 [裝置>註冊]
  3. 選取 [Android] 索引 標籤。
  4. 在 [ 註冊配置檔] 區段中 ,選擇 [公司擁有的專用裝置]
  5. 取 [建立配置檔]
  6. 輸入設定檔的基本概念:
    • 名稱:為您的配置檔命名,以便稍後輕鬆識別。
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
    • 令牌類型:選擇您想要用來註冊專用裝置的令牌類型。
      • 公司擁有的專用裝置 (預設) :此令牌會將裝置註冊為標準 Android Enterprise 專用裝置。 這些裝置在任何時間點都不需要用戶認證。 除非在建立令牌時由 管理員 更新,否則這是專用裝置將註冊的預設令牌類型。
      • 具有 Microsoft Entra ID 共用模式的公司擁有專用裝置:此令牌會將裝置註冊為標準 Android Enterprise 專用裝置,並在註冊期間,將設定為 Microsoft Entra 共用裝置模式的 Microsoft Authenticator 應用程式部署。 使用此選項,使用者可以跨裝置上與 Microsoft Entra Microsoft 驗證連結庫和全域登入/註銷呼叫整合的應用程式,達成單一登錄和單一註銷。
    • 令牌到期日:輸入您要令牌到期的日期,未來最多 65 年。 令牌會在所建立時區的下午 12:59:59 的選取日期到期。 可接受的日期格式: MM/DD/YYYYYYYY-MM-DD
  7. 取 [下一步 ] 繼續前往 [範圍卷標]
  8. 選擇性地套用一或多個範圍標籤,以限制 Intune 中特定系統管理員使用者的配置檔可見度和管理。 如需如何使用範圍標籤的詳細資訊,請參閱 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍卷標
  9. 取 [下一步 ] 繼續進行 [檢閱 + 建立]
  10. 檢閱您的選擇,然後選取 [建立 ] 以完成配置檔的建立。

存取註冊令牌

在系統管理中心存取註冊令牌。

  1. 移至 [裝置>註冊]
  2. 選取 [Android] 索引 標籤。
  3. 在 [ 註冊配置檔] 區段中 ,選擇 [公司擁有的專用裝置]
  4. 從清單中,選取您的註冊配置檔。
  5. 取 [令牌]

令牌會顯示為 20 位數的字串和 QR 代碼。 使用此令牌透過 註冊專用、完全受控或公司擁有的工作配置檔裝置中所述的機制來註冊裝置。 註冊時,系統會提示裝置使用者輸入註冊令牌。 只要 Android OS 和註冊裝置的版本支援字串或 QR,您就可以提供該字串或 QR。

取代、移除或匯出令牌

選取權杖以存取這些選項:

  • 取代令牌:產生即將到期的新令牌。
  • 撤銷令牌:令牌立即過期。 撤銷之後,令牌就無法再使用。 如果您:
    • 不小心與未經授權的一方共用令牌。
    • 完成所有註冊,不再需要令牌。
  • 匯出令牌:匯出令牌的 JSON 內容。 此選項適用於取得設定 Google Zero TouchKnox Mobile Enrollment 所需的 JSON 內容。

套用時,這些動作不會對已註冊的裝置有任何影響。

建立裝置群組

您可以將應用程式和原則的目標設為指派或動態裝置群組。 您可以依照下列步驟,將動態 Microsoft Entra 裝置群組設定為自動填入使用特定註冊設定檔註冊的裝置:

  1. 登入 Microsoft Intune 系統管理中心,然後選擇 [群組>所有群組>][新增群組]
  2. 在 [ 群組 ] 刀鋒視窗中,填寫所需的欄位,如下所示:
    • 群組類型:安全性
    • 組名:輸入直覺式名稱 (,例如 Factory 1 裝置)
    • 成員資格類型:動態裝置
  3. 選擇 [新增動態查詢]
  4. 在 [ 動態成員資格規則] 刀鋒視窗中,填寫字段,如下所示:
    • 新增動態成員資格規則:簡單規則
    • 新增裝置,其中:enrollmentProfileName
    • 在中間方塊中,選擇 [等於]
    • 在最後一個字段中,輸入您稍早建立的註冊配置檔名稱。 如需動態成員資格規則的詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則
  5. 選擇 [新增查詢>建立]

註冊專用裝置

您現在可以 註冊專用裝置

注意事項

Microsoft Intune 應用程式將會在專用裝置註冊期間自動安裝。 此應用程式是註冊的必要專案,無法卸載。 使用公司擁有的專用裝置令牌類型與 Microsoft Entra ID 共用模式時,會在註冊專用裝置期間自動安裝 Microsoft Authenticator 應用程式。 此註冊方法需要此應用程式,且無法卸載。

管理 Android Enterprise 專用裝置上的應用程式

只有 [指派類型] 設定為 [必要 ] 的應用程式才能安裝在Android Enterprise 專用裝置上。 應用程式從受控Google Play商店安裝的方式,與Android Enterprise個人擁有和公司擁有的工作配置檔裝置相同。

當應用程式開發人員將更新發佈至Google Play時,應用程式會在受管理的裝置上自動更新。

若要從 Android Enterprise 專用裝置移除應用程式,您可以執行下列其中一項:

  • 刪除必要的應用程式部署。
  • 建立應用程式的卸載部署。

後續步驟