为 Android Enterprise 完全托管设备设置注册

在 Microsoft Intune 中设置 Android Enterprise 完全托管的设备解决方案，以注册和管理公司拥有的设备。 完全托管的设备与单个用户关联，用于工作，而不是个人使用。 作为Intune管理员，你可以管理整个设备并强制实施 Android Enterprise 工作配置文件中不可用的策略控制，例如：

• 仅允许从托管 Google Play 安装应用。
• 阻止用户卸载托管应用。
• 阻止用户恢复出厂设置设备。

你和设备用户可以在设备设置期间输入或扫描注册令牌来启动注册。 本文介绍注册的先决条件以及如何创建注册配置文件和令牌。 本文末尾，可以注册设备。

步骤 1：先决条件

完成这些先决条件以确保成功注册。

• 必须具有Intune独立租户，并将移动设备管理 (MDM) 机构设置为 Microsoft Intune。

• 设备必须：

  • 运行 Android OS 8.0 及更高版本。
  • 运行具有 Google 移动服务连接的 Android 版本。
  • 让 Google 移动服务可用并能够连接到它。

  如果满足所有三个要求，则对设备制造商/OEM 没有限制。

• 请确保你的区域支持 Android Enterprise。 有关 Android Enterprise 要求，请参阅 Android Enterprise 入门。

• 将 Intune 租户帐户连接到 Android Enterprise 帐户。

• Android 设置过程在注册期间使用 Chrome 选项卡对设备用户进行身份验证。 如果具有具有以下配置的Microsoft Entra条件访问策略，则必须从策略中排除Microsoft Intune云应用：

  • 要求将设备标记为合规 设置用于授予或阻止访问权限。

  • 该策略适用于所有 云应用、 Android 和 浏览器。

步骤 2：创建新的注册配置文件

Intune为完全托管的设备自动生成默认注册配置文件和注册令牌。 默认注册配置文件名为 “默认完全托管配置文件”。

若要创建新的注册配置文件，请执行以下操作：

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “设备>注册”。

3. 选择“ Android ”选项卡。

4. 在 “Android 企业>注册配置文件”下，选择 “公司拥有的完全托管用户设备”。

5. 选择“ 创建配置文件”。

6. 输入配置文件的基础知识：

   • 名称：为配置文件命名。 请记下该名称以供以后使用，因为在设置动态设备组时需要它。

   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

   • 令牌类型：选择要用于注册公司完全托管设备的令牌类型。 有关详细信息，请参阅本文中的 令牌类型 。 选项包括：

     • 公司拥有的完全托管 (默认)

     • 公司拥有的、完全托管的、通过过渡

   • 令牌到期日期：仅适用于暂存令牌。 输入希望令牌过期的日期，最长为未来 65 年。 可接受的日期格式： MM/DD/YYYY 或 YYYY-MM-DD 令牌在创建的时区中的 12：59：59 PM 在所选日期到期。

7. 选择“ 下一步 ”以继续 转到“作用域标记”。

8. 应用一个或多个范围标记，以将配置文件可见性和管理限制为Intune中的某些管理员用户。 作用域标记是可选的。 有关如何使用范围标记的详细信息，请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。

9. 选择“ 下一步 ”继续 查看 + 创建。

10. 查看配置文件摘要，然后选择“ 创建 ”以完成该摘要。

若要查看、进行更改或删除配置文件，请执行以下操作：

1. 选择配置文件。

2. 选择“ 概述 ”，查看配置文件基本信息并删除配置文件。

3. 选择 “属性>编辑 ”，对配置文件基本信息或范围标记进行更改。

4. 选择“ 令牌 ”以检索、撤销或导出令牌。

步骤 3：创建动态Microsoft Entra组

（可选）创建动态Microsoft Entra组，以基于特定属性或变量自动对设备进行分组。 在这种情况下，我们希望使用 enrollmentProfileName 属性对注册同一配置文件的设备进行分组。

将这些配置添加到组：

• 组类型：安全性

• 成员身份类型: 动态设备

• 使用以下规则添加动态查询：

  • 属性：enrollmentProfileName
  • 运算符：等于
  • 值：输入在 步骤 2：创建新的注册配置文件中创建的注册配置文件的名称。

不能将动态组与默认注册配置文件一起使用。 有关如何使用规则创建动态组的详细信息，请参阅 创建组成员身份规则。

步骤 4：注册设备

设置注册配置文件、令牌和动态组后，可以使用以下任一预配方法将设备注册为完全托管：

• 近场通信 (NFC)
• 令牌字符串或 QR 代码
• 零接触注册
• Samsung Knox 移动设备注册

有关后续步骤（包括如何使用每个预配方法注册设备），请参阅 注册 Android Enterprise 公司拥有的设备。

令牌类型

在管理中心创建注册配置文件时，必须选择令牌类型。 有两种类型的令牌。 每种类型启用不同的注册流。

默认令牌（公司拥有的完全托管）将设备注册到Microsoft Intune作为标准 Android Enterprise 企业完全托管设备。 此令牌要求在分发设备之前完成预预配步骤。 最终用户使用工作或学校帐户登录时完成设备上的剩余步骤。

设备暂存令牌（公司拥有的、完全托管的）通过暂存模式将设备注册到Microsoft Intune，以便你或第三方供应商可以完成所有预预配步骤。 最终用户使用其工作或学校帐户登录到 Microsoft Intune 应用，完成预配的最后一步。 设备可在登录时使用。 Intune支持运行 Android 8 或更高版本的 Android Enterprise 设备的设备暂存。

有关详细信息，请参阅 设备暂存概述。

替换、删除或导出令牌

在管理中心中选择令牌以访问以下管理选项：

• 替换令牌：生成即将过期的新令牌。

• 撤销令牌：立即使令牌过期。 撤销令牌后，令牌不再可用。 此选项在以下情况下很有用：

  • 意外地与未经授权的参与方共享令牌。

  • 完成所有注册，不再需要令牌。

• 导出令牌：导出令牌的 JSON 内容。 可以使用此选项获取 Google Zero Touch 或 Knox Mobile Enrollment 配置所需的 JSON 内容。

应用后，这些操作不会对已注册的设备产生任何影响。