Konfigurowanie rejestracji dla w pełni zarządzanych urządzeń z systemem Android Enterprise
Skonfiguruj w pełni zarządzane rozwiązanie urządzenia z systemem Android Enterprise w Microsoft Intune, aby rejestrować urządzenia należące do firmy i zarządzać nimi. W pełni zarządzane urządzenie jest skojarzone z jednym użytkownikiem i jest przeznaczone do użytku służbowego, a nie osobistego. Jako administrator Intune możesz zarządzać całym urządzeniem i wymuszać kontrolki zasad, które nie są dostępne w profilu służbowym systemu Android Enterprise, takie jak:
- Zezwalaj na instalację aplikacji tylko z zarządzanego sklepu Google Play.
- Zablokuj użytkownikom odinstalowywanie aplikacji zarządzanych.
- Uniemożliwiaj użytkownikom resetowanie urządzeń do ustawień fabrycznych.
Ty i użytkownicy urządzeń mogą inicjować rejestrację, wprowadzając lub skanując token rejestracji podczas konfigurowania urządzenia. W tym artykule opisano wymagania wstępne dotyczące rejestracji oraz sposób tworzenia profilów i tokenów rejestracji. Na końcu tego artykułu możesz zarejestrować urządzenia.
Krok 1. Wymagania wstępne
Wykonaj te wymagania wstępne, aby zapewnić pomyślną rejestrację.
Musisz mieć dzierżawę autonomiczną Intune z urzędem zarządzania urządzeniami przenośnymi (MDM) ustawionym na Microsoft Intune.
Urządzenia muszą:
- Uruchom system operacyjny Android w wersji 8.0 lub nowszej.
- Uruchom kompilację systemu Android, która ma łączność z usługami Google Mobile Services.
- Udostępnij usługi Google Mobile Services i możesz się z nimi połączyć.
Nie ma żadnych ograniczeń dotyczących producenta urządzenia/producenta OEM, jeśli zostały spełnione wszystkie trzy wymagania.
Upewnij się, że system Android Enterprise jest obsługiwany w Twoim regionie. Aby uzyskać informacje o wymaganiach dotyczących systemu Android Enterprise, zobacz Wprowadzenie do systemu Android Enterprise.
Połącz konto dzierżawy Intune z kontem systemu Android Enterprise.
Proces konfiguracji systemu Android używa karty Chrome do uwierzytelniania użytkowników urządzeń podczas rejestracji. Jeśli masz zasady dostępu Microsoft Entra warunkowego z następującymi konfiguracjami, musisz wykluczyć aplikację w chmurze Microsoft Intune z zasad:
Wymagaj, aby urządzenie było oznaczone jako zgodne ustawienie używane do udzielania lub blokowania dostępu.
Zasady dotyczą wszystkich aplikacji w chmurze, systemu Android i przeglądarek.
Krok 2. Twórca nowy profil rejestracji
Intune automatycznie generuje domyślny profil rejestracji i token rejestracji dla w pełni zarządzanych urządzeń. Domyślny profil rejestracji nosi nazwę Domyślny profil w pełni zarządzany.
Aby utworzyć nowy profil rejestracji:
Zaloguj się do centrum administracyjnego Microsoft Intune.
Przejdź dopozycji Rejestracjaurządzeń>.
Wybierz kartę Android .
W obszarzeProfile rejestracjiw systemie Android Enterprise> wybierz w pełni zarządzane urządzenia użytkowników należące do firmy.
Wybierz pozycję Twórca profilu.
Wprowadź podstawy profilu:
Nazwa: nadaj profilowi nazwę. Zanotuj nazwę na później, ponieważ jest ona potrzebna podczas konfigurowania dynamicznej grupy urządzeń.
Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
Typ tokenu: wybierz typ tokenu, którego chcesz użyć do rejestrowania w pełni zarządzanych urządzeń firmowych. Aby uzyskać więcej informacji, zobacz Typy tokenów w tym artykule. Dostępne opcje:
Należące do firmy, w pełni zarządzane (wartość domyślna)
Należąca do firmy, w pełni zarządzana, za pośrednictwem środowiska przejściowego
Data wygaśnięcia tokenu: dostępna tylko z tokenem przejściowym. Wprowadź datę wygaśnięcia tokenu do 65 lat w przyszłości. Akceptowalny format daty:
MM/DD/YYYYlubYYYY-MM-DDToken wygasa w wybranej dacie o godzinie 12:59:59 w utworzonej strefie czasowej.
Wybierz pozycję Dalej , aby przejść do pozycji Tagi zakresu.
Zastosuj co najmniej jeden tag zakresu, aby ograniczyć widoczność profilu i zarządzanie nim do niektórych użytkowników administracyjnych w Intune. Tagi zakresu są opcjonalne. Aby uzyskać więcej informacji na temat korzystania z tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.
Wybierz pozycję Dalej , aby kontynuować przeglądanie i tworzenie.
Przejrzyj podsumowanie profilu, a następnie wybierz pozycję Twórca, aby go sfinalizować.
Aby przejrzeć, wprowadzić zmiany lub usunąć profil:
Wybierz profil.
Wybierz pozycję Przegląd , aby przejrzeć podstawowe informacje o profilu i usunąć profil.
Wybierz pozycję WłaściwościEdytuj>, aby wprowadzić zmiany w podstawach profilu lub tagach zakresu.
Wybierz pozycję Token , aby pobrać, odwołać lub wyeksportować token.
Krok 3. Twórca grupy Microsoft Entra dynamicznych
Opcjonalnie utwórz dynamiczną grupę Microsoft Entra, aby automatycznie grupować urządzenia na podstawie określonego atrybutu lub zmiennej. W tym przypadku chcemy użyć enrollmentProfileName właściwości do grupowania urządzeń, które są rejestrowane w tym samym profilu.
Dodaj następujące konfiguracje do grupy:
Typ grupy: Zabezpieczenia
Typ członkostwa: Urządzenie dynamiczne
Dodaj zapytanie dynamiczne z następującą regułą:
- Właściwość: enrollmentProfileName
- Operator: Równa się
- Wartość: wprowadź nazwę profilu rejestracji utworzonego w kroku 2: Twórca nowego profilu rejestracji.
Nie można używać grup dynamicznych z domyślnym profilem rejestracji. Aby uzyskać więcej informacji na temat tworzenia grupy dynamicznej z regułami, zobacz Twórca regułę członkostwa w grupie.
Krok 4. Rejestrowanie urządzeń
Po skonfigurowaniu profilu rejestracji, tokenu i grupy dynamicznej możesz użyć dowolnej z tych metod aprowizacji, aby zarejestrować urządzenia jako w pełni zarządzane:
- Komunikacja zbliżeniowa (NFC)
- Ciąg tokenu lub kod QR
- Rejestracja bezobsłużowa
- Rejestracja w systemie Samsung Knox Mobile
Aby zapoznać się z kolejnymi krokami, w tym sposobem rejestrowania urządzeń przy użyciu każdej metody aprowizacji, zobacz Rejestrowanie urządzeń firmowych z systemem Android Enterprise.
Typy tokenów
Podczas tworzenia profilu rejestracji w centrum administracyjnym należy wybrać typ tokenu. Istnieją dwa typy tokenów. Każdy typ umożliwia inny przepływ rejestracji.
Domyślny token należący do firmy, w pełni zarządzany, rejestruje urządzenia w Microsoft Intune jako standardowe w pełni zarządzane urządzenia firmowe z systemem Android Enterprise. Ten token wymaga wykonania kroków wstępnej aprowizacji przed dystrybucją urządzeń. Użytkownicy końcowi wykonują pozostałe kroki na urządzeniu po zalogowaniu się przy użyciu konta służbowego.
Token przejściowy urządzenia, należący do firmy, w pełni zarządzany, za pośrednictwem środowiska przejściowego, rejestruje urządzenia w Microsoft Intune w trybie przejściowym, dzięki czemu Ty lub dostawca zewnętrzny możesz wykonać wszystkie kroki wstępnej aprowizacji. Użytkownicy końcowi kończą ostatni krok aprowizacji, logując się do aplikacji Microsoft Intune przy użyciu konta służbowego. Urządzenia są gotowe do użycia po zalogowaniu. Intune obsługuje przemieszczanie urządzeń z systemem Android Enterprise z systemem Android 8 lub nowszym.
Aby uzyskać więcej informacji, zobacz Omówienie przemieszczania urządzeń.
Zastępowanie, usuwanie lub eksportowanie tokenu
Wybierz token w centrum administracyjnym, aby uzyskać dostęp do tych opcji zarządzania:
Zastąp token: wygeneruj nowy token, który zbliża się do wygaśnięcia.
Odwołaj token: natychmiast wygaśnie token. Po odwołaniu tokenu nie można już używać. Ta opcja jest przydatna, jeśli:
Przypadkowo udostępnij token nieautoryzowanej stronie.
Ukończ wszystkie rejestracje i nie potrzebujesz już tokenu.
Token eksportu: eksportuj zawartość JSON tokenu. Możesz użyć tej opcji, aby uzyskać zawartość JSON wymaganą dla konfiguracji rejestracji Google Zero Touch lub Knox Mobile Enrollment.
Po zastosowaniu te akcje nie mają żadnego wpływu na urządzenia, które zostały już zarejestrowane.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla