Omówienie zarządzania profilami służbowymi systemu Android Enterprise

Usługa Microsoft Intune obsługuje zarządzanie profilami służbowymi, czyli opcję zarządzania systemem Android Enterprise, która umożliwia oddzielenie aplikacji służbowych i danych na zarejestrowanych urządzeniach na poziomie platformy. Gdy pracownik lub uczeń zarejestruje swoje urządzenie w usłudze Intune, umożliwia utworzenie profilu służbowego. Profil służbowy tworzy oddzielną partycję na urządzeniu dla konta służbowego użytkownika, dzięki czemu użytkownik może łatwo i bezpiecznie przełączać się między aplikacjami osobistymi i aplikacjami służbowymi. Po opuszczeniu profilu służbowego wracają na stronę osobistą urządzenia, gdzie zasady usługi Intune nie mają wpływu na ich osobiste aplikacje i dane.

Użytkownicy urządzeń rejestrujący urządzenia osobiste muszą zarejestrować się za pośrednictwem aplikacji Portal firmy usługi Intune, podczas gdy użytkownicy na urządzeniach należących do firmy muszą zarejestrować się za pośrednictwem aplikacji usługi Microsoft Intune.

Ten artykuł zawiera omówienie opcji zarządzania profilami służbowymi systemu Android Enterprise obsługiwanych przez usługę Microsoft Intune, które obejmują:

• Profile służbowe dla urządzeń należących do firmy.
• Profile służbowe dla urządzeń osobistych.

Musisz wiedzieć

System Android Enterprise nie jest dostępny wszędzie. Przed utworzeniem profilu rejestracji w centrum administracyjnym usługi Microsoft Intune upewnij się, że system Android Enterprise jest dostępny w Twoim regionie. Aby uzyskać więcej informacji na temat dostępności i wymagań dotyczących systemu Android Enterprise, zobacz Wymagania dotyczące systemu Android Enterprise (otwiera pomoc dla systemu Android Enterprise).

W miejscach, w których system Android Enterprise nie jest obsługiwany, dostępne są inne opcje zarządzania systemem Android obsługiwane przez usługę Intune, w tym:

• Zarządzanie platformą open source systemu Android (AOSP)
• Zarządzanie administratorem urządzeń z systemem Android
• Zarządzanie aplikacjami mobilnymi

Zarządzane konto Google Play

Aby włączyć zarządzanie urządzeniami i aplikacjami dla urządzeń z systemem Android Enterprise w usłudze Intune, musisz połączyć dzierżawę usługi Microsoft Intune z zarządzanym kontem Google Play.

Zarządzanie profilem służbowym

Zasady i ustawienia usługi Microsoft Intune mają zastosowanie tylko do profilu służbowego. Jako administrator usługi Intune możesz zarządzać częściami roboczymi zarejestrowanego urządzenia.

• Wszystkie aplikacje wdrażane w usłudze Intune są instalowane w profilu służbowym. Administratorzy mogą zarządzać aplikacjami i akcjami w zakresie profilu służbowego oraz monitorować je.
• Wszystkie aplikacje i dane systemu Android spoza profilu służbowego pozostają osobiste i podlegają kontroli użytkownika urządzenia. Użytkownicy mogą zainstalować dowolną wybraną aplikację po stronie osobistej urządzenia.

W profilu służbowym znajdują się unikatowe ikony aplikacji, które ułatwiają użytkownikom rozróżnianie aplikacji służbowych i osobistych na ich urządzeniu.

Ustawienia dostępne w usłudze Intune, począwszy od rejestracji, przez konfigurację urządzenia po zgodność, umożliwiają dostosowanie poziomu ochrony do potrzeb organizacji. Aby uzyskać więcej informacji na temat odpowiednich ustawień, zobacz:

• Ustawienia zgodności urządzeń dla systemu Android Enterprise w usłudze Intune
• Ustawienia urządzenia z systemem Android Enterprise umożliwiające lub ograniczające funkcje przy użyciu usługi Intune

Publikowanie i dystrybucja aplikacji

Zarządzany sklep Google Play jest integralną częścią dystrybucji aplikacji i zarządzania nimi w systemie Android Enterprise. Wszystkie aplikacje wdrożone w profilu służbowym na urządzeniach osobistych i firmowych pochodzą z zarządzanej usługi Google Play.

Aby zarządzać aplikacjami i wdrażać je w Sklepie Play, zaloguj się do witryny internetowej Google Play przy użyciu poświadczeń administratora do zarządzania Google. W tym miejscu możesz zatwierdzać aplikacje do wdrożenia. Zatwierdzone aplikacje są synchronizowane z usługą Microsoft Intune i są wyświetlane w centrum administracyjnym, w którym można je wdrażać i zarządzać nimi. Aplikacje biznesowe opracowane przez Organizację muszą być publikowane w zarządzanym sklepie Google Play przy użyciu zarządzanej konsoli publikowania Google Play.

Aplikacje można instalować bez interakcji z użytkownikiem i bez konieczności zezwalania użytkownikowi na instalacje aplikacji z nieznanych źródeł. Aby przeglądać i instalować opcjonalne lub dostępne aplikacje, użytkownik może przeglądać zarządzany sklep Google Play na swoim urządzeniu. Aby uzyskać więcej informacji, zobacz Przypisywanie aplikacji do urządzeń z profilem służbowym systemu Android Enterprise za pomocą usługi Intune.

Konfiguracja aplikacji

System Android Enterprise zapewnia infrastrukturę do wdrażania wartości konfiguracji aplikacji w aplikacjach, które je obsługują. Określając wartości dla aplikacji służbowych, upewnij się, że są one prawidłowo skonfigurowane, gdy użytkownicy uruchamiają aplikację po raz pierwszy. Obsługa konfiguracji aplikacji wymaga, aby deweloperzy aplikacji tworzyli aplikacje systemu Android specjalnie w celu obsługi wartości konfiguracji zarządzanej. Jeśli tak, możesz użyć usługi Intune, aby określić i zastosować te ustawienia konfiguracji. Aby uzyskać więcej informacji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android.

Konfiguracja poczty e-mail

System Android Enterprise nie udostępnia domyślnej aplikacji poczty e-mail ani natywnego obiektu profilu poczty e-mail, takiego jak ten udostępniany przez system iOS/iPadOS. Zamiast tego można skonfigurować ustawienia poczty e-mail dla obsługiwanych aplikacji poczty e-mail za pośrednictwem ustawień konfiguracji aplikacji usługi Intune.

Gmail i Nine Work to dwie aplikacje klienckie programu Exchange ActiveSync (EAS) w Sklepie Play obsługujące konfigurację aplikacji systemu Android Enterprise. Usługa Intune udostępnia szablony konfiguracji dla aplikacji Gmail i Nine Work, dzięki czemu można nimi zarządzać jako aplikacjami służbowymi. W zasadach konfiguracji aplikacji można skonfigurować inne aplikacje poczty e-mail obsługujące profile konfiguracji aplikacji.

Jeśli używasz dostępu warunkowego programu Exchange ActiveSync dla urządzenia osobistego lub firmowego, rozważ użycie aplikacji poczty e-mail Gmail lub Nine Work. Obsługiwana jest również aplikacja Microsoft Outlook dla systemu Android i dowolna inna aplikacja poczty e-mail korzystająca z nowoczesnego uwierzytelniania za pośrednictwem biblioteki MSAL. Aby uzyskać więcej informacji, zobacz Jak skonfigurować ustawienia poczty e-mail w usłudze Microsoft Intune.

Porada

Biblioteka uwierzytelniania usługi Azure AD (ADAL) została wycofana, dlatego zalecamy zaktualizowanie aplikacji, które obecnie używają biblioteki ADAL do biblioteki MSAL. Aby uzyskać więcej informacji, zobacz Aktualizowanie aplikacji w celu używania biblioteki Microsoft Authentication Library (MSAL) i interfejsu API programu Microsoft Graph.

Zasady ochrony aplikacji

Usługa Microsoft Intune obsługuje zasady ochrony aplikacji stosowane do aplikacji w profilu służbowym i po stronie osobistej urządzeń. Aplikacje biznesowe można publikować w konsoli publikowania w sklepie Google Play i tworzyć aplikacje jako prywatne dla organizacji.

Aby uzyskać więcej informacji na temat zasad ochrony aplikacji dla profilu służbowego, zobacz następujące artykuły:

• Omówienie zasad ochrony aplikacji

• Dodawanie zasad zgodności urządzeń dla urządzeń z profilem służbowym w usłudze Intune

Profile sieci VPN

Obsługa sieci VPN jest podobna do profilów sieci VPN systemu Android. Ci sami dostawcy sieci VPN i podstawowe opcje konfiguracji są dostępne w przypadku zarządzania systemem Android Enterprise z dwiema różnicami:

• Sieć VPN o zakresie profilu służbowego — połączenia sieci VPN są ograniczone do aplikacji wdrożonych w profilu służbowym na urządzeniach osobistych i firmowych, więc tylko aplikacje zarządzane mogą korzystać z połączenia sieci VPN. Aplikacje osobiste na urządzeniu nie mogą używać zarządzanego połączenia sieci VPN. Aby uzyskać więcej informacji, zobacz Ustawienia sieci VPN systemu Android Enterprise.

• Sieć VPN specyficzna dla aplikacji — możesz skonfigurować sieć VPN specyficzną dla aplikacji w usłudze Intune, jeśli dostawca sieci VPN obsługuje:

  • Konfiguracja sieci VPN specyficznej dla aplikacji.

  • Możliwość konfigurowania sieci VPN dla aplikacji za pośrednictwem profilu konfiguracji aplikacji systemu Android Enterprise.

  Aby uzyskać więcej informacji, zobacz Używanie profilu niestandardowego usługi Microsoft Intune do tworzenia profilu sieci VPN dla aplikacji dla urządzeń z systemem Android.

Profile certyfikatów

Te same konfiguracje profilów certyfikatów, które są dostępne dla zarządzania systemem Android, są dostępne dla profilu służbowego na urządzeniach osobistych i należących do firmy. System Android Enterprise udostępnia ulepszone interfejsy API zarządzania certyfikatami.

Rozszerzone zarządzanie certyfikatami:

• Zapewnia, że wdrażanie certyfikatu jest dyskretne i bezproblemowe dla użytkownika.

• Zapewnia, że wdrożone certyfikaty zostaną usunięte po wycofaniu urządzenia z usługi Intune i usunięciu profilu służbowego.

• Informuje użytkowników urządzeń, że certyfikat został wdrożony i skonfigurowany przez ich osobę pomocy technicznej IT za pośrednictwem usługi Microsoft Intune.

Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu certyfikatu dla urządzeń w usłudze Microsoft Intune.

profile Wi-Fi

Wi-Fi profile są usuwane po wycofaniu urządzenia z usługi Intune i usunięciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Jak skonfigurować ustawienia Wi-Fi w usłudze Microsoft Intune.

Następne kroki

• Przewodnik wdrażania rejestracji dla systemu Android

• Przypisywanie aplikacji do urządzeń z profilem służbowym systemu Android Enterprise za pomocą usługi Intune