Omówienie zarządzania profilami służbowymi systemu Android Enterprise
Microsoft Intune obsługuje zarządzanie profilami służbowymi, czyli opcję zarządzania systemem Android Enterprise, która umożliwia oddzielenie aplikacji służbowych i danych na zarejestrowanych urządzeniach na poziomie platformy. Gdy pracownik lub uczeń zarejestruje swoje urządzenie w Intune, umożliwia utworzenie profilu służbowego. Profil służbowy tworzy oddzielną partycję na urządzeniu dla konta służbowego użytkownika, dzięki czemu użytkownik może łatwo i bezpiecznie przełączać się między aplikacjami osobistymi i aplikacjami służbowymi. Po opuszczeniu profilu służbowego wracają do osobistej strony urządzenia, gdzie ich osobiste aplikacje i dane nie mają wpływu na zasady Intune.
Użytkownicy urządzeń rejestrujący urządzenia osobiste muszą zarejestrować się za pośrednictwem aplikacji Intune — Portal firmy, podczas gdy użytkownicy na urządzeniach należących do firmy muszą zarejestrować się za pośrednictwem aplikacji Microsoft Intune.
Ten artykuł zawiera omówienie opcji zarządzania profilami służbowymi systemu Android Enterprise obsługiwanych przez Microsoft Intune, które obejmują:
- Profile służbowe dla urządzeń należących do firmy.
- Profile służbowe dla urządzeń osobistych.
Musisz wiedzieć
System Android Enterprise nie jest dostępny wszędzie. Przed utworzeniem profilu rejestracji w centrum administracyjnym Microsoft Intune upewnij się, że system Android Enterprise jest dostępny w Twoim regionie. Aby uzyskać więcej informacji na temat dostępności i wymagań dotyczących systemu Android Enterprise, zobacz Wymagania dotyczące systemu Android Enterprise (otwiera pomoc dla systemu Android Enterprise).
W miejscach, w których system Android Enterprise nie jest obsługiwany, istnieją inne opcje zarządzania systemem Android obsługiwane przez Intune, w tym:
- Zarządzanie platformą open source systemu Android (AOSP)
- Zarządzanie administratorem urządzeń z systemem Android
- Zarządzanie aplikacjami mobilnymi
Zarządzane konto Google Play
Aby włączyć zarządzanie urządzeniami i aplikacjami dla urządzeń z systemem Android Enterprise w Intune, musisz połączyć dzierżawę Microsoft Intune z zarządzanym kontem Google Play.
Zarządzanie profilem służbowym
Microsoft Intune zasady i ustawienia mają zastosowanie tylko do profilu służbowego. Jako administrator Intune możesz zarządzać częściami roboczymi zarejestrowanego urządzenia.
- Wszystkie aplikacje wdrażane w Intune zostaną zainstalowane w profilu służbowym. Administratorzy mogą zarządzać aplikacjami i akcjami w zakresie profilu służbowego oraz monitorować je.
- Wszystkie aplikacje i dane systemu Android spoza profilu służbowego pozostają osobiste i podlegają kontroli użytkownika urządzenia. Użytkownicy mogą zainstalować dowolną wybraną aplikację po stronie osobistej urządzenia.
W profilu służbowym znajdują się unikatowe ikony aplikacji, które ułatwiają użytkownikom rozróżnianie aplikacji służbowych i osobistych na ich urządzeniu.
Ustawienia dostępne w Intune, począwszy od rejestracji, przez konfigurację urządzenia, po zgodność, umożliwiają dostosowanie poziomu ochrony do potrzeb organizacji. Aby uzyskać więcej informacji na temat odpowiednich ustawień, zobacz:
- Ustawienia zgodności urządzeń dla systemu Android Enterprise w Intune
- Ustawienia urządzenia z systemem Android Enterprise umożliwiające lub ograniczające funkcje przy użyciu Intune
Publikowanie i dystrybucja aplikacji
Zarządzany sklep Google Play jest integralną częścią dystrybucji aplikacji i zarządzania nimi w systemie Android Enterprise. Wszystkie aplikacje wdrożone w profilu służbowym na urządzeniach osobistych i firmowych pochodzą z zarządzanej usługi Google Play.
Aby zarządzać aplikacjami i wdrażać je w Sklepie Play, zaloguj się do witryny internetowej Google Play przy użyciu poświadczeń administratora do zarządzania Google. W tym miejscu możesz zatwierdzać aplikacje do wdrożenia. Zatwierdzone aplikacje są synchronizowane z Microsoft Intune i są wyświetlane w centrum administracyjnym, w którym można je wdrażać i zarządzać nimi. Aplikacje biznesowe opracowane przez Organizację muszą być publikowane w zarządzanym sklepie Google Play przy użyciu zarządzanej konsoli publikowania Google Play.
Aplikacje można instalować bez interakcji z użytkownikiem i bez konieczności zezwalania użytkownikowi na instalacje aplikacji z nieznanych źródeł. Aby przeglądać i instalować opcjonalne lub dostępne aplikacje, użytkownik może przeglądać zarządzany sklep Google Play na swoim urządzeniu. Aby uzyskać więcej informacji, zobacz Przypisywanie aplikacji do urządzeń z profilem służbowym systemu Android Enterprise przy użyciu Intune.
Konfiguracja aplikacji
System Android Enterprise zapewnia infrastrukturę do wdrażania wartości konfiguracji aplikacji w aplikacjach, które je obsługują. Określając wartości dla aplikacji służbowych, upewnij się, że są one prawidłowo skonfigurowane, gdy użytkownicy uruchamiają aplikację po raz pierwszy. Obsługa konfiguracji aplikacji wymaga, aby deweloperzy aplikacji tworzyli aplikacje systemu Android specjalnie w celu obsługi wartości konfiguracji zarządzanej. Jeśli tak, możesz użyć Intune, aby określić i zastosować te ustawienia konfiguracji. Aby uzyskać więcej informacji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android.
konfiguracja Email
System Android Enterprise nie udostępnia domyślnej aplikacji poczty e-mail ani natywnego obiektu profilu poczty e-mail, takiego jak ten udostępniany przez system iOS/iPadOS. Zamiast tego można skonfigurować ustawienia poczty e-mail dla obsługiwanych aplikacji poczty e-mail za pośrednictwem ustawień konfiguracji aplikacji Intune.
Gmail i Nine Work to dwie aplikacje klienckie Exchange ActiveSync (EAS) w Sklepie Play obsługujące konfigurację aplikacji systemu Android Enterprise. Intune udostępnia szablony konfiguracji dla aplikacji Gmail i Nine Work, dzięki czemu można nimi zarządzać jako aplikacjami służbowymi. W zasadach konfiguracji aplikacji można skonfigurować inne aplikacje poczty e-mail obsługujące profile konfiguracji aplikacji.
Jeśli używasz Exchange ActiveSync dostępu warunkowego dla urządzenia osobistego lub firmowego, rozważ użycie aplikacji poczty e-mail Gmail lub Nine Work. Obsługiwana jest również aplikacja Microsoft Outlook dla systemu Android i dowolna inna aplikacja poczty e-mail korzystająca z nowoczesnego uwierzytelniania za pośrednictwem biblioteki MSAL. Aby uzyskać więcej informacji, zobacz How to configure email settings in Microsoft Intune (Jak skonfigurować ustawienia poczty e-mail w Microsoft Intune).
Porada
Azure AD biblioteka uwierzytelniania (ADAL) została wycofana, dlatego zalecamy zaktualizowanie aplikacji, które obecnie używają biblioteki ADAL do biblioteki MSAL. Aby uzyskać więcej informacji, zobacz Aktualizowanie aplikacji w celu używania biblioteki Microsoft Authentication Library (MSAL) i microsoft interfejs Graph API.
Zasady ochrony aplikacji
Microsoft Intune obsługuje zasady ochrony aplikacji stosowane do aplikacji w profilu służbowym i po stronie osobistej urządzeń. Aplikacje biznesowe można publikować w konsoli publikowania w sklepie Google Play i tworzyć aplikacje jako prywatne dla organizacji.
Aby uzyskać więcej informacji na temat zasad ochrony aplikacji dla profilu służbowego, zobacz następujące artykuły:
Profile sieci VPN
Obsługa sieci VPN jest podobna do profilów sieci VPN systemu Android. Ci sami dostawcy sieci VPN i podstawowe opcje konfiguracji są dostępne w przypadku zarządzania systemem Android Enterprise z dwiema różnicami:
Sieć VPN o zakresie profilu służbowego — połączenia sieci VPN są ograniczone do aplikacji wdrożonych w profilu służbowym na urządzeniach osobistych i firmowych, więc tylko aplikacje zarządzane mogą korzystać z połączenia sieci VPN. Aplikacje osobiste na urządzeniu nie mogą używać zarządzanego połączenia sieci VPN. Aby uzyskać więcej informacji, zobacz Ustawienia sieci VPN systemu Android Enterprise.
Sieć VPN specyficzna dla aplikacji — sieć VPN specyficzna dla aplikacji można skonfigurować w Intune, jeśli dostawca sieci VPN obsługuje:
Konfiguracja sieci VPN specyficznej dla aplikacji.
Możliwość konfigurowania sieci VPN dla aplikacji za pośrednictwem profilu konfiguracji aplikacji systemu Android Enterprise.
Aby uzyskać więcej informacji, zobacz Używanie profilu niestandardowego Microsoft Intune do tworzenia profilu sieci VPN dla aplikacji dla urządzeń z systemem Android.
Profile certyfikatów
Te same konfiguracje profilów certyfikatów, które są dostępne dla zarządzania systemem Android, są dostępne dla profilu służbowego na urządzeniach osobistych i należących do firmy. System Android Enterprise udostępnia ulepszone interfejsy API zarządzania certyfikatami.
Rozszerzone zarządzanie certyfikatami:
Zapewnia, że wdrażanie certyfikatu jest dyskretne i bezproblemowe dla użytkownika.
Zapewnia usunięcie wdrożonych certyfikatów po wycofaniu urządzenia z Intune i usunięciu profilu służbowego.
Informuje użytkowników urządzeń, że certyfikat został wdrożony i skonfigurowany przez ich osobę pomocy technicznej IT za pośrednictwem Microsoft Intune.
Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu certyfikatu dla urządzeń w Microsoft Intune.
profile Wi-Fi
Wi-Fi profile są usuwane po wycofaniu urządzenia z Intune i usunięciu profilu służbowego. Aby uzyskać więcej informacji, zobacz How to configure Wi-Fi settings in Microsoft Intune (Jak skonfigurować ustawienia Wi-Fi w Microsoft Intune).