Udostępnij za pośrednictwem

Konfigurowanie rejestracji urządzeń dedykowanych z systemem Android Enterprise w usłudze Intune

  • Artykuł

Za pomocą rozwiązania dedykowanych urządzeń z systemem Android Enterprise w usłudze Microsoft Intune skonfiguruj należące do firmy, jednokrotne urządzenia w stylu kiosku dla pracowników pierwszej linii. Te urządzenia są używane w jednym celu, takim jak oznakowanie cyfrowe, drukowanie biletów lub zarządzanie spisem. Jako administrator możesz zablokować użycie urządzenia do jednej aplikacji lub ograniczonego zestawu aplikacji, w tym aplikacji internetowych. Użytkownicy nie mogą dodawać innych aplikacji lub podejmować akcji na urządzeniu, chyba że zostanie to jawnie zatwierdzone przez Użytkownika.

Urządzenia przeznaczone do dedykowanego użytku można zarejestrować w usłudze Microsoft Intune na dwa sposoby:

  • Jako standardowe dedykowane urządzenie z systemem Android Enterprise. Te urządzenia są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z użytkownikiem. Te urządzenia nie są przeznaczone dla aplikacji osobistych ani aplikacji, takich jak Microsoft Outlook lub Google Mail, które wymagają danych konta specyficznego dla użytkownika.

  • Jako standardowe dedykowane urządzenie z systemem Android Enterprise, które jest automatycznie konfigurowane za pomocą programu Microsoft Authenticator i skonfigurowane pod kątem trybu urządzenia udostępnionego microsoft Entra podczas rejestracji. Te urządzenia są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z użytkownikiem. Te urządzenia są przeznaczone do użytku z aplikacjami integrujymi się z trybem urządzenia udostępnionego w usłudze Microsoft Entra i umożliwiają logowanie jednokrotne i wylogowywanie się między użytkownikami w uczestniczących aplikacjach.

W tym artykule opisano sposób konfigurowania i konfigurowania usługi Microsoft Intune w celu rejestrowania dedykowanych urządzeń. Aby uzyskać więcej informacji na temat rozwiązań do zarządzania systemem Android Enterprise, zobacz Wprowadzenie do rozwiązania Android Enterprise (otwiera Centrum pomocy dla systemu Android Enterprise).

Wymagania dotyczące urządzeń

Urządzenia muszą mieć następujące elementy:

  • System operacyjny Android w wersji 8.0 lub nowszej.
  • Dystrybucja systemu Android z łącznością usług Google Mobile Services (GMS). Urządzenia muszą mieć dostępny system GMS i muszą mieć możliwość nawiązywania połączenia z usługą GMS.

Konfigurowanie dedykowanego zarządzania urządzeniami z systemem Android Enterprise

Aby skonfigurować dedykowane zarządzanie urządzeniami z systemem Android Enterprise, wykonaj następujące kroki:

  1. Aby przygotować się do zarządzania urządzeniami przenośnymi, należy ustawić urząd zarządzania urządzeniami przenośnymi (MDM) na usługę Microsoft Intune, aby uzyskać instrukcje. Ten element należy ustawić tylko raz, gdy po raz pierwszy konfigurujesz usługę Intune do zarządzania urządzeniami przenośnymi.
  2. Połącz konto dzierżawy usługi Intune z kontem zarządzanego sklepu Google Play.
  3. Utwórz profil rejestracji.
  4. Utwórz grupę urządzeń.
  5. Rejestrowanie dedykowanych urządzeń.

Tworzenie profilu rejestracji

Uwaga

Po wygaśnięciu tokenu skojarzony z nim profil zniknie z widoku w obszarze Profile rejestracji systemu > Android Dedykowane urządzenia należące> dofirmy. Aby wyświetlić wszystkie profile skojarzone zarówno z aktywnymi, jak i nieaktywnymi tokenami, wybierz pozycję Filtruj. Następnie zaznacz pola wyboru Stanów aktywnych i nieaktywnych zasad.

Musisz utworzyć profil rejestracji, aby można było zarejestrować dedykowane urządzenia. Po utworzeniu profilu udostępnia on token rejestracji w postaci ciągu i kodu QR.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Przejdź do pozycji Urządzenia, a następnie w obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
  3. Wybierz kartę Android .
  4. W sekcji Profile rejestracji wybierz dedykowane urządzenia należące do firmy.
  5. Wybierz pozycję Utwórz profil.
  6. Wprowadź podstawy profilu:
    • Nazwa: nadaj profilowi nazwę, aby można było łatwo go później zidentyfikować.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
    • Typ tokenu: wybierz typ tokenu, którego chcesz użyć do rejestrowania dedykowanych urządzeń.
      • Dedykowane urządzenie należące do firmy (domyślne): ten token rejestruje urządzenia jako standardowe dedykowane urządzenie z systemem Android Enterprise. Te urządzenia nie wymagają żadnych poświadczeń użytkownika w żadnym momencie. Jest to domyślny typ tokenu, za pomocą których dedykowane urządzenia będą rejestrowane, chyba że zostaną zaktualizowane przez administratora podczas tworzenia tokenu.
      • Dedykowane urządzenie należące do firmy w trybie udostępnionym Microsoft Entra ID: ten token rejestruje urządzenia jako standardowe dedykowane urządzenie z systemem Android Enterprise, a podczas rejestracji wdraża aplikację Authenticator firmy Microsoft skonfigurowaną w trybie udostępnionego urządzenia Microsoft Entra. Dzięki tej opcji użytkownicy mogą uzyskać logowanie jednokrotne i wylogowywanie jednokrotne w aplikacjach na urządzeniu zintegrowanym z biblioteką Microsoft Entra Microsoft Authentication Library i połączeniami logowania globalnego/wylogowywania.
    • Data wygaśnięcia tokenu: wprowadź datę wygaśnięcia tokenu do 65 lat w przyszłości. Token wygasa w wybranym dniu o godzinie 12:59:59 w utworzonej strefie czasowej. Akceptowalny format daty: MM/DD/YYYY lub YYYY-MM-DD
  7. Wybierz pozycję Dalej , aby przejść do pozycji Tagi zakresu.
  8. Opcjonalnie zastosuj co najmniej jeden tag zakresu, aby ograniczyć widoczność profilu i zarządzanie nim do niektórych użytkowników administracyjnych w usłudze Intune. Aby uzyskać więcej informacji na temat korzystania z tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.
  9. Wybierz pozycję Dalej , aby kontynuować przeglądanie i tworzenie.
  10. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz , aby zakończyć tworzenie profilu.

Uzyskiwanie dostępu do tokenu rejestracji

Uzyskaj dostęp do tokenu rejestracji w centrum administracyjnym.

  1. Przejdź dopozycji Rejestracjaurządzeń>.
  2. Wybierz kartę Android .
  3. W sekcji Profile rejestracji wybierz dedykowane urządzenia należące do firmy.
  4. Z listy wybierz swój profil rejestracji.
  5. Wybierz pozycję Token.

Token jest wyświetlany jako ciąg 20-cyfrowy i kod QR. Ten token służy do rejestrowania urządzeń za pomocą mechanizmów opisanych w temacie Rejestrowanie dedykowanych, w pełni zarządzanych lub należących do firmy urządzeń z profilem służbowym. W momencie rejestracji użytkownik urządzenia jest monitowany o token rejestracji. Możesz podać ciąg lub QR, o ile jest on obsługiwany przez system operacyjny Android i wersję zarejestrowanego urządzenia.

Zastępowanie, usuwanie lub eksportowanie tokenu

Wybierz token, aby uzyskać dostęp do tych opcji:

  • Zastąp token: wygeneruj nowy token, który zbliża się do wygaśnięcia.
  • Odwołaj token: natychmiast wygaśnie token. Po odwołaniu token nie jest już możliwy do użycia. Ta opcja jest przydatna, jeśli:
    • Przypadkowo udostępnij token nieautoryzowanej stronie.
    • Ukończ wszystkie rejestracje i nie potrzebujesz już tokenu.
  • Token eksportu: eksportuj zawartość JSON tokenu. Ta opcja jest przydatna do uzyskiwania zawartości JSON potrzebnej do skonfigurowania rejestracji w usłudze Google Zero Touch lub Knox Mobile.

Po zastosowaniu te akcje nie mają żadnego wpływu na urządzenia, które zostały już zarejestrowane.

Tworzenie grupy urządzeń

Aplikacje i zasady można kierować do przypisanych lub dynamicznych grup urządzeń. Dynamiczne grupy urządzeń Microsoft Entra można skonfigurować tak, aby automatycznie wypełniały urządzenia zarejestrowane przy użyciu określonego profilu rejestracji, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i wybierz pozycję Grupy>Wszystkie grupy>Nowa grupa.

  2. Wypełnij wszystkie wymagane pola w następujący sposób:

    • Typ grupy: Zabezpieczenia
    • Nazwa grupy: wpisz intuicyjną nazwę, taką jak urządzenia z fabryki Factory 1
    • Typ członkostwa: Urządzenie dynamiczne

  3. Wybierz pozycję Dodaj zapytanie dynamiczne.

  4. Na stronie Dynamiczne reguły członkostwa wypełnij wszystkie pola w następujący sposób:

    • Właściwość: enrollmentProfileName
    • Operator: Równa się
    • Wartość: wprowadź utworzoną wcześniej nazwę profilu rejestracji.

    Aby uzyskać więcej informacji na temat reguł członkostwa dynamicznego, zobacz Dynamiczne reguły członkostwa dla grup w identyfikatorze Microsoft Entra.

  5. Wybierz pozycję Zapisz , aby sfinalizować regułę.

Rejestrowanie dedykowanych urządzeń

Teraz możesz zarejestrować dedykowane urządzenia.

Uwaga

Aplikacja usługi Microsoft Intune zostanie automatycznie zainstalowana podczas rejestracji dedykowanego urządzenia. Ta aplikacja jest wymagana do rejestracji i nie można jej odinstalować. Aplikacja Microsoft Authenticator zostanie automatycznie zainstalowana podczas rejestracji dedykowanego urządzenia w przypadku korzystania z typu tokenu Dedykowane urządzenie należące do firmy z udostępnionym trybem Microsoft Entra ID. Ta aplikacja jest wymagana dla tej metody rejestracji i nie można jej odinstalować.

Zarządzanie aplikacjami na dedykowanych urządzeniach z systemem Android Enterprise

Na dedykowanych urządzeniach z systemem Android Enterprise można instalować tylko aplikacje z typem przypisania ustawionym na wartość Wymagane . Aplikacje są instalowane z zarządzanego sklepu Google Play w taki sam sposób jak osobiste i firmowe urządzenia z profilem służbowym systemu Android Enterprise.

Aplikacje są automatycznie aktualizowane na zarządzanych urządzeniach, gdy deweloper aplikacji publikuje aktualizację w sklepie Google Play.

Aby usunąć aplikację z dedykowanych urządzeń z systemem Android Enterprise, możesz wykonać jedną z następujących czynności:

  • Usuń wymagane wdrożenie aplikacji.
  • Utwórz wdrożenie odinstalowywania dla aplikacji.

Następne kroki