Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy systemu Android
W tym artykule opisano sposób przechodzenia z zarządzania przez administratora urządzeń z systemem Android do zarządzania aplikacjami mobilnymi w Microsoft Intune i zawiera zalecenia i najlepsze rozwiązania dotyczące pomyślnego przejścia, ponieważ Microsoft Intune kończy obsługę administratora urządzeń z systemem Android.
Istnieją dwa sposoby korzystania z zarządzania aplikacjami mobilnymi w Intune: w przypadku rejestracji urządzeń lub bez rejestracji urządzeń. W tym artykule dowiesz się, jak skonfigurować zarządzanie aplikacjami mobilnymi bez rejestracji urządzeń w celu zarządzania aplikacjami i danymi na urządzeniach osobistych. Zalecamy tę opcję dla organizacji, które nie wymagają funkcji zarządzania urządzeniami przenośnymi (MDM), takich jak Wi-Fi wdrożenia lub profili konfiguracji poczty e-mail. Jeśli Organizacja ma zależności wymagające zarządzania urządzeniami osobistymi, zalecamy przejście do zarządzania profilami służbowymi należącymi do użytkownika systemu Android Enterprise .
Wymagania wstępne
Do skonfigurowania i wymuszenia zarządzania aplikacjami mobilnymi potrzebne są następujące uprawnienia Intune:
- Aplikacje zarządzane/Przypisywanie
- Aplikacje zarządzane/Tworzenie
- Aplikacje zarządzane/Usuwanie
- Aplikacje zarządzane/Odczyt
- Aplikacje zarządzane/Aktualizacja
- Zarządzane aplikacje/czyszczenie
Ponadto aplikacja Intune — Portal firmy jest wymagana na urządzeniach, ponieważ umożliwia użytkownikom urządzeń odbieranie zasad ochrony aplikacji.
Porada
- Wbudowana rola menedżera aplikacji ma wystarczające uprawnienia do zarządzania aplikacjami mobilnymi.
- Tagi zakresu można dodać do zasad, aby kontrolować widoczność obiektów wśród użytkowników Intune administratorów.
Krok 1. Konfigurowanie zasad zarządzania aplikacjami mobilnymi
Utwórz zasady zarządzania aplikacjami mobilnymi w centrum administracyjnym Microsoft Intune. W ramach tych zasad można na przykład zezwalać na funkcje aplikacji lub blokować je, takie jak kopiowanie i wklejanie. Aby uzyskać więcej ustawień i możliwości ochrony aplikacji w Intune, zobacz:
- Ustawienia zasad ochrony aplikacji systemu Android w Microsoft Intune: opisuje ustawienia, które można skonfigurować w zasadach ochrony aplikacji.
- Intune chronione aplikacje: Listy aplikacje obsługujące zasady ochrony aplikacji.
Poniższa tabela zawiera listę konfiguracji często używanych z zarządzaniem przez administratora urządzeń z systemem Android i podobnymi ustawieniami zarządzania aplikacjami mobilnymi, które należy rozważyć w przyszłości.
Porada
Mimo że jest to podobne, zasady i ustawienia zarządzania aplikacjami mobilnymi wymienione w tej tabeli niekoniecznie działają tak samo jak zasady administratora urządzeń z systemem Android, do których jesteś przyzwyczajony. Przejrzyj połączone zasoby, aby porównać i ocenić zasady i ustawienia.
| Konfiguracja | Ustawienie zasad administratora urządzenia z systemem Android | Ustawienie zasad zarządzania aplikacjami mobilnymi | Więcej informacji |
|---|---|---|---|
| Dostęp warunkowy | Użyj zasad dostępu warunkowego opartego na urządzeniach. | Użyj zasad dostępu warunkowego opartego na aplikacji. | Przed wyrejestrowaniem urządzeń należy rozważyć zaktualizowanie zasad dostępu warunkowego opartego na urządzeniach w celu uwzględnienia warunku or dla zasad dostępu warunkowego opartego na aplikacji. W przeciwnym razie użytkownicy urządzeń mogą być w stanie tymczasowym bez wymuszania zarządzania urządzeniami przenośnymi lub aplikacji mobilnych. |
| Zapobieganie kopiowaniu i wklejaniu |
Ograniczanie kopiowania i wklejania (tylko rozwiązanie Knox) Ustawienie dostępne w obszarze Ogólne zasady > konfiguracji. |
Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami Ustawienie dostępne w zasadach > Ochrona aplikacji Ochrona danych. |
|
| Wymuszanie hasła | Ustawienia hasła różnią się w zależności od używanego typu zasad. Ustawienia dostępne w zasadach > konfiguracji Zasady> hasła i zgodności Zabezpieczenia urządzenia. |
Numer PIN dostępu do aplikacji Ustawienie dostępne w zasadach Ochrona aplikacji > Wymagania dotyczące dostępu. |
|
| Wymuszanie minimalnej i maksymalnej wersji systemu operacyjnego | Ustawienia wersji systemu operacyjnego różnią się w zależności od używanego typu zasad. Ustawienia dostępne w obszarze Zasady > zgodności Wersja systemu operacyjnego i Ograniczenie platformy urządzenia rejestracji>. |
Minimalna wersja systemu operacyjnego i maksymalna wersja systemu operacyjnego Ustawienia dostępne w zasadach Ochrona aplikacji > Uruchamianie warunkowe. |
|
| Blokuj urządzenia z odblokowanym dostępem |
Urządzenia z odblokowanym dostępem Ustawienie dostępne w zasadach > zgodności Kondycja urządzenia. |
Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root Ustawienie dostępne w zasadach Ochrona aplikacji > Uruchamianie warunkowe. |
|
| Zezwalaj określonym producentom |
Producenci urządzeń Ustawienie dostępne w obszarze Ograniczenia platformy urządzeń rejestracji>. |
Producenci urządzeń Ustawienie dostępne w zasadach Ochrona aplikacji > Uruchamianie warunkowe. |
|
| Sieć VPN | Utwórz profil sieci VPN w zasadach konfiguracji. | Skonfiguruj aplikację Microsoft Tunnel do zarządzania aplikacjami mobilnymi. | |
| Przypisywanie i wdrażanie aplikacji | Ustaw aplikacje wymagane do automatycznej instalacji lub udostępnij je w aplikacji Portal firmy. Ustawienia dostępne w aplikacji ze sklepu Aplikacje > dla systemu Android. |
Aplikacje udostępniane pracownikom i uczniom są automatycznie wyświetlane w aplikacji Portal firmy dla systemu Android lub zarządzanej aplikacji Google Play. | Ochrona aplikacji biznesowych za pomocą zasad ochrony aplikacji przy użyciu narzędzia opakowującego aplikacje Intune. W przypadku tworzenia wewnętrznych aplikacji biznesowych deweloperzy mogą korzystać z zestawu Intune App SDK. |
| Czyszczenie danych firmowych |
Wycofaj urządzenia, aby wyczyścić tylko dane firmowe, lub wyczyść urządzenia, aby przywrócić je do ustawień fabrycznych. Ustawienia dostępne w akcjach zdalnych. |
Czyszczenie danych firmowych z aplikacji Ustawienie dostępne w funkcji selektywnego czyszczenia aplikacji. |
Krok 2. Ograniczanie administratora urządzeń z systemem Android
Utwórz ograniczenie rejestracji platformy dla administratora urządzeń z systemem Android, aby uniemożliwić dalsze rejestracje administratorów urządzeń. Urządzenia już zarejestrowane jako administrator urządzeń pozostają zarejestrowane i nie mają na nie wpływu.
Aby uzyskać więcej informacji na temat tworzenia ograniczenia rejestracji platformy, zobacz Tworzenie ograniczeń platformy urządzeń.
Krok 3. Usuwanie urządzeń z zarządzania przez administratora urządzeń
Wycofaj zarejestrowane urządzenia w centrum administracyjnym Microsoft Intune lub poproś użytkowników urządzeń o wyrejestrowanie ich w aplikacji Intune — Portal firmy.
Usunięcie zarejestrowanego urządzenia z Intune może mieć następujące skutki:
- Urządzenie traci dostęp do aplikacji służbowych i witryn internetowych.
- Urządzenie nie jest już wyświetlane w Intune — Portal firmy.
- Użytkownicy urządzeń nie mogą już instalować aplikacji służbowych z Portal firmy.
- Wymagania i ograniczenia dotyczące ustawiania (takie jak numer PIN urządzenia, wyłączanie aparatu i uniemożliwianie zrzutów ekranu) nie są już wymuszane.
Wycofywanie urządzenia w centrum administracyjnym
- Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
- Przejdź do pozycji Urządzenia>według platformy>Android.
- Wybierz pozycję Urządzenia z systemem Android.
- Wybierz nazwę urządzenia, które chcesz wycofać. Możesz dodać filtr systemu operacyjnego , aby ułatwić wyświetlanie wszystkich urządzeń administratora urządzeń z systemem Android w dzierżawie.
- Wybierz pozycję Wycofaj. Następnie wybierz pozycję Tak , aby potwierdzić, że chcesz usunąć urządzenie z zarządzania urządzeniami.
Usunięcie nastąpi przy następnym zaewidencjonowanie urządzenia i odbiera akcję zdalnego wycofania . Urządzenie pozostaje widoczne w centrum administracyjnym do momentu zaewidencjonowanie urządzenia. Jeśli chcesz natychmiast usunąć nieaktualne urządzenia, zamiast tego użyj akcji usuwania . Aby uzyskać więcej informacji na temat usuwania urządzeń z Microsoft Intune, zobacz Usuwanie urządzeń.
Zezwalanie użytkownikom urządzeń na wyrejestrowanie urządzenia
Pracownicy i uczniowie mogą wyrejestrować swoje urządzenia w aplikacji Intune — Portal firmy. Aby je wspierać i upewnić się, że są one skuteczne, możesz:
- Wyślij im niestandardowe powiadomienie o wymaganiach dotyczących urządzeń i następne kroki. Aby uzyskać więcej informacji, zobacz Wysyłanie powiadomień.
- Użyj wewnętrznych kanałów komunikacyjnych organizacji, takich jak poczta e-mail, aby poinformować ich o wymaganiach dotyczących urządzeń i następnych krokach.
Aby uzyskać instrukcje usuwania, które użytkownicy urządzeń z systemem Android mogą wykonywać samodzielnie, zobacz Wyrejestrowanie urządzenia z systemem Android.
Najważniejsze wskazówki
Ta sekcja zawiera najlepsze rozwiązania dotyczące konfigurowania zarządzania aplikacjami mobilnymi.
Zapobieganie monitom o rejestrację Portal firmy
Gdy Microsoft Intune wykryje, że urządzenie użytkownika jest skonfigurowane pod kątem zasad ochrony aplikacji bez rejestracji, nie monituje użytkownika o zarejestrowanie się za pośrednictwem Intune — Portal firmy. Aby upewnić się, że inni użytkownicy nie rejestrują swoich urządzeń, zalecamy skonfigurowanie aplikacji Portal firmy tak, aby nie było monitu o rejestrację. Aby uzyskać więcej informacji, zobacz Opcje ustawienia rejestracji urządzeń.
Aby zablokować rejestrację urządzeń osobistych, utwórz ograniczenie rejestracji urządzeń. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące ograniczeń platformy systemu Android.
Wyrejestrowywanie urządzeń przy użyciu zasad dostępu warunkowego Microsoft Entra
Jeśli masz Microsoft Entra zasad dostępu warunkowego, które wymagają zgodności urządzeń w celu uzyskania dostępu firmowego, urządzenia usuwane z zarządzania administratorem urządzeń z systemem Android utracą dostęp. Aby zapewnić ciągły dostęp, przejrzyj istniejące zasady dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymagaj, aby urządzenie było oznaczone jako zgodne.
Możesz również:
- Ustaw ochronę aplikacji jako wymaganie dostępu.
- Ogranicz dostęp użytkowników do zatwierdzonych aplikacji klienckich za pomocą Intune zasad ochrony aplikacji.
Aby uzyskać więcej informacji, zobacz Wymagaj zatwierdzonej aplikacji lub zasad ochrony aplikacji.
Rozwiązywanie problemów
W tej sekcji opisano sposób rozwiązywania problemów występujących podczas przełączania się z administratora urządzeń z systemem Android na zarządzanie aplikacjami mobilnymi.
Użytkownik urządzenia wymagany do zainstalowania aplikacji Portal firmy
Objaw: Wyrejestrujesz urządzenie od administratora urządzenia, a podczas próby uzyskania dostępu do chronionej aplikacji zostanie wyświetlony komunikat:
Portal firmy wymagane: aby korzystać z konta służbowego w tej aplikacji, musisz zainstalować aplikację Intune — Portal firmy. Kliknij przycisk Przejdź do sklepu , aby kontynuować.
Przyczyna: aplikacja Intune — Portal firmy nie znajduje się na używanym urządzeniu. Ochrona aplikacji jest wbudowana w Intune — Portal firmy, więc aplikacja jest wymagana na urządzeniach korzystających z ochrony aplikacji bez rejestracji.
Rozwiązanie: zainstaluj aplikację Intune — Portal firmy na urządzeniu.
Konto użytkownika usunięte z chronionych aplikacji po wyrejestrowanie urządzenia przez użytkownika
Objaw: zostanie wyświetlony monit o ponowne zalogowanie się do aplikacji służbowej, nawet jeśli już się zalogowano.
Przyczyna: po wyrejestrowywaniem urządzenia z zarządzania przez administratora urządzeń z systemem Android Intune wykonuje czyszczenie zarządzania aplikacjami mobilnymi w chronionych aplikacjach. W związku z tym konto użytkownika jest usuwane z tych aplikacji i wylogowywane.
Rozwiązanie: zaloguj się ponownie do chronionej aplikacji przy użyciu konta służbowego.