Udostępnij za pośrednictwem

Konfigurowanie rejestracji dla w pełni zarządzanych urządzeń z systemem Android Enterprise

  • Artykuł

Skonfiguruj w pełni zarządzane rozwiązanie urządzenia z systemem Android Enterprise w Microsoft Intune, aby rejestrować urządzenia należące do firmy i zarządzać nimi. W pełni zarządzane urządzenie jest skojarzone z jednym użytkownikiem i jest przeznaczone do użytku służbowego, a nie osobistego. Jako administrator Intune możesz zarządzać całym urządzeniem i wymuszać kontrolki zasad, które nie są dostępne w profilu służbowym systemu Android Enterprise, takie jak:

  • Zezwalaj na instalację aplikacji tylko z zarządzanego sklepu Google Play.
  • Zablokuj użytkownikom odinstalowywanie aplikacji zarządzanych.
  • Uniemożliwiaj użytkownikom resetowanie urządzeń do ustawień fabrycznych.

Ty i użytkownicy urządzeń mogą inicjować rejestrację, wprowadzając lub skanując token rejestracji podczas konfigurowania urządzenia. W tym artykule opisano wymagania wstępne dotyczące rejestracji oraz sposób tworzenia profilów i tokenów rejestracji. Na końcu tego artykułu możesz zarejestrować urządzenia.

Krok 1. Wymagania wstępne

Wykonaj te wymagania wstępne, aby zapewnić pomyślną rejestrację.

  • Musisz mieć dzierżawę autonomiczną Intune z urzędem zarządzania urządzeniami przenośnymi (MDM) ustawionym na Microsoft Intune.

  • Urządzenia muszą:

    • Uruchom system operacyjny Android w wersji 8.0 lub nowszej.
    • Uruchom kompilację systemu Android, która ma łączność z usługami Google Mobile Services.
    • Udostępnij usługi Google Mobile Services i możesz się z nimi połączyć.

    Nie ma żadnych ograniczeń dotyczących producenta urządzenia/producenta OEM, jeśli zostały spełnione wszystkie trzy wymagania.

  • Upewnij się, że system Android Enterprise jest obsługiwany w Twoim regionie. Aby uzyskać informacje o wymaganiach dotyczących systemu Android Enterprise, zobacz Wprowadzenie do systemu Android Enterprise.

  • Połącz konto dzierżawy Intune z kontem systemu Android Enterprise.

  • Proces konfiguracji systemu Android używa karty Chrome do uwierzytelniania użytkowników urządzeń podczas rejestracji. Jeśli masz zasady dostępu Microsoft Entra warunkowego z następującymi konfiguracjami, musisz wykluczyć aplikację w chmurze Microsoft Intune z zasad:

    • Wymagaj, aby urządzenie było oznaczone jako zgodne ustawienie używane do udzielania lub blokowania dostępu.

    • Zasady dotyczą wszystkich aplikacji w chmurze, systemu Android i przeglądarek.

Krok 2. Tworzenie nowego profilu rejestracji

Intune automatycznie generuje domyślny profil rejestracji i token rejestracji dla w pełni zarządzanych urządzeń. Domyślny profil rejestracji nosi nazwę Domyślny profil w pełni zarządzany.

Aby utworzyć nowy profil rejestracji:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Przejdź dopozycji Rejestracjaurządzeń>.

  3. Wybierz kartę Android .

  4. W obszarzeProfile rejestracjiw systemie Android Enterprise> wybierz w pełni zarządzane urządzenia użytkowników należące do firmy.

  5. Wybierz pozycję Utwórz profil.

  6. Wprowadź podstawy profilu:

    • Nazwa: nadaj profilowi nazwę. Zanotuj nazwę na później, ponieważ jest ona potrzebna podczas konfigurowania dynamicznej grupy urządzeń.

    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

    • Typ tokenu: wybierz typ tokenu, którego chcesz użyć do rejestrowania w pełni zarządzanych urządzeń firmowych. Aby uzyskać więcej informacji, zobacz Typy tokenów w tym artykule. Dostępne opcje:

      • Należące do firmy, w pełni zarządzane (wartość domyślna)

      • Należąca do firmy, w pełni zarządzana, za pośrednictwem środowiska przejściowego

    • Data wygaśnięcia tokenu: dostępna tylko z tokenem przejściowym. Wprowadź datę wygaśnięcia tokenu do 65 lat w przyszłości. Akceptowalny format daty: MM/DD/YYYY lub YYYY-MM-DD Token wygasa w wybranej dacie o godzinie 12:59:59 w utworzonej strefie czasowej.

  7. Wybierz pozycję Dalej , aby przejść do pozycji Tagi zakresu.

  8. Zastosuj co najmniej jeden tag zakresu, aby ograniczyć widoczność profilu i zarządzanie nim do niektórych użytkowników administracyjnych w Intune. Tagi zakresu są opcjonalne. Aby uzyskać więcej informacji na temat korzystania z tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.

  9. Wybierz pozycję Dalej , aby kontynuować przeglądanie i tworzenie.

  10. Przejrzyj podsumowanie profilu, a następnie wybierz pozycję Utwórz , aby go sfinalizować.

Aby przejrzeć, wprowadzić zmiany lub usunąć profil:

  1. Wybierz profil.

  2. Wybierz pozycję Przegląd , aby przejrzeć podstawowe informacje o profilu i usunąć profil.

  3. Wybierz pozycję WłaściwościEdytuj>, aby wprowadzić zmiany w podstawach profilu lub tagach zakresu.

  4. Wybierz pozycję Token , aby pobrać, odwołać lub wyeksportować token.

Krok 3. Tworzenie dynamicznej grupy Microsoft Entra

Opcjonalnie utwórz dynamiczną grupę Microsoft Entra, aby automatycznie grupować urządzenia na podstawie określonego atrybutu lub zmiennej. W tym przypadku chcemy użyć enrollmentProfileName właściwości do grupowania urządzeń, które są rejestrowane w tym samym profilu.

Dodaj następujące konfiguracje do grupy:

  • Typ grupy: Zabezpieczenia

  • Typ członkostwa: Urządzenie dynamiczne

  • Dodaj zapytanie dynamiczne z następującą regułą:

Nie można używać grup dynamicznych z domyślnym profilem rejestracji. Aby uzyskać więcej informacji na temat tworzenia grupy dynamicznej z regułami, zobacz Tworzenie reguły członkostwa w grupie.

Krok 4. Rejestrowanie urządzeń

Po skonfigurowaniu profilu rejestracji, tokenu i grupy dynamicznej możesz użyć dowolnej z tych metod aprowizacji, aby zarejestrować urządzenia jako w pełni zarządzane:

  • Komunikacja zbliżeniowa (NFC)
  • Ciąg tokenu lub kod QR
  • Rejestracja bezobsłużowa
  • Rejestracja w systemie Samsung Knox Mobile

Aby zapoznać się z kolejnymi krokami, w tym sposobem rejestrowania urządzeń przy użyciu każdej metody aprowizacji, zobacz Rejestrowanie urządzeń firmowych z systemem Android Enterprise.

Typy tokenów

Podczas tworzenia profilu rejestracji w centrum administracyjnym należy wybrać typ tokenu. Istnieją dwa typy tokenów. Każdy typ umożliwia inny przepływ rejestracji.

Domyślny token należący do firmy, w pełni zarządzany, rejestruje urządzenia w Microsoft Intune jako standardowe w pełni zarządzane urządzenia firmowe z systemem Android Enterprise. Ten token wymaga wykonania kroków wstępnej aprowizacji przed dystrybucją urządzeń. Użytkownicy końcowi wykonują pozostałe kroki na urządzeniu po zalogowaniu się przy użyciu konta służbowego.

Token przejściowy urządzenia, należący do firmy, w pełni zarządzany, za pośrednictwem środowiska przejściowego, rejestruje urządzenia w Microsoft Intune w trybie przejściowym, dzięki czemu Ty lub dostawca zewnętrzny możesz wykonać wszystkie kroki wstępnej aprowizacji. Użytkownicy końcowi kończą ostatni krok aprowizacji, logując się do aplikacji Microsoft Intune przy użyciu konta służbowego. Urządzenia są gotowe do użycia po zalogowaniu. Intune obsługuje przemieszczanie urządzeń z systemem Android Enterprise z systemem Android 8 lub nowszym.

Aby uzyskać więcej informacji, zobacz Omówienie przemieszczania urządzeń.

Zastępowanie, usuwanie lub eksportowanie tokenu

Wybierz token w centrum administracyjnym, aby uzyskać dostęp do tych opcji zarządzania:

  • Zastąp token: wygeneruj nowy token, który zbliża się do wygaśnięcia.

  • Odwołaj token: natychmiast wygaśnie token. Po odwołaniu tokenu nie można już używać. Ta opcja jest przydatna, jeśli:

    • Przypadkowo udostępnij token nieautoryzowanej stronie.

    • Ukończ wszystkie rejestracje i nie potrzebujesz już tokenu.

  • Token eksportu: eksportuj zawartość JSON tokenu. Możesz użyć tej opcji, aby uzyskać zawartość JSON wymaganą dla konfiguracji rejestracji Google Zero Touch lub Knox Mobile Enrollment.

Po zastosowaniu te akcje nie mają żadnego wpływu na urządzenia, które zostały już zarejestrowane.