設定 Android Enterprise 完全受控裝置的註冊
在 Microsoft Intune 中設定 Android Enterprise 完全受控裝置解決方案,以註冊和管理公司擁有的裝置。 完全受控裝置會與單一使用者相關聯,且適用於工作,而非個人用途。 身為 Intune 系統管理員,您可以管理整個裝置,並強制執行 Android Enterprise 工作設定檔無法使用的原則控制件,例如:
- 只允許從受控Google Play 安裝應用程式。
- 禁止使用者卸載受控應用程式。
- 防止使用者將裝置重設為出廠預設值。
您和您的裝置使用者可以在裝置安裝期間輸入或掃描註冊令牌來起始註冊。 本文說明註冊的必要條件,以及如何建立註冊配置檔和令牌。 在本文結尾,您可以註冊裝置。
步驟 1:必要條件
請完成這些必要條件,以確保註冊成功。
您必須擁有 Intune 獨立租使用者,並將行動裝置管理 (MDM) 授權單位設定為 Microsoft Intune。
裝置必須:
- 執行 Android OS 8.0 版和更新版本。
- 執行具有Google行動服務連線能力的Android組建。
- 讓Google行動服務可供使用,並能夠連線到該服務。
如果符合這三項需求,則不會對裝置製造商/OEM 進行任何限制。
請確定您的區域支援 Android Enterprise。 如需 Android Enterprise 需求, 請參閱開始使用 Android Enterprise。
Android 安裝程式會使用 Chrome 索引標籤在註冊期間驗證裝置使用者。 如果您有具有下列設定的 Microsoft Entra 條件式存取原則,則必須從原則中排除 Microsoft Intune 雲端應用程式:
需要將裝置標示為符合規範 的設定,才能用來授與或封鎖存取權。
此原則適用於 所有雲端應用程式、 Android 和 瀏覽器。
步驟 2:建立新的註冊配置檔
Intune 會自動產生完全受控裝置的默認註冊配置檔和註冊令牌。 默認註冊配置檔的名稱為 預設完全受控配置檔。
若要建立新的註冊設定檔:
移至 [裝置>註冊]。
選取 [Android] 索引 標籤。
在 [Android Enterprise>註冊配置檔] 下,選擇 [公司擁有且完全受控的使用者裝置]。
選 取 [建立配置檔]。
輸入設定檔的基本概念:
名稱:為配置檔命名。 請記下名稱以供稍後使用,因為當您設定動態裝置群組時需要此名稱。
描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
令牌類型:選擇您想要用來註冊公司完全受控裝置的令牌類型。 如需詳細資訊,請參閱本文中的 令牌類型 。 選項包括:
公司擁有、完全受控 (預設)
公司擁有、完全受控、透過預備
令牌到期日:僅適用於預備令牌。 輸入您想要令牌到期的日期,未來最多65年。 可接受的日期格式:
MM/DD/YYYY
或YYYY-MM-DD
令牌會在所建立時區中所選日期下午 12:59:59 到期。
選 取 [下一步 ] 繼續前往 [範圍卷標]。
套用一或多個範圍標籤,以將配置檔可見度和管理限制為 Intune 中的特定系統管理員使用者。 範圍標籤是選用的。 如需如何使用範圍標籤的詳細資訊,請參閱 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍卷標。
選 取 [下一步 ] 繼續進行 [檢閱 + 建立]。
檢閱配置檔的摘要,然後選取 [ 建立 ] 來完成它。
若要檢閱、進行變更或刪除設定檔:
選取配置檔。
選 取 [概觀 ] 以檢閱配置檔基本資訊並刪除配置檔。
選 取 [屬性>編輯 ],對配置檔基本概念或範圍標籤進行變更。
選 取 [令牌 ] 以擷取、撤銷或匯出令牌。
步驟 3:建立動態 Microsoft Entra 群組
選擇性地建立動態 Microsoft Entra 群組,以根據特定屬性或變數自動將裝置分組。 在此情況下,我們想要使用 enrollmentProfileName
屬性將使用相同配置檔註冊的裝置分組。
將這些組態新增至您的群組:
群組類型:安全性
成員資格類型:動態裝置
使用下列規則新增動態查詢:
- 屬性:enrollmentProfileName
- 運算子:等於
- 值:輸入您在 步驟 2:建立新的註冊配置檔中建立的註冊配置檔名稱。
您無法使用動態群組搭配預設註冊設定檔。 如需如何使用規則建立動態群組的詳細資訊,請參閱 建立群組成員資格規則。
步驟 4:註冊裝置
設定註冊設定檔、令牌和動態群組之後,您可以使用下列任何一種布建方法,將裝置註冊為完全受控:
- NFC (近距離通訊)
- 令牌字串或 QR 代碼
- 零觸控註冊
- Samsung Knox Mobile 註冊
如需後續步驟,包括如何使用每個布建方法註冊裝置,請參閱 註冊 Android Enterprise 公司擁有的裝置。
令牌類型
當您在系統管理中心建立註冊配置檔時,您必須選取令牌類型。 令牌有兩種類型。 每個類型都會啟用不同的註冊流程。
公司擁有、完全受控的預設令牌會將裝置註冊 Microsoft Intune 為標準 Android Enterprise 公司完全受控裝置。 此令牌需要您先完成預先布建步驟,才能散發裝置。 終端使用者使用其公司或學校帳戶登入時,會在裝置上完成其餘步驟。
公司擁有且完全受控的裝置預備令牌會透過預備環境向 Microsoft Intune 註冊裝置,讓您或第三方廠商可以完成所有預先布建步驟。 終端使用者使用其公司或學校帳戶登入 Microsoft Intune 應用程式,以完成布建的最後一個步驟。 裝置已準備好在登入時使用。 Intune 支援執行 Android 8 或更新版本之 Android Enterprise 裝置的裝置預備。
如需詳細資訊,請參閱 裝置預備概觀。
取代、移除或匯出令牌
在系統管理中心選取令牌以存取這些管理選項:
取代令牌:產生即將到期的新令牌。
撤銷令牌:令牌立即過期。 撤銷令牌之後,令牌就無法再使用。 如果您:
不小心與未經授權的一方共用令牌。
完成所有註冊,不再需要令牌。
匯出令牌:匯出令牌的 JSON 內容。 您可以使用此選項來取得Google Zero Touch 或 Knox Mobile Enrollment 設定所需的 JSON 內容。
套用時,這些動作不會對已註冊的裝置有任何影響。