Sdílet prostřednictvím

Nastavení registrace pro plně spravovaná zařízení s Androidem Enterprise

  • Článek

Nastavte plně spravované řešení zařízení s Androidem Enterprise v Microsoft Intune pro registraci a správu zařízení vlastněných společností. Plně spravované zařízení je přidružené k jednomu uživateli a je určené pro práci, ne pro osobní použití. Jako správce Intune můžete spravovat celé zařízení a vynucovat ovládací prvky zásad, které nejsou dostupné v pracovním profilu Androidu Enterprise, například:

  • Povolte instalaci aplikace jenom ze spravovaného Google Play.
  • Blokovat uživatelům odinstalaci spravovaných aplikací
  • Zabraňte uživatelům v obnovení továrního nastavení zařízení.

Vy a uživatelé zařízení můžete registraci zahájit zadáním nebo kontrolou registračního tokenu během instalace zařízení. Tento článek popisuje požadavky na registraci a postup vytvoření registračních profilů a tokenů. Na konci tohoto článku můžete zaregistrovat zařízení.

Krok 1: Požadavky

Splněním těchto požadavků zajistíte úspěšnou registraci.

  • Musíte mít Intune samostatného tenanta s autoritou správy mobilních zařízení (MDM) nastavenou na Microsoft Intune.

  • Zařízení musí:

    • Spusťte operační systém Android verze 8.0 a novější.
    • Spusťte build pro Android, který má připojení ke službám Google Mobile Services.
    • Mít k dispozici služby Google Mobile Services a být se k ní moct připojit.

    Výrobce zařízení nebo výrobce OEM nemá žádné omezení, pokud jsou splněné všechny tři požadavky.

  • Ujistěte se, že je ve vaší oblasti podporovaný Android Enterprise. Požadavky na Android Enterprise najdete v tématu Začínáme s Androidem Enterprise.

  • Připojte účet tenanta Intune k účtu Androidu Enterprise.

  • Proces nastavení Androidu používá k ověření uživatelů zařízení během registrace kartu Chromu. Pokud máte zásady podmíněného přístupu Microsoft Entra s následujícími konfiguracemi, musíte ze zásad vyloučit Microsoft Intune cloudovou aplikaci:

    • Nastavení Vyžadovat, aby zařízení bylo označené jako vyhovující , se používá k udělení nebo blokování přístupu.

    • Zásady platí pro všechny cloudové aplikace, Android a prohlížeče.

Krok 2: Vytvoření nového registračního profilu

Intune automaticky vygeneruje výchozí registrační profil a registrační token pro plně spravovaná zařízení. Výchozí registrační profil má název Výchozí plně spravovaný profil.

Vytvoření nového registračního profilu:

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte na Registrace zařízení>.

  3. Vyberte kartu Android .

  4. V částiProfily registraceAndroid Enterprise> zvolte Plně spravovaná uživatelská zařízení vlastněná společností.

  5. Vyberte Vytvořit profil.

  6. Zadejte základní informace o vašem profilu:

    • Název: Pojmenujte profil. Poznamenejte si název na později, protože ho budete potřebovat při nastavování dynamické skupiny zařízení.

    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

    • Typ tokenu: Zvolte typ tokenu, který chcete použít k registraci podnikových plně spravovaných zařízení. Další informace najdete v části Typy tokenů v tomto článku. Možnosti:

      • Plně spravované ve vlastnictví firmy (výchozí)

      • Plně spravované, vlastněné společností, prostřednictvím přípravy

    • Datum vypršení platnosti tokenu: K dispozici pouze s přípravným tokenem. Zadejte datum, kdy má platnost tokenu vypršet, a to až do 65 let v budoucnu. Přijatelný formát data: MM/DD/YYYY Nebo YYYY-MM-DD platnost tokenu vyprší k vybranému datu ve 12:59:59 v časovém pásmu, ve které byl vytvořen.

  7. Vyberte Další a pokračujte na Obor značek.

  8. Použijte jednu nebo více značek oboru k omezení viditelnosti a správy profilu na určité uživatele s rolí správce v Intune. Značky oboru jsou volitelné. Další informace o používání značek oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

  9. Vyberte Další a pokračujte na Zkontrolovat a vytvořit.

  10. Zkontrolujte souhrn svého profilu a pak vyberte Vytvořit a dokončete ho.

Kontrola, provedení změn nebo odstranění profilu:

  1. Vyberte profil.

  2. Výběrem přehledu zkontrolujte základní informace o profilu a profil odstraňte.

  3. Vyberte Upravit vlastnosti> a proveďte změny v základních profilech nebo značkách oboru.

  4. Pokud chcete token načíst, odvolat nebo exportovat, vyberte Token .

Krok 3: Vytvoření dynamické skupiny Microsoft Entra

Volitelně můžete vytvořit dynamickou skupinu Microsoft Entra, která automaticky seskupí zařízení na základě určitého atributu nebo proměnné. V tomto případě chceme vlastnost použít enrollmentProfileName k seskupení zařízení, která se registrují se stejným profilem.

Přidejte do skupiny tyto konfigurace:

  • Typ skupiny: Zabezpečení

  • Typ členství: Dynamické zařízení

  • Přidejte dynamický dotaz s následujícím pravidlem:

Dynamické skupiny nemůžete použít s výchozím registračním profilem. Další informace o tom, jak vytvořit dynamickou skupinu s pravidly, najdete v tématu Vytvoření pravidla členství ve skupině.

Krok 4: Registrace zařízení

Po nastavení registračního profilu, tokenu a dynamické skupiny můžete použít kteroukoli z těchto metod zřizování k registraci zařízení jako plně spravovaných:

  • Bezkontaktní komunikace (NFC)
  • Řetězec tokenu nebo kód QR
  • Registrace bez dotykového ovládání
  • Samsung Knox Mobile Enrollment

Další kroky, včetně postupu registrace zařízení pomocí jednotlivých metod zřizování, najdete v tématu Registrace zařízení vlastněných společností s Androidem Enterprise.

Typy tokenů

Při vytváření registračního profilu v Centru pro správu musíte vybrat typ tokenu. Existují dva typy tokenů. Každý typ umožňuje jiný tok registrace.

Výchozí token, plně spravovaný společností, zaregistruje zařízení do Microsoft Intune jako standardní podniková plně spravovaná zařízení s Androidem Enterprise. Tento token vyžaduje, abyste před distribucí zařízení dokončili kroky předběžného zřízení. Koncoví uživatelé dokončí zbývající kroky na zařízení, když se přihlásí pomocí svého pracovního nebo školního účtu.

Plně spravovaný token zařízení, který je ve vlastnictví firmy, prostřednictvím přípravy zaregistruje zařízení do Microsoft Intune v pracovním režimu, aby vy nebo dodavatel třetí strany mohli dokončit všechny kroky předběžného zřízení. Koncoví uživatelé dokončí poslední krok zřizování tím, že se přihlásí k aplikaci Microsoft Intune pomocí svého pracovního nebo školního účtu. Zařízení jsou připravená k použití po přihlášení. Intune podporuje přípravu zařízení pro zařízení s Androidem Enterprise se systémem Android 8 nebo novějším.

Další informace najdete v tématu Přehled přípravy zařízení.

Nahrazení, odebrání nebo export tokenu

Pokud chcete získat přístup k těmto možnostem správy, vyberte token v Centru pro správu:

  • Nahrazení tokenu: Vygenerujte nový token, u kterého se blíží vypršení platnosti.

  • Odvolání tokenu: Okamžitě vyprší platnost tokenu. Jakmile ho odvoláte, token už nebude použitelný. Tato možnost je užitečná, pokud:

    • Omylem sdílejte token s neautorizovaným účastníkem.

    • Dokončete všechny registrace a token už nepotřebujete.

  • Export tokenu: Exportujte obsah JSON tokenu. Tuto možnost můžete použít k získání obsahu JSON požadovaného pro konfiguraci Google Zero Touch nebo Knox Mobile Enrollment.

Po použití nemají tyto akce žádný vliv na zařízení, která jsou už zaregistrovaná.