Telepítési útmutató: Android-eszközök kezelése a Microsoft Intune-ban
Az Intune támogatja az Android-eszközök mobileszköz-felügyeletét (MDM), hogy biztonságos hozzáférést biztosítson a felhasználóknak a munkahelyi e-mailekhez, adatokhoz és alkalmazásokhoz. Ez az útmutató Android-specifikus forrásokat biztosít az Intune-beli regisztráció beállításához és alkalmazások és szabályzatok felhasználók és eszközök számára történő telepítéséhez.
Előfeltételek
Mielőtt hozzákezdene, végezze el ezeket az előfeltételeket az Android-eszközök intune-beli felügyeletének engedélyezéséhez. Az Intune beállításával, előkészítésével vagy az Intune-ra való áttéréssel kapcsolatos részletesebb információkért tekintse meg az Intune telepítési útmutatót.
- Felhasználók és csoportok hozzáadása
- Licencek hozzárendelése a felhasználókhoz
- Mobileszköz-kezelő szolgáltató beállítása
További információ a Microsoft Intune szerepköreiről és engedélyeiről: RBAC a Microsoft Intune-nal. A Microsoft Entra globális rendszergazdai és Intune-rendszergazdai szerepkörei teljes jogokkal rendelkeznek a Microsoft Intune-ban. A globális rendszergazda a szükségesnél több engedéllyel rendelkezik a Microsoft Intune számos eszközkezelési feladatához. Javasoljuk, hogy a feladatok elvégzéséhez a legkevésbé kiemelt szerepkört használja. Az eszközregisztrációs feladatok elvégzésére a legkevésbé kiemelt szerepkör például a Szabályzat- és profilkezelő, egy beépített Intune-szerepkör.
Az üzembe helyezés megtervezése
A Microsoft Intune tervezési útmutatója segítséget nyújt a Microsoft Intune tervezéséhez, tervezéséhez és implementálásához a szervezetben. Az útmutató a következő információkhoz nyújt segítséget:
- Célok, használatieset-forgatókönyvek és követelmények meghatározása.
- Bevezetési és kommunikációs tervek létrehozása.
- Támogatási, tesztelési és érvényesítési tervek létrehozása.
Fontos
A Microsoft Intune 2024. december 31-én megszünteti az Android-eszközök rendszergazdai felügyeletének támogatását a Google Mobile Serviceshez (GMS) hozzáférő eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Megfelelőségi szabályok létrehozása
A megfelelőségi szabályzatokkal meghatározhatja azokat a szabályokat és feltételeket, amelyeknek a felhasználóknak és az eszközöknek meg kell felelniük a szervezet védett erőforrásainak eléréséhez. Feltételes hozzáférési szabályzatokat is létrehozhat, amelyek az eszközmegfelelési eredmények mellett úgy működnek, hogy letiltják a nem megfelelő eszközök erőforrásaihoz való hozzáférést. A megfelelőségi házirendekről és az első lépésekről részletes leírást aMegfelelőségi házirendek használata az Intune által kezelt eszközökre vonatkozó szabályok beállításához című témakörben talál.
Az alábbi feladatok az Android Enterprise és androidos eszközadminisztrátori platformokra is érvényesek.
| Feladat | Adat |
|---|---|
| Megfelelőségi házirend létrehozása | Részletes útmutatást olvashat arról, hogy hogyan hozzon létre és rendeljen megfelelőségi házirendet a felhasználói és eszközcsoportokhoz. |
| Meg nem felelés esetén végrehajtandó műveletek hozzáadása | Válassza ki, mi történjen, ha az eszközök már nem felelnek meg a megfelelőségi házirend feltételeinek. Az eszközmegfelelőségi házirend konfigurálásakor vagy később, a házirend szerkesztésével adhat hozzá meg nem felelés esetén végrehajtandó műveleteket. |
| Eszközalapú vagy alkalmazásalapú feltételes hozzáférési szabályzat létrehozása. | Adja meg a védendő alkalmazást vagy szolgáltatásokat, és határozza meg a hozzáférés feltételeit. |
| A modern hitelesítést nem használó alkalmazásokhoz való hozzáférés letiltása | Hozzon létre egy alkalmazásalapú feltételes hozzáférési szabályzatot az OAuth2-n kívüli hitelesítési módszereket használó alkalmazások letiltásához. Letilthatja például az alapszintű és űrlapalapú hitelesítést használó alkalmazásokat. Mielőtt letiltja a hozzáférést, jelentkezzen be a Microsoft Entra-azonosítóba, és tekintse át a hitelesítési módszerek tevékenységjelentését , és ellenőrizze, hogy a felhasználók alapszintű hitelesítéssel férnek-e hozzá azokhoz az alapvető dolgokhoz (például az értekezlettermi naptár kioszkjaihoz), amelyekről elfelejtett vagy nem tud. |
Végpont biztonságának konfigurálása
Használja az Intune végpontbiztonsági funkciókat az eszközök biztonságának konfigurálásához és a veszélyeztetett eszközök biztonsági feladatainak kezeléséhez.
Az alábbi feladatok az Android Enterprise és androidos eszközadminisztrátori platformokra is érvényesek.
| Feladat | Adat |
|---|---|
| Eszközök kezelése végpontbiztonsági funkciókkal | Az Intune végpontbiztonsági beállításaival hatékonyan kezelheti az eszközök biztonságát, és elháríthatja az eszközökkel kapcsolatos problémákat. |
| Mobilfenyegetés-védelmi (MTD-) összekötő engedélyezése regisztrált eszközökhöz | Engedélyezze az MTD-kapcsolatot az Intune-ban, hogy az MTD-partneralkalmazások együttműködhessenek az Intune-nal és az MTD eszközmegfelelési szabályzataival. Ha nem a Végponthoz készült Microsoft Defendert használja, fontolja meg az összekötő engedélyezését, hogy egy másik mobilfenyegetés-védelmi megoldást használhasson. Az MTD-összekötőt az Intune-ban nem regisztrált eszközökhöz is engedélyezheti. |
| MTD alkalmazásvédelmi házirend létrehozása | Hozzon létre egy Intune alkalmazásvédelmi szabályzatot, amely felméri a kockázatokat, és korlátozza az eszközök hozzáférését a munkahelyi vagy iskolai alkalmazásokhoz. |
| MTD-eszközmegfelelési szabályzat létrehozása | Hozzon létre egy Intune alkalmazásvédelmi házirendet, amely felméri a kockázatot, és a fenyegetettségi szint alapján korlátozza az eszköz vállalati hozzáférését. |
| MTD-alkalmazások hozzáadása és hozzárendelése | MTD-alkalmazások hozzáadása és üzembe helyezése az Intune-ban. Ezek az alkalmazások az eszközmegfelelési és alkalmazásvédelmi szabályzatokkal együttműködve azonosítják és elhárítják az eszköz fenyegetéseit. MTD-alkalmazásokat is hozzárendelhet az Intune-ban nem regisztrált eszközökhöz. |
Eszközbeállítások konfigurálása
A Microsoft Intune-ból engedélyezheti vagy letilthatja az eszközök beállításait és funkcióit. A beállítások konfigurálásához és érvényesítéséhez hozzon létre egy eszközprofilt, majd rendelje hozzá a profilt a szervezet csoportjaihoz. Az eszközök a regisztrációt követően kapják meg a profilt.
| Feladat | Adat | Platform |
|---|---|---|
| Eszközprofil létrehozása a Microsoft Intune-ban | Megismerheti a szervezet számára létrehozható eszközprofilok különböző típusait. | Android Enterprise, Android-eszközadminisztrátor |
| Wi-Fi-profil konfigurálása | Ez a profil lehetővé teszi, hogy a felhasználók megkeressék és csatlakozzanak szervezete Wi-Fi hálózatához. Az ezen a területen található beállítások leírását az Android Enterprise Wi-Fi beállításainak Wi-Fi beállításokra vonatkozó referenciájában vagy az Android-eszközök rendszergazdai Wi-Fi beállításaiban találja. | Android Enterprise, Android-eszközadminisztrátor |
| VPN-profil beállítása | Állítson be egy biztonságos VPN-opciót, például a Microsoft Tunnel-t, a szervezet hálózatához csatlakozó személyek számára. Az ezen a területen található beállítások leírásáért tekintse meg az Android Enterprise VPN-beállításokra vonatkozó VPN-beállításokra vonatkozó referenciát vagy az Android-eszköz rendszergazdai VPN-beállításait ismertető cikket. | Android Enterprise, Android-eszközadminisztrátor |
| E-mail-profil konfigurálása | Konfigurálja az e-mail-beállításokat, hogy a felhasználók csatlakozhassanak egy levelezési kiszolgálóhoz, és hozzáférhessenek a munkahelyi vagy iskolai e-mailjeikhez. A terület beállításainak leírását az Android Enterprise levelezési beállításai vagy az Android-eszköz rendszergazdai e-mail-beállításai című témakörben találja. | Android Enterprise, Android-eszközadminisztrátor |
| Eszközfunkciók korlátozása | A munkahelyi vagy iskolai eszközfunkciók korlátozásával megvédheti a felhasználókat a jogosulatlan hozzáféréstől és a zavaró tényezőktől. Az ezen a területen található beállítások leírásáért lásd: Android Enterprise eszközbeállítások vagy Android-eszközadminisztrátori eszközbeállítások. | Android Enterprise, Android-eszközadminisztrátor |
| Egyéni beállítások konfigurálása Android-eszközadminisztrátor számára | Az Intune-ban nem beépített egyéni beállításokat adhat hozzá vagy hozhat létre, például alkalmazásonkénti VPN-profilt és webvédelmet a Végponthoz készült Microsoft Defenderrel. | Android-eszközadminisztrátor |
| Samsung Knox-alkalmazások konfigurálása | Hozzon létre egy egyéni profilt, amely engedélyezi és letiltja az alkalmazásokat a Samsung Knox Standard-eszközökön. | Android-eszközadminisztrátor |
| Egyéni profil létrehozása Android Enterprise rendszerhez | Olyan egyéni beállításokat adhat hozzá vagy hozhat létre, amelyek nincsenek beépítetten az Intune-ban személyes tulajdonú eszközökhöz. | Vállalati Android |
| A Zebra Mobility Extensions (MX) profil konfigurálása | A Zebra mobilitási bővítmények (MX) profiljaival testre szabhatja vagy hozzáadhat további Zebra-specifikus beállításokat az Intune-ban. | Android-eszközadminisztrátor |
| OEMConfig konfigurációs profil létrehozása | Az OEMConfig használatával oem-specifikus beállításokat adhat hozzá, hozhat létre és szabhat testre Android Enterprise-eszközökhöz. | Vállalati Android |
| Márkaépítés és regisztrációs élmény testreszabása | Testre szabhatja az Intune Vállalati portált és a Microsoft Intune-alkalmazásokat a szervezet arculatával, hogy ismerős élményt nyújthasson az eszközeit regisztráló felhasználóknak. | Android Enterprise, Android-eszközadminisztrátor |
Biztonságos hitelesítési módszerek beállítása
Állítsa be a hitelesítési módszereket az Intune-ban annak biztosítására, hogy csak az arra jogosult személyek férjenek hozzá a belső erőforrásokhoz. Az Intune támogatja a többtényezős hitelesítést, az SCEP- és PKCS-tanúsítványokat, valamint a származtatott hitelesítő adatokat. A tanúsítványok az S/MIME használatával az e-mailek aláírására és titkosítására is használhatók.
| Feladat | Adat | Platform |
|---|---|---|
| Többtényezős hitelesítés (MFA) megkövetelése | A regisztrációkor a felhasználóknak kétféle hitelesítő adatot kell megadniuk. | Vállalati Android |
| Megbízható tanúsítványprofil létrehozása | A SCEP, PKCS vagy PKCS importált tanúsítványprofil létrehozása előtt hozzon létre és helyezzen üzembe egy megbízható tanúsítványprofilt. A megbízható tanúsítványprofil telepíti a megbízható főtanúsítványt az SCEP, PKCS és PKCS importált tanúsítványokat használó eszközökre. | Android Enterprise, Android-eszközadminisztrátor |
| SCEP-tanúsítványok használata az Intune-nal | Megtudhatja, mi szükséges az SCEP-tanúsítványok Intune-nal való használatához és a szükséges infrastruktúra konfigurálásához. Ezt követően létrehozhat egy SCEP-tanúsítványprofilt, vagy beállíthat egy külső hitelesítésszolgáltatót az SCEP segítségével. | Vállalati Android |
| PKCS-tanúsítványok használata az Intune-nal | Konfigurálja a szükséges infrastruktúrát (például a helyszíni tanúsítvány-összekötőket), exportáljon egy PKCS-tanúsítványt, és adja hozzá a tanúsítványt egy Intune-eszközkonfigurációs profilhoz. | Android Enterprise, Android-eszközadminisztrátor |
| Importált PKCS-tanúsítványok használata az Intune-nal | Importált PKCS tanúsítványok beállítása, amelyek lehetővé teszik az S/MIME beállítását és használatát az e-mailek titkosításához. | Android Enterprise, Android-eszközadminisztrátor |
| Származtatott hitelesítő adatok kiállítójának beállítása | Android-eszközök kiépítése felhasználói intelligens kártyákból származó tanúsítványokkal. | Vállalati Android |
Alkalmazások telepítése
Az alkalmazások és alkalmazásszabályzatok beállításakor gondolja át a szervezet követelményeit, például a támogatni kívánt platformokat, a szükséges feladatokat, a feladatok elvégzéséhez szükséges alkalmazások típusát, valamint azokat a csoportokat, akiknek szükségük van ezekre az alkalmazásokra. Az Intune-ból a teljes eszközt (az alkalmazásokat is beleértve) vagy az Intune-ból kezelheti csak az alkalmazásokat.
| Feladat | Adat | Platform |
|---|---|---|
| Google Play Áruházbeli alkalmazások hozzáadása | Android-alkalmazások hozzáadása a Google Play Áruházból. | Android-eszközadminisztrátor |
| Felügyelt Google Play-alkalmazások hozzáadása | Áruházbeli alkalmazásokat, üzletági (LOB) alkalmazásokat és webalkalmazásokat adhat hozzá a felügyelt Google Play Áruházon keresztül. | Vállalati Android |
| Android Enterprise rendszeralkalmazások hozzáadása | Az Intune-ból engedélyezheti és letilthatja az Android Enterprise rendszeralkalmazásokat. | Vállalati Android |
| Webalkalmazások hozzáadása | Vegyen fel webalkalmazásokat az Intune-ba, és rendelje őket csoportokhoz. | Android-eszközadminisztrátor |
| Beépített alkalmazások hozzáadása | Vegyen fel beépített alkalmazásokat az Intune-ba, és rendelje őket csoportokhoz. | Android-eszközadminisztrátor |
| Üzletági alkalmazások hozzáadása | Androidos üzletági (LOB) alkalmazások hozzáadása az Intune-hoz, és hozzárendelés csoportokhoz. | Android-eszközadminisztrátor |
| Alkalmazások hozzárendelése csoportokhoz | Alkalmazások hozzárendelése felhasználókhoz és eszközökhöz. | Android Enterprise, Android-eszközadminisztrátor |
| Alkalmazás-hozzárendelések belefoglalása és kizárása | Az alkalmazáshoz való hozzáférés és elérhetőség szabályozása a kijelölt csoportok belefoglalásával és kizárásával a hozzárendelésből. | Android Enterprise, Android-eszközadminisztrátor |
| Androidos alkalmazásvédelmi szabályzat létrehozása | A szervezet adatainak tárolása felügyelt alkalmazásokban, például az Outlookban és a Wordben. Az egyes beállításokkal kapcsolatos részletekért lásd: Android-alkalmazásvédelmi szabályzat beállításai. | Android Enterprise, Android-eszközadminisztrátor |
| Az alkalmazásvédelmi szabályzat ellenőrzése | A szervezeti szintű üzembe helyezés előtt ellenőrizze, hogy az alkalmazásvédelmi szabályzat megfelelően van-e beállítva és működik-e. | Android Enterprise, Android-eszközadminisztrátor |
| Alkalmazáskonfigurációs házirend létrehozása | Egyéni konfigurációs beállítások alkalmazása androidos alkalmazásokra a regisztrált eszközökön. Ezeket a szabályzattípusokat felügyelt alkalmazásokra is alkalmazhatja, eszközregisztráció nélkül. | Android Enterprise, Android-eszközadminisztrátor |
| A Microsoft Edge konfigurálása | Az Intune alkalmazásvédelmi és konfigurációs szabályzatait az AndroidHoz készült Microsoft Edge-ben használva gondoskodhat arról, hogy a vállalati webhelyek biztonságosan elérhetők legyenek. | Android Enterprise, Android-eszközadminisztrátor |
| A Google Chrome konfigurálása | Intune-alkalmazáskonfigurációs szabályzattal konfigurálhatja a Google Chrome-ot az Intune-ban regisztrált Android-eszközökön. | Vállalati Android |
| A Microsoft managed Home Screen alkalmazás konfigurálása | A felügyelt kezdőképernyő beállítása az Intune-on keresztül regisztrált és többalkalmazásos kioszk módban futó, vállalati tulajdonú Android Enterprise dedikált eszközökön. | Vállalati Android |
| A Microsoft Launcher alkalmazás konfigurálása | A Microsoft Launcher konfigurálásával testre szabhatja a szervezet teljes körűen felügyelt eszközeinek kezdőképernyőjét. | Vállalati Android |
| Microsoft Office-alkalmazások konfigurálása | Használja az Intune alkalmazásvédelmi és konfigurációs házirendjeit az Office alkalmazásokkal, annak biztosítására, hogy a vállalati fájlok biztonságosan elérhetők legyenek. | Vállalati Android |
| A Microsoft Teams konfigurálása | Az Intune alkalmazásvédelmi és konfigurációs házirendjeit a Teamsben használva gondoskodhat arról, hogy az együttműködésen alapuló csapatélmények biztonságosan elérhetők legyenek. | Vállalati Android |
| A Microsoft Outlook konfigurálása | Az Intune alkalmazásvédelmi és konfigurációs házirendjeit az Outlookkal használva gondoskodhat arról, hogy a vállalati e-mailek és naptárak biztonságosan elérhetők legyenek. | Vállalati Android |
Eszközök regisztrálása
Az eszközök regisztrálása lehetővé teszi számukra a létrehozott szabályzatok fogadását, így a Microsoft Entra felhasználói csoportjai és eszközcsoportjai készen állnak.
Az Intune az alábbi regisztrációs módszereket támogatja Android-eszközökhöz:
- Saját eszközök használata (BYOD): Android Enterprise személyes tulajdonú eszközök munkahelyi profillal
- Android Enterprise vállalati tulajdonú dedikált eszközök
- Teljes mértékben felügyelt Android Enterprise vállalati tulajdon
- Android Enterprise vállalati tulajdonú munkahelyi profil
- Android-eszközadminisztrátor
Az egyes regisztrációs módszerekről és a szervezetének megfelelő eszközök kiválasztásáról a Microsoft Intune androidos eszközregisztrációs útmutatójában talál további információt.
| Feladat | Adat | Platform |
|---|---|---|
| Intune-fiók csatlakoztatása felügyelt Google Play-fiókhoz | Ha engedélyezni szeretné az Android Enterprise felügyeletét az Intune-ban, csatlakoztassa Intune-bérlői fiókját a felügyelt Google Play-fiókjához. | Vállalati Android |
| Munkahelyi profil regisztrációjának beállítása személyes tulajdonú eszközökhöz | Munkahelyi profilkezelés beállítása személyes tulajdonú eszközökhöz. Ez a regisztrációs módszer külön területet hoz létre az eszközön a munkával kapcsolatos adatok számára, hogy a személyes dolgok ne legyenek hatással. | Vállalati Android |
| Munkahelyi profil regisztrációjának beállítása vállalati tulajdonú eszközökhöz | Munkahelyi profilkezelés beállítása munkahelyi és személyes használatra szánt vállalati tulajdonú eszközökhöz. Ez a regisztrációs módszer külön területet hoz létre az eszközön a munkával kapcsolatos adatok számára, hogy a személyes dolgok ne legyenek hatással. | Vállalati Android |
| Regisztráció beállítása dedikált eszközökhöz | Regisztráció beállítása vállalati tulajdonú, egyszer használható, kioszk stílusú eszközökhöz. | Vállalati Android |
| Regisztráció beállítása teljes körűen felügyelt eszközökhöz | A regisztráció beállítása olyan vállalati tulajdonú eszközökhöz, amelyek egyetlen felhasználóhoz vannak társítva, és kizárólag munkavégzésre szolgálnak. | Vállalati Android |
| Dedikált, teljes körűen felügyelt vagy vállalati tulajdonú munkahelyi profilú eszközök regisztrálása | Miután beállította az Intune for Android Enterprise-regisztrációt, regisztrálja az eszközöket az öt támogatott regisztrációs módszer egyikével. | Vállalati Android |
| Eszköz-rendszergazdai regisztráció beállítása | Androidos eszközadminisztrátori regisztráció beállítása. Ezt az eszközkezelési módszert felváltotta az Android Enterprise, ezért nem javasoljuk, hogy így regisztrálja az új eszközöket. | Android-eszközadminisztrátor |
| Android-eszközök automatikus regisztrálása a Samsung Knox Mobile Enrollment használatával | Állítsa be az Intune-t a Samsung Knox Mobile Enrollmenthez (KME), amely lehetővé teszi nagy számú vállalati tulajdonú Android-eszköz automatikus regisztrálását. | Android Enterprise, Android-eszközadminisztrátor |
| Az eszközök vállalati tulajdonúként való azonosítása | Rendelje hozzá a vállalati tulajdonú állapotot az eszközökhöz, hogy több felügyeleti és azonosítási képességet biztosíthasson az Intune-ban. A vállalati tulajdonú állapot nem rendelhető hozzá az Apple Business Manageren keresztül regisztrált eszközökhöz. | Android Enterprise, Android-eszközadminisztrátor |
| Az eszköz tulajdonjogának módosítása | Miután regisztrált egy eszközt, módosíthatja annak tulajdonjogi címkéjét az Intune-ban vállalati vagy személyes tulajdonúra. Ez a beállítás megváltoztatja a eszköz kezelésének módját. | Android Enterprise, Android-eszközadminisztrátor |
| Regisztrálási problémák elhárítása | A regisztráció során felmerülő problémák elhárítása és megoldása. | Android Enterprise, Android-eszközadminisztrátor |
Távoli műveletek futtatása
Az eszközök beállítása után az Intune távoli műveleteivel távolról is kezelheti az eszközöket és hibaelhárítást is végezhet. A rendelkezésre állás eszközplatformonként változik. Ha egy művelet hiányzik vagy le van tiltva a portálon, akkor az nem támogatott az eszközön.
| Feladat | Adat |
|---|---|
| Távoli műveletek futtatása az Intune-ban | Ismerje meg, hogyan lehet az Intune rendszerben az egyes eszközöket távolról kezelni és hibaelhárítást végezni. Ez a cikk felsorolja az Intune-ban elérhető összes távoli műveletet, és hivatkozásokat tartalmaz ezekre az eljárásokra vonatkozóan. |
| Végponthoz készült Microsoft Defender által azonosított biztonsági rések javítása | Integrálja az Intune-t a Végponthoz készült Microsoft Defenderrel a Defender fenyegetés- és biztonságirés-kezelésének előnyeinek kihasználásához, és az Intune-nal orvosolja a Defender biztonságirés-kezelési képessége által azonosított végponti hiányosságokat. |
| Vállalati adatok törlése az Intune által felügyelt alkalmazásokból | A munkával kapcsolatos adatok szelektív eltávolítása az eszközről. |
Következő lépések
Az alábbi regisztrációs oktatóanyagokból megtudhatja, hogyan végezheti el az Intune legfontosabb feladatait. Az oktatóanyagok 100 – 200 szintű tartalmak, amelyek az Intune rendszerrel vagy egy adott forgatókönyvvel újonnan ismerkedők számára készültek.
- Útmutató az Intune Felügyeleti központhoz
- A Slack konfigurálása az Intune vállalati mobilitási felügyelethez (EMM) és alkalmazáskonfigurációhoz való használatához
Az útmutató iOS/iPadOS-verziójával kapcsolatban lásd : Üzembehelyezési útmutató: iOS/iPadOS-eszközök kezelése a Microsoft Intune-ban.