Konfigurowanie rejestracji urządzeń dedykowanych z systemem Android Enterprise w usłudze Intune

  • Artykuł

System Android Enterprise obsługuje należące do firmy, jednokrotne urządzenia w stylu kiosku z dedykowanym rozwiązaniem. Te urządzenia są używane w jednym celu, takim jak oznakowanie cyfrowe, drukowanie biletów lub zarządzanie spisem. Administratorzy mogą zablokować użycie urządzenia do jednej aplikacji lub ograniczonego zestawu aplikacji, w tym aplikacji internetowych. Użytkownicy nie mogą dodawać innych aplikacji lub podejmować akcji na urządzeniu, chyba że zostaną jawnie zatwierdzone przez administratorów.

Urządzenia przeznaczone do dedykowanego użytku można zarejestrować w Microsoft Intune na dwa różne sposoby:

  • Jako standardowe dedykowane urządzenie z systemem Android Enterprise. Te urządzenia są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z użytkownikiem. Te urządzenia nie są przeznaczone dla aplikacji osobistych ani aplikacji, takich jak Outlook lub Gmail, które wymagają danych konta specyficznego dla użytkownika.

  • Jako standardowe dedykowane urządzenie z systemem Android Enterprise, które jest automatycznie konfigurowane za pomocą programu Microsoft Authenticator i skonfigurowane do Microsoft Entra trybu urządzenia udostępnionego podczas rejestracji. Te urządzenia są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z użytkownikiem. Te urządzenia są przeznaczone do użytku z aplikacjami integruj się z Microsoft Entra trybie urządzenia udostępnionego i umożliwiają logowanie jednokrotne i wylogowywanie się między użytkownikami w aplikacjach uczestniczących w projekcie.

W tym artykule opisano sposób konfigurowania i konfigurowania Microsoft Intune w celu rejestrowania dedykowanych urządzeń. Aby uzyskać więcej informacji na temat rozwiązań do zarządzania systemem Android Enterprise, zobacz Wprowadzenie do rozwiązania Android Enterprise (otwiera Centrum pomocy dla systemu Android Enterprise).

Wymagania dotyczące urządzeń

Urządzenia muszą mieć następujące elementy:

  • System operacyjny Android w wersji 8.0 lub nowszej.
  • Dystrybucja systemu Android z łącznością usług Google Mobile Services (GMS). Urządzenia muszą mieć dostępny system GMS i muszą mieć możliwość nawiązywania połączenia z usługą GMS.

Konfigurowanie dedykowanego zarządzania urządzeniami z systemem Android Enterprise

Aby skonfigurować dedykowane zarządzanie urządzeniami z systemem Android Enterprise, wykonaj następujące kroki:

  1. Aby przygotować się do zarządzania urządzeniami przenośnymi, należy ustawić urząd zarządzania urządzeniami przenośnymi (MDM) na Microsoft Intune, aby uzyskać instrukcje. Ten element należy ustawić tylko raz, gdy po raz pierwszy konfigurujesz usługę Intune do zarządzania urządzeniami przenośnymi.
  2. Połącz konto dzierżawy usługi Intune z kontem zarządzanego sklepu Google Play.
  3. Utwórz profil rejestracji.
  4. Utwórz grupę urządzeń.
  5. Rejestrowanie dedykowanych urządzeń.

Tworzenie profilu rejestracji

Uwaga

Po wygaśnięciu tokenu skojarzony z nim profil zniknie z widoku na dedykowanych urządzeniach z systemem> Androidnależących do firmy. Aby wyświetlić wszystkie profile skojarzone zarówno z aktywnymi, jak i nieaktywnymi tokenami, wybierz pozycję Filtruj. Następnie zaznacz pola wyboru Stanów aktywnych i nieaktywnych zasad.

Musisz utworzyć profil rejestracji, aby można było zarejestrować dedykowane urządzenia. Po utworzeniu profilu udostępnia on token rejestracji w postaci ciągu i kodu QR.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.
  2. Przejdź dopozycji Rejestracjaurządzeń>.
  3. Wybierz kartę Android .
  4. W sekcji Profile rejestracji wybierz dedykowane urządzenia należące do firmy.
  5. Wybierz pozycję Utwórz profil.
  6. Wprowadź podstawy profilu:
    • Nazwa: nadaj profilowi nazwę, aby można było łatwo go później zidentyfikować.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
    • Typ tokenu: wybierz typ tokenu, którego chcesz użyć do rejestrowania dedykowanych urządzeń.
      • Dedykowane urządzenie należące do firmy (domyślne): ten token rejestruje urządzenia jako standardowe dedykowane urządzenie z systemem Android Enterprise. Te urządzenia nie wymagają żadnych poświadczeń użytkownika w żadnym momencie. Jest to domyślny typ tokenu, za pomocą których dedykowane urządzenia będą rejestrowane, chyba że zostaną zaktualizowane przez Administracja podczas tworzenia tokenu.
      • Dedykowane urządzenie należące do firmy z trybem udostępnionym Tożsamość Microsoft Entra: ten token rejestruje urządzenia jako standardowe dedykowane urządzenie z systemem Android Enterprise, a podczas rejestracji wdraża aplikację Authenticator firmy Microsoft skonfigurowaną w trybie urządzenia udostępnionego Microsoft Entra. Dzięki tej opcji użytkownicy mogą uzyskać logowanie jednokrotne i wylogowywanie jednokrotne między aplikacjami na urządzeniu zintegrowanymi z biblioteką Microsoft Entra Microsoft Authentication Library i połączeniami logowania globalnego/wylogowywania.
    • Data wygaśnięcia tokenu: wprowadź datę wygaśnięcia tokenu do 65 lat w przyszłości. Token wygasa w wybranym dniu o godzinie 12:59:59 w utworzonej strefie czasowej. Akceptowalny format daty: MM/DD/YYYY lub YYYY-MM-DD
  7. Wybierz pozycję Dalej , aby przejść do pozycji Tagi zakresu.
  8. Opcjonalnie zastosuj co najmniej jeden tag zakresu, aby ograniczyć widoczność profilu i zarządzanie nim do niektórych użytkowników administracyjnych w usłudze Intune. Aby uzyskać więcej informacji na temat korzystania z tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.
  9. Wybierz pozycję Dalej , aby kontynuować przeglądanie i tworzenie.
  10. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz , aby zakończyć tworzenie profilu.

Uzyskiwanie dostępu do tokenu rejestracji

Uzyskaj dostęp do tokenu rejestracji w centrum administracyjnym.

  1. Przejdź dopozycji Rejestracjaurządzeń>.
  2. Wybierz kartę Android .
  3. W sekcji Profile rejestracji wybierz dedykowane urządzenia należące do firmy.
  4. Z listy wybierz swój profil rejestracji.
  5. Wybierz pozycję Token.

Token jest wyświetlany jako ciąg 20-cyfrowy i kod QR. Ten token służy do rejestrowania urządzeń za pomocą mechanizmów opisanych w temacie Rejestrowanie dedykowanych, w pełni zarządzanych lub należących do firmy urządzeń z profilem służbowym. W momencie rejestracji użytkownik urządzenia jest monitowany o token rejestracji. Możesz podać ciąg lub QR, o ile jest on obsługiwany przez system operacyjny Android i wersję zarejestrowanego urządzenia.

Zastępowanie, usuwanie lub eksportowanie tokenu

Wybierz token, aby uzyskać dostęp do tych opcji:

  • Zastąp token: wygeneruj nowy token, który zbliża się do wygaśnięcia.
  • Odwołaj token: natychmiast wygaśnie token. Po odwołaniu token nie jest już możliwy do użycia. Ta opcja jest przydatna, jeśli:
    • Przypadkowo udostępnij token nieautoryzowanej stronie.
    • Ukończ wszystkie rejestracje i nie potrzebujesz już tokenu.
  • Token eksportu: eksportuj zawartość JSON tokenu. Ta opcja jest przydatna do uzyskiwania zawartości JSON potrzebnej do skonfigurowania rejestracji w usłudze Google Zero Touch lub Knox Mobile.

Po zastosowaniu te akcje nie mają żadnego wpływu na urządzenia, które zostały już zarejestrowane.

Tworzenie grupy urządzeń

Aplikacje i zasady można kierować do przypisanych lub dynamicznych grup urządzeń. Dynamiczne grupy urządzeń Microsoft Entra można skonfigurować tak, aby automatycznie wypełniały urządzenia zarejestrowane przy użyciu określonego profilu rejestracji, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i wybierz pozycję Grupy>Wszystkie grupy>Nowa grupa.
  2. W bloku Grupa wypełnij wymagane pola w następujący sposób:
    • Typ grupy: Zabezpieczenia
    • Nazwa grupy: wpisz intuicyjną nazwę (na przykład urządzenia z fabryki Factory 1)
    • Typ członkostwa: urządzenie dynamiczne
  3. Wybierz pozycję Dodaj zapytanie dynamiczne.
  4. W bloku Dynamiczne reguły członkostwa wypełnij pola w następujący sposób:
    • Dodawanie reguły członkostwa dynamicznego: prosta reguła
    • Dodaj urządzenia, na których: enrollmentProfileName
    • W środkowym polu wybierz pozycję Równa się.
    • W ostatnim polu wprowadź utworzoną wcześniej nazwę profilu rejestracji. Aby uzyskać więcej informacji na temat reguł członkostwa dynamicznego, zobacz Dynamiczne reguły członkostwa dla grup w Tożsamość Microsoft Entra.
  5. Wybierz pozycję Dodaj zapytanie>Utwórz.

Rejestrowanie dedykowanych urządzeń

Teraz możesz zarejestrować dedykowane urządzenia.

Uwaga

Aplikacja Microsoft Intune zostanie automatycznie zainstalowana podczas rejestracji dedykowanego urządzenia. Ta aplikacja jest wymagana do rejestracji i nie można jej odinstalować. Aplikacja Microsoft Authenticator zostanie automatycznie zainstalowana podczas rejestracji dedykowanego urządzenia w przypadku używania typu tokenu Dedykowane urządzenie należące do firmy z Tożsamość Microsoft Entra trybie udostępnionym. Ta aplikacja jest wymagana dla tej metody rejestracji i nie można jej odinstalować.

Zarządzanie aplikacjami na dedykowanych urządzeniach z systemem Android Enterprise

Na dedykowanych urządzeniach z systemem Android Enterprise można instalować tylko aplikacje z typem przypisania ustawionym na wartość Wymagane . Aplikacje są instalowane z zarządzanego sklepu Google Play w taki sam sposób jak urządzenia z profilem służbowym należącym do użytkownika i firmowym systemem Android Enterprise.

Aplikacje są automatycznie aktualizowane na zarządzanych urządzeniach, gdy deweloper aplikacji publikuje aktualizację w sklepie Google Play.

Aby usunąć aplikację z dedykowanych urządzeń z systemem Android Enterprise, możesz wykonać jedną z następujących czynności:

  • Usuń wymagane wdrożenie aplikacji.
  • Utwórz wdrożenie odinstalowywania dla aplikacji.

Następne kroki