设置 Android Enterprise 专用设备的 Intune 注册
将 Android Enterprise 专用设备解决方案与Microsoft Intune配合使用,为一线员工设置公司拥有的一次性展台式设备。 这些设备用于单一用途,例如数字标牌、票证打印或库存管理。 作为管理员,你可以将设备的使用锁定为单个应用或一组有限的应用(包括 Web 应用)。 除非你明确批准,否则用户无法添加其他应用或在设备上执行操作。
可通过两种方式在 Microsoft Intune 中注册专用设备:
注册为标准 Android Enterprise 专用设备。 这些设备在没有用户帐户的情况下注册到Intune,并且不与用户关联。 这些设备不适用于个人应用或需要用户特定帐户数据Microsoft Outlook 或 Google Mail 等应用。
作为标准 Android Enterprise 专用设备,使用 Microsoft Authenticator 自动设置,并在注册期间配置为Microsoft Entra共享设备模式。 这些设备在没有用户帐户的情况下在 Intune 中注册,并且不与用户关联。 这些设备适用于与Microsoft Entra共享设备模式集成的应用,并允许跨参与应用的用户之间进行单一登录和注销。
本文介绍如何设置和配置Microsoft Intune以注册专用设备。 有关 Android Enterprise 管理解决方案的详细信息,请参阅 Android Enterprise 入门 (打开 Android Enterprise 帮助中心) 。
设备要求
设备必须具有:
- Android OS 8.0 或更高版本。
- 具有 Google Mobile Services (GMS) 连接的 Android 发行版。 设备必须有可用的 GMS,并且必须能连接到 GMS。
设置 Android Enterprise 专用设备管理
要设置 Android Enterprise 专用设备管理,请执行以下步骤:
- 若准备管理移动设备,必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune”以获取说明。 第一次设置 Intune 以进行移动设备管理时,只需设置一次此项。
- 将 Intune 租户帐户连接到托管的 Google Play 帐户。
- 创建注册配置文件。
- 创建设备组。
- 注册专用设备。
创建注册配置文件
注意
令牌过期后,与其关联的配置文件将从“Android 注册>注册配置文件”“公司拥有的专用设备”>下的视图中消失。 若要查看与活动和非活动令牌关联的所有配置文件,请选择 “筛选”。 然后选中“ 活动 ”和“ 非活动” 策略状态的复选框。
必须创建注册配置文件,以便注册专用设备。 创建配置文件时,它将以字符串和 QR 代码的形式提供注册令牌。
- 登录到 Microsoft Intune 管理中心。
- 转到 “设备”,然后在“ 设备载入 ”下选择“ 注册”。
- 选择“ Android ”选项卡。
- 在 “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
- 选择“ 创建配置文件”。
- 输入配置文件的基础知识:
- 名称:为配置文件命名,以便以后轻松识别它。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
-
令牌类型:选择要用于注册专用设备的令牌类型。
- 公司拥有的专用设备(默认):此令牌将设备注册为标准 Android Enterprise 专用设备。 这些设备在任何时候都不需要用户凭据。 这是专用设备注册时将使用的默认令牌类型,除非管理员在令牌创建时将其进行了更新。
- 具有Microsoft Entra ID共享模式的公司拥有的专用设备:此令牌将设备注册为标准 Android Enterprise 专用设备,并在注册期间将配置Microsoft的 Authenticator 应用部署到Microsoft Entra共享设备模式。 使用此选项,用户可以在与 Microsoft Entra Microsoft 身份验证库和全局登录/注销调用集成的设备上实现单一登录和单一注销。
-
令牌到期日期:输入希望令牌过期的日期,最长为未来 65 年。 令牌在所选日期的创建时区的中午 12:59:59 过期。 可接受的日期格式:
MM/DD/YYYY
或YYYY-MM-DD
- 选择“ 下一步 ”以继续 转到“作用域标记”。
- (可选)应用一个或多个范围标记,以将配置文件可见性和管理限制为Intune中的某些管理员用户。 有关如何使用范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。
- 选择“ 下一步 ”继续 查看 + 创建。
- 查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。
访问注册令牌
在管理中心访问注册令牌。
- 转到 “设备>注册”。
- 选择“ Android ”选项卡。
- 在 “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
- 从列表中选择注册配置文件。
- 选择“令牌”。
令牌显示为 20 位字符串和 QR 码。 使用此令牌通过 注册专用、完全托管或公司拥有的工作配置文件设备中所述的机制注册设备。 注册时,系统会提示设备用户输入注册令牌。 你可以提供字符串或 QR,只要它受 Android OS 和注册设备的版本支持。
替换、删除或导出令牌
选择令牌以访问以下选项:
- 替换令牌:生成即将过期的新令牌。
-
撤销令牌:立即使令牌过期。 吊销后,令牌不再可用。 此选项在以下情况下很有用:
- 意外地与未经授权的参与方共享令牌。
- 完成所有注册,不再需要令牌。
- 导出令牌:导出令牌的 JSON 内容。 此选项可用于获取配置 Google Zero Touch 或 Knox Mobile Enrollment 所需的 JSON 内容。
应用后,这些操作不会对已注册的设备产生任何影响。
创建设备组
可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra设备组,以自动填充使用特定注册配置文件注册的设备:
登录到Microsoft Intune管理中心,然后选择组>“所有组>”“新建组”。
按如下所示填写所有必填字段:
- 组类型:安全性
- 组名称:键入直观的名称,如 工厂 1 设备
- 成员身份类型: 动态设备
选择“添加动态查询”。
在“动态成员身份规则”页上,填写所有字段,如下所示:
- 属性:enrollmentProfileName
- 运算符:等于
- 值:输入之前创建的注册配置文件名称。
有关动态成员身份规则的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则。
选择 “保存” 以完成规则。
注册专用设备
现在可以注册专用设备。
注意
注册专用设备期间将自动安装 Microsoft Intune 应用。 此应用必须进行注册,不能卸载。 使用具有Microsoft Entra ID共享模式的令牌类型“公司拥有的专用设备”时,将在注册专用设备期间自动安装Microsoft Authenticator 应用。 此注册方法需要此应用,并且无法卸载。
在 Android Enterprise 专用设备上管理应用
只能在 Android Enterprise 专用设备上安装分配类型 设置为“必需 ”的应用。 应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人和企业拥有的工作配置文件设备相同。
当应用开发人员向 Google Play 发布更新时,托管设备上的应用会自动更新。
要从 Android Enterprise 专业设备中删除应用,可执行以下任一操作:
- 删除所需的应用部署。
- 创建应用的卸载部署。