通过

使用 公司门户 和 Entrust 设置 Android 设备

  • 项目

使用 Microsoft Intune 应用注册设备,以便安全、移动地访问工作或学校邮件、文件和应用。 注册设备后,设备将受到管理,这意味着组织可以通过移动设备管理 (MDM) 提供商(例如Microsoft Intune)将策略和应用分配给设备。

在注册期间,还会在设备上安装派生凭据。 组织可能要求在访问资源或对电子邮件进行签名和加密时使用派生凭据作为身份验证方法。

如果使用智能卡来设置派生凭据,

  • 登录到学校或工作应用、Wi-Fi 和虚拟专用网络 (VPN)
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

在本文中,你将:

  • 使用 Intune 应用注册移动 Android 设备
  • 通过从组织的派生凭据提供程序 Entrust 安装派生凭据来设置智能卡

什么是派生凭据?

派生凭据是从智能卡凭据派生并安装在设备上的证书。 它授予你远程访问工作资源的权限,同时防止未经授权的用户访问敏感信息。

派生凭据用于:

  • 对登录到学校或工作应用、Wi-Fi 和 VPN 的学生和员工进行身份验证
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

派生凭据实现美国国家标准与技术研究院 (NIST) 关于派生个人身份验证 (PIV) 凭据的准则(属于《特殊出版物 (SP) 800-157》)。

先决条件

若要完成注册,必须具备:

  • 学校或工作提供的智能卡
  • 访问计算机或展台,可在其中使用智能卡
  • 运行 Android 8.0 或更高版本的新设备或恢复出厂设置的设备
  • 设备上安装的Microsoft Intune应用

注册设备

  1. 打开新的或恢复出厂设置设备。

  2. 在“欢迎使用”屏幕上,选择语言。 如果你的组织指示你注册 QR 码或近场通信 (NFC) ,请按照与 方法匹配的步骤进行操作。

    • NFC:在程序员设备上点击 NFC 支持的设备以连接到组织的网络。 按照屏幕上的提示进行操作。 当你到达 Chrome 的服务条款屏幕时,请继续执行步骤 5。

    • QR 码:完成 QR 码注册中的步骤。

    如果组织指示你使用其他方法,请继续执行步骤 3。

  3. 连接到 Wi-Fi,然后点击“ 下一步”。 按照与注册方法匹配的步骤进行操作。

    • 令牌:进入 Google 登录屏幕时,请完成 令牌注册中的步骤。
    • Google Zero Touch:连接到 Wi-Fi 后,你的组织可以识别你的设备。 继续执行步骤 4 并按照屏幕上的提示操作,直到设置完成。

  4. 查看 Google 的条款。 然后点击“ 接受 & 继续”。

  5. 查看 Chrome 的服务条款。 然后点击“ 接受 & 继续”。

  6. 在登录屏幕上,点击“ 登录选项” ,然后点击“ 从其他设备登录”。

  7. 写下屏幕代码。

  8. 切换到启用了智能卡的设备,然后转到屏幕上显示的 Web 地址。

  9. 输入之前记下的代码。

  10. 插入智能卡以登录。

  11. 在登录屏幕上,选择工作或学校帐户。 然后切换回移动设备。

  12. 根据组织的要求,系统可能会提示你更新设置,例如屏幕锁定或加密。 如果看到这些提示,请点击“ 设置 ”,然后按照屏幕上的说明进行操作。

  13. 若要在设备上安装工作应用,请点击 “安装”。 安装完成后,点击“ 下一步”。

  14. 点击“开始”打开Microsoft Intune应用。

  15. 返回到移动设备上的Intune应用,并按照屏幕上的说明操作,直到注册完成。

  16. 继续执行本文中的设置智能卡部分,完成设备设置。

QR 码注册

在本部分中,你将扫描公司提供的 QR 码。 完成后,我们会将你重定向回设备注册步骤。

  1. “欢迎” 屏幕上,点击屏幕五次以启动 QR 码设置。
  2. 按照屏幕上的任何说明连接到 Wi-Fi。
  3. 如果设备没有 QR 码扫描程序,则会自动安装扫描程序。 等待安装完成。
  4. 出现提示时,请扫描组织给你的注册配置文件 QR 码。
  5. 返回到 步骤 4:注册设备 以继续设置。

令牌注册

在本部分中,输入公司提供的令牌。 完成后,我们会将你重定向回设备注册步骤。

  1. 在 Google 登录屏幕上,在Email或电话框中,键入 afw#setup。 然后点击“ 下一步”。

  2. Android 设备策略应用选择“安装”。 继续完成安装。 根据你的设备,你可能需要查看并接受其他条款。

  3. “注册此设备” 屏幕上,点击“ 下一步”。

  4. 点击 “输入代码”。

  5. “扫描或输入代码 ”屏幕上,输入组织提供的代码。 然后点击“ 下一步”。

  6. 返回到 步骤 4:注册设备 以继续设置。

设置智能卡

  1. 注册完成后,Intune应用会提示你通过通知设置智能卡。 点击通知。 如果未收到通知,检查电子邮件。

    设备主屏幕上Intune应用推送通知的屏幕截图。

  2. “设置智能卡”屏幕上:

    1. 点击指向组织说明的链接。 如果组织未提供更多说明,则会将你发送到本文。

    2. 点击 “开始”。

    Intune应用的“设置移动智能卡访问”屏幕的屏幕截图。

  3. 切换到启用了智能卡的设备,然后打开 IdentityGuard。

  4. 找到智能凭据登录区域,然后选择登录按钮。

  5. 当系统提示选择证书时,请选择智能卡凭据。 然后,选择“确定”。

  6. 输入智能卡 PIN。

  7. 从操作列表中选择。 选择允许注册派生移动智能凭据的凭据。 链接或按钮可能表示我想注册派生的移动智能卡凭据。

  8. 选择指示已成功下载并安装了已启用智能凭据的应用程序的选项。 然后继续转到下一个屏幕。

  9. 输入有关派生的智能卡凭据的信息:

    1. 对于标识名称,请输入任何名称,例如 Entrust Derived Cred

    2. 在下拉菜单中,选择“ 委托 IdentityGuard 移动智能凭据”。

    3. 继续转到下一个屏幕。 屏幕显示 QR 码,其下有数字密码。

  10. 返回到 Android 设备。 在“Intune应用>获取 QR 码”屏幕上,点击“下一步”。

    Intune应用的“获取 QR 码”屏幕的屏幕截图。

  11. 如果系统提示允许Intune应用使用相机,请点击“允许”。

  12. 扫描已启用智能卡的设备上显示的 QR 码图像。

  13. 在“ 需要密码” 屏幕上,输入 QR 码下显示的密码。

    Intune应用“需要密码”屏幕的屏幕截图。

  14. Intune应用开始下载并安装访问工作或学校资源所需的证书。 此过程可能需要一些时间,具体取决于 Internet 连接。 在此期间不要关闭应用。

    Intune应用的“下载和安装证书”屏幕的屏幕截图。

  15. 处理完所有证书后,等待Intune应用完成设备设置。 当你看到“ 你已设置完毕! ”屏幕时,设置已完成。

    Intune应用的屏幕截图,“你已全部设置”屏幕。

后续步骤

注册完成后,可以访问工作资源,例如电子邮件、Wi-Fi 以及组织提供的任何应用。 有关如何在 Intune 应用中获取、搜索、安装和卸载应用的详细信息,请参阅:

仍然需要帮助? 请联系公司支持人员。 有关联系信息,检查网站