Průvodce nasazením: Správa zařízení s Androidem v Microsoft Intune
Intune podporuje správu mobilních zařízení (MDM) zařízení s Androidem, aby uživatelé měli zabezpečený přístup k pracovním e-mailům, datům a aplikacím. Tato příručka obsahuje prostředky specifické pro Android, které vám pomůžou nastavit registraci v Intune a nasadit aplikace a zásady pro uživatele a zařízení.
Požadavky
Než začnete, dokončete tyto požadavky a povolte správu zařízení s Androidem v Intune. Podrobnější informace o nastavení, nasazení nebo přechodu na Intune najdete v průvodci nasazením Intune.
- Přidání uživatelů a skupin
- Přiřazení licencí uživatelům
- Nastavení autority pro správu mobilních zařízení
Informace o Microsoft Intune rolích a oprávněních najdete v tématu RBAC s Microsoft Intune. Role globálního správce Microsoft Entra a správce Intune mají v rámci Microsoft Intune úplná práva. Globální správce má více oprávnění, než je potřeba pro mnoho úloh správy zařízení v Microsoft Intune. Doporučujeme použít roli s nejnižšími oprávněními, která je potřebná k dokončení úkolů. Například role s nejnižšími oprávněními, která může provádět úlohy registrace zařízení, je Správce zásad a profilů, což je integrovaná role Intune.
Plánování nasazení
S plánováním, návrhem a implementací Microsoft Intune ve vaší organizaci vám pomůže průvodce plánováním Microsoft Intune. Průvodce obsahuje informace, které vám pomůžou:
- Určete cíle, scénáře použití a požadavky.
- Vytvořte plány uvedení a komunikace.
- Vytvořte plány podpory, testování a ověřování.
Důležité
Správa správců zařízení s Androidem je zastaralá a pro zařízení s přístupem k Google Mobile Services (GMS) už není dostupná. Pokud aktuálně používáte správu správce zařízení, doporučujeme přepnout na jinou možnost správy Androidu. Dokumentace k podpoře a nápovědě zůstává k dispozici pro některá zařízení bez GMS se systémem Android 15 a starším. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
Vytvoření pravidel dodržování předpisů
Pomocí zásad dodržování předpisů můžete definovat pravidla a podmínky, které by uživatelé a zařízení měli splňovat pro přístup k chráněným prostředkům vaší organizace. Můžete také vytvořit zásady podmíněného přístupu, které společně s výsledky dodržování předpisů zařízením zablokují přístup k prostředkům ze zařízení nesplňujících předpisy. Podrobné vysvětlení o zásadách dodržování předpisů a o tom, jak začít, najdete v tématu Použití zásad dodržování předpisů k nastavení pravidel pro zařízení spravovaná pomocí Intune.
Následující úlohy platí pro platformy pro správu zařízení s Androidem Enterprise i Androidem.
| Úloha | Detail |
|---|---|
| Vytvoření zásady dodržování předpisů | Získejte podrobné pokyny k vytvoření a přiřazení zásad dodržování předpisů skupinám uživatelů a zařízení. |
| Přidání akcí pro nedodržení předpisů | Zvolte, co se stane, když zařízení přestanou splňovat podmínky zásad dodržování předpisů. Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. |
| Vytvořte zásadu podmíněného přístupu na základě zařízení nebo aplikace . | Zadejte aplikaci nebo služby, které chcete chránit, a definujte podmínky pro přístup. |
| Blokování přístupu k aplikacím, které nepoužívají moderní ověřování | Vytvořte zásady podmíněného přístupu na základě aplikace, které budou blokovat aplikace, které používají jiné metody ověřování než OAuth2. Můžete například blokovat aplikace, které používají základní ověřování a ověřování na základě formulářů. Než zablokujete přístup, přihlaste se k Microsoft Entra ID a zkontrolujte sestavu aktivit metod ověřování, abyste zjistili, jestli uživatelé používají základní ověřování pro přístup k základním věcem (jako jsou veřejné terminály kalendáře zasedacích místností), na které jste zapomněli nebo o které nevíte. |
Konfigurace zabezpečení koncových bodů
Funkce zabezpečení koncových bodů Intune slouží ke konfiguraci zabezpečení zařízení a ke správě úloh zabezpečení ohrožených zařízení.
Následující úlohy platí pro platformy pro správu zařízení s Androidem Enterprise i Androidem.
| Úloha | Detail |
|---|---|
| Správa zařízení pomocí funkcí zabezpečení koncových bodů | Pomocí nastavení zabezpečení koncového bodu v Intune můžete efektivně spravovat zabezpečení zařízení a opravovat problémy u zařízení. |
| Povolení konektoru ochrany před mobilními hrozbami (MTD) pro zaregistrovaná zařízení | Povolte připojení MTD v Intune, aby partnerské aplikace MTD mohly pracovat s Intune a zásadami dodržování předpisů zařízením MTD. Pokud nepoužíváte Microsoft Defender for Endpoint, zvažte povolení konektoru, abyste mohli použít jiné řešení ochrany před mobilními hrozbami. Konektor MTD můžete také povolit pro zařízení, která nejsou zaregistrovaná v Intune. |
| Vytvoření zásad ochrany aplikací MTD | Vytvořte Intune zásady ochrany aplikací, které posuzují rizika a omezují přístup zařízení k pracovním nebo školním aplikacím. |
| Vytvoření zásad dodržování předpisů zařízením MTD | Vytvořte Intune zásady ochrany aplikací, které vyhodnocuje rizika a omezuje podnikový přístup zařízení na základě úrovně hrozby. |
| Přidání a přiřazení aplikací MTD | Přidejte a nasaďte aplikace MTD v Intune. Tyto aplikace pracují s dodržováním předpisů zařízení a zásadami ochrany aplikací, aby identifikovaly a napravily hrozby zařízení. Aplikace MTD můžete také přiřadit zařízením, která nejsou zaregistrovaná v Intune. |
Konfigurace nastavení zařízení
Pomocí Microsoft Intune povolte nebo zakažte nastavení a funkce na zařízeních. Pokud chcete tato nastavení nakonfigurovat a vynutit, vytvořte profil zařízení a pak ho přiřaďte skupinám ve vaší organizaci. Zařízení tento profil obdrží po registraci.
| Úloha | Detail | Platforma |
|---|---|---|
| Vytvoření profilu Monitorování stavu Windows v Microsoft Intune | Seznamte se s různými typy profilů zařízení, které můžete vytvořit pro svoji organizaci. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace profilu Wi-Fi | Tento profil umožňuje uživatelům najít Wi-Fi síť vaší organizace a připojit se k této síti. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení Wi-Fi nastavení Wi-Fi androidu Enterprise nebo nastavení Wi-Fi správce zařízení s Androidem. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace profilu SÍTĚ VPN | Nastavte pro lidi, kteří se připojují k síti vaší organizace, možnost zabezpečené sítě VPN, například Tunel Microsoft. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení sítě VPN pro Android Enterprise nebo nastavení SÍTĚ VPN správce zařízení s Androidem. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace e-mailového profilu | Nakonfigurujte nastavení e-mailu, aby se lidé mohli připojit k poštovnímu serveru a získat přístup ke svému pracovnímu nebo školnímu e-mailu. Popis nastavení v této oblasti najdete v tématu Nastavení e-mailu Android Enterprise nebo Nastavení e-mailu správce zařízení s Androidem. | Android Enterprise, správce zařízení s Androidem |
| Omezení funkcí zařízení | Chraňte uživatele před neoprávněným přístupem a vyrušováním tím, že omezíte funkce zařízení, které můžou používat v práci nebo ve škole. Popis nastavení v této oblasti najdete v tématu Nastavení zařízení s Androidem Enterprise nebo Nastavení zařízení správce zařízení s Androidem. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace vlastních nastavení pro správce zařízení s Androidem | Přidejte nebo vytvořte vlastní nastavení, která nejsou integrovaná do Intune, jako je profil VPN pro jednotlivé aplikace a webová ochrana s Microsoft Defender for Endpoint. | Registrace správce zařízení s Androidem |
| Konfigurace aplikací Samsung Knox | Vytvořte vlastní profil pro povolení a blokování aplikací pro zařízení Samsung Knox Standard. | Registrace správce zařízení s Androidem |
| Vytvoření vlastního profilu pro Android Enterprise | Přidejte nebo vytvořte vlastní nastavení, která nejsou integrovaná v Intune pro zařízení v osobním vlastnictví. | Android Enterprise |
| Konfigurace profilu MX (Zebra Mobility Extensions) | Pomocí profilů MX (Mobility Extensions) zebra můžete přizpůsobit nebo přidat další nastavení specifická pro Zebra v Intune. | Registrace správce zařízení s Androidem |
| Vytvoření konfiguračního profilu OEMConfig | Pomocí OEMConfig můžete přidat, vytvořit a přizpůsobit nastavení specifická pro OEM pro zařízení s Androidem Enterprise. | Android Enterprise |
| Přizpůsobení brandingu a prostředí registrace | Přizpůsobte Portál společnosti Intune a Microsoft Intune aplikace brandingem vaší organizace a vytvořte známé prostředí pro uživatele, kteří si zaregistrují svá zařízení. | Android Enterprise, správce zařízení s Androidem |
Nastavení zabezpečených metod ověřování
Nastavte metody ověřování v Intune, abyste zajistili, že k vašim interním prostředkům budou přistupovat jenom autorizovaní lidé. Intune podporuje vícefaktorové ověřování, certifikáty SCEP a PKCS a odvozené přihlašovací údaje. Certifikáty je také možné použít k podepisování a šifrování e-mailů pomocí S/MIME.
| Úloha | Detail | Platforma |
|---|---|---|
| Vyžadovat vícefaktorové ověřování (MFA) | Vyžadovat, aby uživatelé v době registrace zadáli dva formuláře přihlašovacích údajů. | Android Enterprise |
| Vytvoření profilu důvěryhodného certifikátu | Před vytvořením profilu importovaného certifikátu SCEP, PKCS nebo PKCS vytvořte a nasaďte profil důvěryhodného certifikátu. Profil důvěryhodného certifikátu nasadí důvěryhodný kořenový certifikát do zařízení pomocí importovaných certifikátů SCEP, PKCS a PKCS. | Android Enterprise, správce zařízení s Androidem |
| Použití certifikátů SCEP s Intune | Zjistěte, co je potřeba k používání certifikátů SCEP s Intune, a nakonfigurujte požadovanou infrastrukturu. Potom můžete vytvořit profil certifikátu SCEP nebo nastavit certifikační autoritu třetí strany pomocí SCEP. | Android Enterprise |
| Použití certifikátů PKCS s Intune | Nakonfigurujte požadovanou infrastrukturu (například místní certificate connectory), exportujte certifikát PKCS a přidejte certifikát do konfiguračního profilu Intune zařízení. | Android Enterprise, správce zařízení s Androidem |
| Použití importovaných certifikátů PKCS s Intune | Nastavte importované certifikáty PKCS, které umožňují nastavit a používat S/MIME k šifrování e-mailů. | Android Enterprise, správce zařízení s Androidem |
| Nastavení vystavitele odvozených přihlašovacích údajů | Zřiďte zařízení s Androidem certifikáty odvozené z čipových karet uživatelů. | Android Enterprise |
Nasazení aplikací
Při nastavování aplikací a zásad aplikací se zamyslete nad požadavky vaší organizace, jako jsou platformy, které budete podporovat, úkoly, které lidé musí udělat, typ aplikací, které potřebují k dokončení těchto úkolů, a skupiny, které tyto aplikace potřebují. Intune můžete použít ke správě celého zařízení (včetně aplikací) nebo můžete použít Intune ke správě jenom aplikací.
| Úloha | Detail | Platforma |
|---|---|---|
| Přidání aplikací z Obchodu Google Play | Přidejte aplikace pro Android z Obchodu Google Play. | Registrace správce zařízení s Androidem |
| Přidání spravovaných aplikací Google Play | Přidejte aplikace pro Store, obchodní aplikace (LOB) a webové aplikace prostřednictvím spravovaného Obchodu Google Play. | Android Enterprise |
| Přidání systémových aplikací pro Android Enterprise | Pomocí Intune povolte a zakažte systémové aplikace pro Android Enterprise. | Android Enterprise |
| Přidání webových aplikací | Přidejte webové aplikace do Intune a přiřaďte je skupinám. | Registrace správce zařízení s Androidem |
| Přidání integrovaných aplikací | Přidejte integrované aplikace do Intune a přiřaďte je skupinám. | Registrace správce zařízení s Androidem |
| Přidání obchodních aplikací | Přidejte obchodní aplikace pro Android do Intune a přiřaďte je ke skupinám. | Registrace správce zařízení s Androidem |
| Přiřazení aplikací ke skupinám | Přiřaďte aplikace uživatelům a zařízením. | Android Enterprise, správce zařízení s Androidem |
| Zahrnutí a vyloučení přiřazení aplikací | Řízení přístupu a dostupnosti aplikace zahrnutím a vyloučením vybraných skupin z přiřazení | Android Enterprise, správce zařízení s Androidem |
| Vytvoření zásad ochrany aplikací pro Android | Udržujte data organizace obsažená ve spravovaných aplikacích, jako je Outlook a Word. Podrobnosti o jednotlivých nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android. | Android Enterprise, správce zařízení s Androidem |
| Ověření zásad ochrany aplikací | Než nasadíte zásady ochrany aplikací pro celou organizaci, ověřte, že jsou vaše zásady ochrany aplikací správně nastavené a funkční. | Android Enterprise, správce zařízení s Androidem |
| Vytvoření zásady správy aplikací | Použijte vlastní nastavení konfigurace u aplikací pro Android na zaregistrovaných zařízeních. Tyto typy zásad můžete také použít pro spravované aplikace bez registrace zařízení. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace Microsoft Edge | Pomocí Intune zásad ochrany a konfigurace aplikací v Microsoft Edgi pro Android zajistěte, aby se k podnikovým webům přistupovalo se zavedenými bezpečnostními opatřeními. | Android Enterprise, správce zařízení s Androidem |
| Konfigurace Prohlížeče Google Chrome | Pomocí zásad konfigurace aplikací Intune nakonfigurujte Google Chrome na zařízeních s Androidem zaregistrovaných v Intune. | Android Enterprise |
| Konfigurace aplikace Microsoft Spravovaná domovská obrazovka | Nastavte Spravovaná domovská obrazovka na vyhrazených zařízeních s Androidem Enterprise vlastněných společností zaregistrovaných přes Intune a spuštěných v celoobrazovkovém režimu s více aplikacemi. | Android Enterprise |
| Konfigurace aplikace Microsoft Launcher | Nakonfigurujte Microsoft Launcher tak, aby přizpůsobil prostředí domovské obrazovky na plně spravovaných zařízeních vaší organizace. | Android Enterprise |
| Konfigurace aplikací Microsoft Office | Pomocí Intune zásad ochrany a konfigurace aplikací s aplikacemi Office zajistíte, že se k podnikovým souborům dostanete se zavedenými bezpečnostními opatřeními. | Android Enterprise |
| Konfigurace Microsoft Teams | Používejte Intune zásady ochrany a konfigurace aplikací v Teams, abyste zajistili, že týmová prostředí pro spolupráci budou přístupná se zavedenými bezpečnostními opatřeními. | Android Enterprise |
| Konfigurace aplikace Microsoft Outlook | Pomocí zásad ochrany a konfigurace aplikací v Outlooku Intune zajistíte přístup k podnikovému e-mailu a kalendářům se zavedenými bezpečnostními opatřeními. | Android Enterprise |
Zápis zařízení
Registrace zařízení jim umožňuje přijímat zásady, které vytvoříte, takže si připravte Microsoft Entra skupiny uživatelů a skupin zařízení.
Intune podporuje následující metody registrace zařízení s Androidem:
- Přineste si vlastní zařízení (BYOD): Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Vyhrazená zařízení s AndroidEm Enterprise ve vlastnictví firmy
- Plně spravovaný android Enterprise ve vlastnictví firmy
- Pracovní profil androidu Enterprise vlastněný společností
- Registrace správce zařízení s Androidem
Informace o jednotlivých způsobech registrace a o tom, jak zvolit ten, který je pro vaši organizaci nejvhodnější, najdete v průvodci registrací zařízení s Androidem pro Microsoft Intune.
| Úloha | Detail | Platforma |
|---|---|---|
| Připojení Intune účtu ke spravovanému účtu Google Play | Pokud chcete povolit správu Androidu Enterprise v Intune, připojte svůj účet tenanta Intune ke spravovanému účtu Google Play. | Android Enterprise |
| Nastavení registrace pracovního profilu pro zařízení v osobním vlastnictví | Nastavte správu pracovních profilů pro zařízení v osobním vlastnictví. Tato metoda registrace vytvoří na zařízení samostatnou oblast pro data související s prací, aby osobní věci zůstaly nedotčené. | Android Enterprise |
| Nastavení registrace pracovního profilu pro zařízení vlastněná společností | Nastavte správu pracovních profilů pro zařízení vlastněná společností, která jsou určená pro pracovní a osobní použití. Tato metoda registrace vytvoří na zařízení samostatnou oblast pro data související s prací, aby osobní věci zůstaly nedotčené. | Android Enterprise |
| Nastavení registrace pro vyhrazená zařízení | Nastavte registraci pro zařízení vlastněná společností na jedno použití ve stylu veřejného terminálu. | Android Enterprise |
| Nastavení registrace pro plně spravovaná zařízení | Nastavte registraci pro zařízení vlastněná společností, která jsou přidružená k jednomu uživateli a používají se výhradně pro práci. | Android Enterprise |
| Registrace vyhrazených, plně spravovaných zařízení nebo zařízení s pracovním profilem vlastněných společností | Po nastavení Intune pro registraci Androidu Enterprise zaregistrujte zařízení pomocí jedné z pěti podporovaných metod registrace. | Android Enterprise |
| Nastavení registrace správce zařízení | Nastavte registraci správce zařízení s Androidem. Tuto metodu správy zařízení nahradil Android Enterprise, proto nedoporučujeme registrovat nová zařízení tímto způsobem. | Registrace správce zařízení s Androidem |
| Použití mobilní registrace Samsung Knox k automatické registraci zařízení s Androidem | Nastavte Intune pro Samsung Knox Mobile Enrollment (KME), která vám umožní automaticky zaregistrovat velký počet zařízení s Androidem vlastněných společností. | Android Enterprise, správce zařízení s Androidem |
| Identifikace zařízení jako vlastněných společností | Přiřaďte zařízením stav vlastněný společností, abyste v Intune umožnili více možností správy a identifikace. Stav vlastněný společností nejde přiřadit zařízením zaregistrovaným prostřednictvím Apple Business Manageru. | Android Enterprise, správce zařízení s Androidem |
| Změna vlastnictví zařízení | Po registraci zařízení můžete změnit jeho popisek vlastnictví v Intune na vlastněné společností nebo v osobním vlastnictví. Tato úprava změní způsob, jakým můžete zařízení spravovat. | Android Enterprise, správce zařízení s Androidem |
| Řešení potíží s registrací | Řešení potíží, ke kterým dochází během registrace, a jejich řešení | Android Enterprise, správce zařízení s Androidem |
Spouštění vzdálených akcí
Po nastavení zařízení můžete pomocí vzdálených akcí v Intune spravovat zařízení a řešit potíže na dálku. Dostupnost se liší podle platformy zařízení. Pokud akce na portálu chybí nebo je zakázaná, není na zařízení podporovaná.
| Úloha | Detail |
|---|---|
| Spouštění vzdálených akcí v Intune | Zjistěte, jak procházet podrobnosti a vzdáleně spravovat jednotlivá zařízení v Intune a řešit potíže s tím. Tento článek obsahuje seznam všech vzdálených akcí dostupných v Intune a odkazy na tyto postupy. |
| Napravit ohrožení zabezpečení identifikovaná Microsoft Defender for Endpoint | Integrujte Intune s Microsoft Defender for Endpoint, abyste mohli využívat Threat and Vulnerability Management Defenderu, a pomocí Intune napravte slabé místo koncového bodu, které identifikuje schopnost správy ohrožení zabezpečení defenderu. |
| Vymazání podnikových dat z aplikací spravovaných Intune | Selektivně odeberte data související s prací ze zařízení. |
Další kroky
V těchto kurzech registrace se dozvíte, jak provádět některé z hlavních úloh v Intune. Kurzy jsou obsah na úrovni 100 až 200 pro lidi, kteří Intune nebo konkrétní scénář.
- Projděte si Centrum pro správu Intune
- Konfigurace služby Slack pro použití Intune pro správu podnikové mobility (EMM) a konfiguraci aplikací
Verzi této příručky pro iOS/iPadOS najdete v tématu Průvodce nasazením: Správa zařízení s iOS/iPadOS v Microsoft Intune.