设置 Android Enterprise 专用设备的 Intune 注册

将 Android Enterprise 专用设备解决方案与 Microsoft Intune 配合使用，为一线员工设置公司拥有的一次性展台式设备。 这些设备用于单一用途，例如数字标牌、票证打印或库存管理。 作为管理员，你可以将设备的使用锁定为单个应用或一组有限的应用（包括 Web 应用）。 除非你明确批准，否则用户无法添加其他应用或在设备上执行操作。

可通过两种方式在 Microsoft Intune 中注册专用设备：

• 注册为标准 Android Enterprise 专用设备。 这些设备在没有用户帐户的情况下注册到 Intune 中，并且不与用户关联。 这些设备不适用于个人应用或需要用户特定帐户数据Microsoft Outlook 或 Google Mail 等应用。

• 作为标准 Android Enterprise 专用设备，使用 Microsoft Authenticator 自动设置，并在注册期间配置为 Microsoft Entra 共享设备模式 。 这些设备在没有用户帐户的情况下在 Intune 中注册，并且不与用户关联。 这些设备适用于与 Microsoft Entra 共享设备模式集成的应用，并允许跨参与应用的用户之间进行单一登录和注销。

本文介绍如何设置和配置 Microsoft Intune 来注册专用设备。 有关 Android Enterprise 管理解决方案的详细信息，请参阅 Android Enterprise 入门 (打开 Android Enterprise 帮助中心) 。

设备要求

设备必须具有：

• Android OS 8.0 或更高版本。
• 具有 Google Mobile Services (GMS) 连接的 Android 发行版。 设备必须有可用的 GMS，并且必须能连接到 GMS。

设置 Android Enterprise 专用设备管理

要设置 Android Enterprise 专用设备管理，请执行以下步骤：

1. 若准备管理移动设备，必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune”以获取说明。 第一次设置 Intune 以进行移动设备管理时，只需设置一次此项。
2. 将 Intune 租户帐户连接到托管的 Google Play 帐户。
3. 创建注册配置文件。
4. 创建设备组。
5. 注册专用设备。

创建注册配置文件

注意

令牌过期后，与其关联的配置文件将从“Android 注册>注册配置文件”“公司拥有的专用设备”>下的视图中消失。 若要查看与活动和非活动令牌关联的所有配置文件，请选择 “筛选”。 然后选中“ 活动 ”和“ 非活动” 策略状态的复选框。

必须创建注册配置文件，以便注册专用设备。 创建配置文件时，它将以字符串和 QR 代码的形式提供注册令牌。

1. 登录到 Microsoft Intune 管理中心。
2. 转到 “设备”，然后在“ 设备载入 ”下选择“ 注册”。
3. 选择“ Android ”选项卡。
4. 在 “注册配置文件” 部分中，选择 “公司拥有的专用设备”。
5. 选择“ 创建配置文件”。
6. 输入配置文件的基础知识：
   • 名称：为配置文件命名，以便以后轻松识别它。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。
   • 令牌类型：选择要用于注册专用设备的令牌类型。
     • 公司拥有的专用设备（默认）：此令牌将设备注册为标准 Android Enterprise 专用设备。 这些设备在任何时候都不需要用户凭据。 这是专用设备注册时将使用的默认令牌类型，除非管理员在令牌创建时将其进行了更新。
     • 具有 Microsoft Entra ID 共享模式的公司拥有的专用设备：此令牌将设备注册为标准 Android Enterprise 专用设备，并在注册期间将配置为Microsoft Entra 共享设备模式Microsoft的 Authenticator 应用。 使用此选项，用户可以跨设备上的应用实现单一登录和单一注销，这些应用与 Microsoft Entra Microsoft 身份验证库和全局登录/注销调用集成。
   • 令牌到期日期：输入希望令牌过期的日期，最长为未来 65 年。 令牌在所选日期的创建时区的中午 12：59：59 过期。 可接受的日期格式： MM/DD/YYYY 或 YYYY-MM-DD
7. 选择“ 下一步 ”以继续 转到“作用域标记”。
8. （可选）应用一个或多个范围标记，以将配置文件可见性和管理限制为 Intune 中的某些管理员用户。 有关如何使用范围标记的详细信息，请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。
9. 选择“ 下一步 ”继续 查看 + 创建。
10. 查看你的选择，然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

在管理中心访问注册令牌。

1. 转到 “设备>注册”。
2. 选择“ Android ”选项卡。
3. 在 “注册配置文件” 部分中，选择 “公司拥有的专用设备”。
4. 从列表中选择注册配置文件。
5. 选择“令牌”。

令牌显示为 20 位字符串和 QR 码。 使用此令牌通过 注册专用、完全托管或公司拥有的工作配置文件设备中所述的机制注册设备。 注册时，系统会提示设备用户输入注册令牌。 你可以提供字符串或 QR，只要它受 Android OS 和注册设备的版本支持。

替换、删除或导出令牌

选择令牌以访问以下选项：

• 替换令牌：生成即将过期的新令牌。
• 撤销令牌：立即使令牌过期。 吊销后，令牌不再可用。 此选项在以下情况下很有用：
  • 意外地与未经授权的参与方共享令牌。
  • 完成所有注册，不再需要令牌。
• 导出令牌：导出令牌的 JSON 内容。 此选项可用于获取配置 Google Zero Touch 或 Knox Mobile Enrollment 所需的 JSON 内容。

应用后，这些操作不会对已注册的设备产生任何影响。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra 设备组，以自动填充使用特定注册配置文件注册的设备：

1. 登录到 Microsoft Intune 管理中心 ，然后选择 “组>”“所有组>”“新建组”。

2. 按如下所示填写所有必填字段：

   • 组类型：安全性
   • 组名称：键入直观的名称，如 工厂 1 设备
   • 成员身份类型: 动态设备

3. 选择“添加动态查询”。

4. 在“动态成员身份规则”页上，填写所有字段，如下所示：

   • 属性：enrollmentProfileName
   • 运算符：等于
   • 值：输入之前创建的注册配置文件名称。

   有关动态成员身份规则的详细信息，请参阅 Microsoft Entra ID 中组的动态成员身份规则。

5. 选择 “保存” 以完成规则。

注册专用设备

现在可以注册专用设备。

注意

注册专用设备期间将自动安装 Microsoft Intune 应用。 此应用必须进行注册，不能卸载。 使用具有 Microsoft Entra ID 共享模式的令牌类型“公司拥有的专用设备”时，将在注册专用设备期间自动安装 Microsoft Authenticator 应用。 此注册方法需要此应用，并且无法卸载。

在 Android Enterprise 专用设备上管理应用

只能在 Android Enterprise 专用设备上安装分配类型 设置为“必需 ”的应用。 应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人和企业拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时，托管设备上的应用会自动更新。

要从 Android Enterprise 专业设备中删除应用，可执行以下任一操作：

• 删除所需的应用部署。
• 创建应用的卸载部署。

后续步骤

• 部署 Android 应用
• 添加 Android 配置策略