设置 Android Enterprise 专用设备的 Intune 注册

将 Android Enterprise 专用设备解决方案与 Microsoft Intune 配合使用,为一线员工设置公司拥有的一次性展台式设备。 这些设备用于单一用途,例如数字标牌、票证打印或库存管理。 作为管理员,你可以将设备的使用锁定为单个应用或一组有限的应用(包括 Web 应用)。 除非你明确批准,否则用户无法添加其他应用或在设备上执行操作。

可通过两种方式在 Microsoft Intune 中注册专用设备:

  • 注册为标准 Android Enterprise 专用设备。 这些设备在没有用户帐户的情况下注册到 Intune 中,并且不与用户关联。 这些设备不适用于个人应用或需要用户特定帐户数据Microsoft Outlook 或 Google Mail 等应用。

  • 作为标准 Android Enterprise 专用设备,使用 Microsoft Authenticator 自动设置,并在注册期间配置为 Microsoft Entra 共享设备模式 。 这些设备在没有用户帐户的情况下在 Intune 中注册,并且不与用户关联。 这些设备适用于与 Microsoft Entra 共享设备模式集成的应用,并允许跨参与应用的用户之间进行单一登录和注销。

本文介绍如何设置和配置 Microsoft Intune 来注册专用设备。 有关 Android Enterprise 管理解决方案的详细信息,请参阅 Android Enterprise 入门 (打开 Android Enterprise 帮助中心) 。

设备要求

设备必须具有:

  • Android OS 8.0 或更高版本。
  • 具有 Google Mobile Services (GMS) 连接的 Android 发行版。 设备必须有可用的 GMS,并且必须能连接到 GMS。

设置 Android Enterprise 专用设备管理

要设置 Android Enterprise 专用设备管理,请执行以下步骤:

  1. 若准备管理移动设备,必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune”以获取说明。 第一次设置 Intune 以进行移动设备管理时,只需设置一次此项。
  2. 将 Intune 租户帐户连接到托管的 Google Play 帐户
  3. 创建注册配置文件
  4. 创建设备组
  5. 注册专用设备

创建注册配置文件

注意

令牌过期后,与其关联的配置文件将从“Android 注册>注册配置文件”“公司拥有的专用设备”>下的视图中消失。 若要查看与活动和非活动令牌关联的所有配置文件,请选择 “筛选”。 然后选中“ 活动 ”和“ 非活动” 策略状态的复选框。

必须创建注册配置文件,以便注册专用设备。 创建配置文件时,它将以字符串和 QR 代码的形式提供注册令牌。

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “设备”,然后在“ 设备载入 ”下选择“ 注册”。
  3. 选择“ Android ”选项卡。
  4. “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
  5. 选择“ 创建配置文件”。
  6. 输入配置文件的基础知识:
    • 名称:为配置文件命名,以便以后轻松识别它。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
    • 令牌类型:选择要用于注册专用设备的令牌类型。
      • 公司拥有的专用设备(默认):此令牌将设备注册为标准 Android Enterprise 专用设备。 这些设备在任何时候都不需要用户凭据。 这是专用设备注册时将使用的默认令牌类型,除非管理员在令牌创建时将其进行了更新。
      • 具有 Microsoft Entra ID 共享模式的公司拥有的专用设备:此令牌将设备注册为标准 Android Enterprise 专用设备,并在注册期间将配置为Microsoft Entra 共享设备模式Microsoft的 Authenticator 应用。 使用此选项,用户可以跨设备上的应用实现单一登录和单一注销,这些应用与 Microsoft Entra Microsoft 身份验证库和全局登录/注销调用集成。
    • 令牌到期日期:输入希望令牌过期的日期,最长为未来 65 年。 令牌在所选日期的创建时区的中午 12:59:59 过期。 可接受的日期格式: MM/DD/YYYYYYYY-MM-DD
  7. 选择“ 下一步 ”以继续 转到“作用域标记”。
  8. (可选)应用一个或多个范围标记,以将配置文件可见性和管理限制为 Intune 中的某些管理员用户。 有关如何使用范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记
  9. 选择“ 下一步 ”继续 查看 + 创建
  10. 查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

在管理中心访问注册令牌。

  1. 转到 “设备>注册”。
  2. 选择“ Android ”选项卡。
  3. “注册配置文件” 部分中,选择 “公司拥有的专用设备”。
  4. 从列表中选择注册配置文件。
  5. 选择“令牌”。

令牌显示为 20 位字符串和 QR 码。 使用此令牌通过 注册专用、完全托管或公司拥有的工作配置文件设备中所述的机制注册设备。 注册时,系统会提示设备用户输入注册令牌。 你可以提供字符串或 QR,只要它受 Android OS 和注册设备的版本支持。

替换、删除或导出令牌

选择令牌以访问以下选项:

  • 替换令牌:生成即将过期的新令牌。
  • 撤销令牌:立即使令牌过期。 吊销后,令牌不再可用。 此选项在以下情况下很有用:
    • 意外地与未经授权的参与方共享令牌。
    • 完成所有注册,不再需要令牌。
  • 导出令牌:导出令牌的 JSON 内容。 此选项可用于获取配置 Google Zero TouchKnox Mobile Enrollment 所需的 JSON 内容。

应用后,这些操作不会对已注册的设备产生任何影响。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra 设备组,以自动填充使用特定注册配置文件注册的设备:

  1. 登录到 Microsoft Intune 管理中心 ,然后选择 “组>”“所有组>”“新建组”。

  2. 按如下所示填写所有必填字段:

    • 组类型:安全性
    • 组名称:键入直观的名称,如 工厂 1 设备
    • 成员身份类型: 动态设备
  3. 选择“添加动态查询”

  4. 在“动态成员身份规则”页上,填写所有字段,如下所示:

    • 属性:enrollmentProfileName
    • 运算符:等于
    • :输入之前创建的注册配置文件名称。

    有关动态成员身份规则的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则

  5. 选择 “保存” 以完成规则。

注册专用设备

现在可以注册专用设备

注意

注册专用设备期间将自动安装 Microsoft Intune 应用。 此应用必须进行注册,不能卸载。 使用具有 Microsoft Entra ID 共享模式的令牌类型“公司拥有的专用设备”时,将在注册专用设备期间自动安装 Microsoft Authenticator 应用。 此注册方法需要此应用,并且无法卸载。

在 Android Enterprise 专用设备上管理应用

只能在 Android Enterprise 专用设备上安装分配类型 设置为“必需 ”的应用。 应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人和企业拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时,托管设备上的应用会自动更新。

要从 Android Enterprise 专业设备中删除应用,可执行以下任一操作:

  • 删除所需的应用部署。
  • 创建应用的卸载部署。

后续步骤