Udostępnij za pośrednictwem


Kompleksowe wskazówki dotyczące konfigurowania urządzeń z systemem Android enterprise w usłudze Microsoft Intune

Ten przewodnik ułatwia administratorom zrozumienie sposobu konfigurowania i rozwiązywania problemów z urządzeniami z systemem Android enterprise w środowisku usługi Microsoft Intune. Obejmuje on następujące typowe scenariusze:

  • Dołączanie do google
  • Wdrażanie aplikacji
  • Włączanie rejestracji profilu służbowego
  • Konfigurowanie dostępu warunkowego
  • Środowisko użytkownika końcowego rejestracji profilu służbowego
  • Resetowanie kodu dostępu profilu służbowego

Ułatwia to podjęcie decyzji, która funkcja zarządzania jest najlepsza dla twojej organizacji i zawiera często zadawane pytania dotyczące systemu Android enterprise.

Ocena potrzeb

Przed włączeniem urządzeń z systemem Android enterprise w usłudze Intune należy określić, czy chcesz zarejestrować te urządzenia jako urządzenia osobiste (Bring Your Own Device, BYOD) lub jako urządzenia firmowe.

Urządzenia BYOD

Urządzenia BYOD są skonfigurowane tak, aby miały profil służbowy systemu Android Enterprise. Ta funkcja jest wbudowana w system Android 5.1 i nowsze wersje. Ta funkcja umożliwia przechowywanie aplikacji służbowych i danych w osobnym, samodzielnym miejscu zarządzanym przez firmę na urządzeniu. Ze względu na to, że osobiste aplikacje i dane pozostają na urządzeniu w profilu osobistym użytkownika, pracownicy mogą nadal używać swojego urządzenia, tak jak zwykle.

Urządzenia firmowe

Istnieją dwie opcje dla urządzeń należących do firmy, a każda z nich obsługuje unikatowy przypadek użycia:

  • Urządzenia dedykowane (wcześniej znane jako COSU lub należące do firmy — pojedyncze użycie).

    Uwaga 16.

    Przykład użyty w tym przewodniku koncentruje się na scenariuszach BYOD. Aby uzyskać więcej informacji na temat scenariuszy dedykowanych urządzeń (COSU), zobacz CoSU Configuration and Enrollment using the QR code enrollment method (Konfiguracja i rejestracja COSU przy użyciu metody rejestracji kodu QR).

    Urządzenia dedykowane są zwykle blokowane w jednej aplikacji lub w zestawie aplikacji (nazywanym również trybem kiosku). Dzięki niej administrator może kontrolować takie elementy jak pasek stanu, układy klawiatury, ekran blokady i inne ustawienia na urządzeniu. Uniemożliwia to użytkownikom włączanie innych aplikacji lub zmienianie niektórych ustawień na dedykowanych urządzeniach.

    Uwaga 16.

    Urządzenia zarządzane w ten sposób są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z żadnym użytkownikiem końcowym. Nie są one przeznaczone do użytku osobistego lub aplikacji, które mają silne wymaganie dotyczące danych konta specyficznego dla użytkownika, takich jak Outlook lub Gmail.

  • W pełni zarządzane urządzenia (wcześniej znane jako COBO lub należące tylko do firmy).

    Uwaga 16.

    Aby uzyskać więcej informacji na temat w pełni zarządzanych urządzeń, zobacz Konfigurowanie rejestracji w usłudze Intune w pełni zarządzanych urządzeń z systemem Android Enterprise.

    W pełni zarządzane urządzenia mieszczą się w bardziej skoncentrowanym na użytkowniku scenariuszu. Jeden użytkownik jest skojarzony z urządzeniem, podczas gdy administrator nadal zachowuje pełną kontrolę nad urządzeniem (w przeciwieństwie do scenariusza profilu służbowego, w którym wielu użytkowników ma kontrolę).

Podczas podejmowania decyzji o sposobie rejestrowania urządzeń należy pamiętać, że nie wszystkie funkcje są dostępne dla obu metod. W poniższej tabeli przedstawiono pewne kluczowe różnice.

Zestaw funkcji Profil służbowy (BYOD) Dedykowane (kiosk) Pełne zarządzanie
Zarządzany profil poczty e-mail ×
Zarządzany profil sieci Wi-Fi
Profil zarządzanej sieci VPN ×
Profil certyfikatu PROTOKOŁU SCEP
Profil certyfikatu PKCS ×
Profil zaufanego certyfikatu
Profil niestandardowy × x
Zapobieganie resetowaniu do ustawień fabrycznych ×
Blokuj przechwytywanie aparatu i ekranu
Blokuj przyciski regulacji głośności ×
Blokuj kopiowanie i wklejanie/udostępnianie danych
Hasło zarządzane
Aplikacje zarządzane (wymagane)
Aplikacje zarządzane (dostępne) ×
Profil konteneryzowany × x
Zarządzanie urządzeniami na poziomie kiosku × x
Zarządzanie urządzeniami osobiste × x
Rejestracja oparta na komunikacji NFC ×
Rejestracja oparta na tokenach ×
Rejestracja oparta na kodzie QR ×
Zero Touch ×
Zgodność/dostęp warunkowy ×

Aby uzyskać więcej informacji, zobacz Implementowanie planu usługi Microsoft Intune.

Łączenie konta usługi Intune z kontem systemu Android enterprise

Pierwszym krokiem do skonfigurowania rozwiązania Android enterprise w środowisku jest połączenie konta dzierżawy usługi Intune z kontem rozwiązania Android enterprise:

  1. Utwórz konto usługi Google (@gmail.com).

    Uwaga 16.

    To konto zostanie skojarzone ze wszystkimi zadaniami zarządzania systemem Android enterprise dla dzierżawy. Jest to konto Google, które administratorzy IT Twojej firmy będą udostępniać w celu zarządzania aplikacjami i publikowania ich w konsoli Google Play. Możesz użyć istniejącego konta Google lub utworzyć nowe. Używane konto nie może być skojarzone z domeną usługi G-Suite.

  2. Zaloguj się do centrum administracyjnego usługi Microsoft Intune przy użyciu konta administratora globalnego licencji usługi Intune.

  3. Przejdź do pozycji Urządzenia Z>zarządzanego sklepu Google Play dla systemu Android>,>wybierz pozycję Zgadzam się, a następnie wybierz pozycję Uruchom google, aby połączyć się teraz, aby otworzyć witrynę internetową zarządzanego sklepu Google Play.

    Zrzut ekranu przedstawiający stronę zarządzanego sklepu Google Play, na której można uruchomić usługę Google w celu nawiązania połączenia.

  4. Zaloguj się do swojego konta Google, a następnie wybierz pozycję Rozpocznij.

    Wybierz pozycję Rozpocznij stronę.

  5. Wprowadź nazwę firmy, a następnie wybierz pozycję Dalej.

    Wprowadź stronę nazwy firmy.

  6. Zaakceptuj warunki, a następnie wybierz pozycję Potwierdź.

  7. Wybierz pozycję Ukończ rejestrację.

    Wybierz pozycję Ukończ rejestrację strony.

Aby uzyskać więcej informacji, zobacz Łączenie konta usługi Intune z kontem zarządzanego sklepu Google Play.

Wdrażanie aplikacji

Po nawiązaniu połączenia konta usługi Intune z kontem systemu Android enterprise możesz wdrożyć niektóre aplikacje, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune przy użyciu konta administratora globalnego licencji usługi Intune.

  2. Przejdź do pozycji Aplikacje>Wszystkie aplikacje>Dodaj.

  3. W okienku Wybierz typ aplikacji znajdź dostępne typy aplikacji ze Sklepu, a następnie wybierz pozycję Zarządzana aplikacja Google Play.

  4. Wybierz pozycję Wybierz. Zostanie wyświetlony zarządzany sklep z aplikacjami Ze sklepu Google Play .

    Zarządzany sklep z aplikacjami Ze sklepu Google Play.

  5. Wyszukaj aplikację, aby wyświetlić szczegóły aplikacji. Przykład: Intune — Portal firmy aplikacji.

  6. Na stronie wyświetlającej aplikację wybierz pozycję Zatwierdź. Zostanie otwarte okno aplikacji z monitem o nadanie aplikacji uprawnień do wykonywania różnych operacji.

    Wybierz pozycję Zatwierdź w przykładowym Intune — Portal firmy.

  7. Wybierz ponownie pozycję Zatwierdź , aby zaakceptować uprawnienia aplikacji.

    Wybierz ponownie pozycję Zatwierdź, aby zaakceptować uprawnienia aplikacji.

  8. Na karcie Ustawienia zatwierdzania wybierz pozycję Zachowaj zatwierdzenie, gdy aplikacja żąda nowych uprawnień, a następnie wybierz pozycję Zapisz.

    Wybierz pozycję Zachowaj zatwierdzenie, gdy aplikacja żąda nowych uprawnień na karcie Ustawienia zatwierdzania.

  9. Kliknij pozycję Wybierz , aby wybrać aplikację.

  10. Wybierz pozycję Synchronizuj u góry, aby zsynchronizować aplikację z usługą Managed Google Play.

  11. Wybierz pozycję Odśwież , aby zaktualizować listę aplikacji i wyświetlić nowo dodaną aplikację.

    Uwaga 16.

    Synchronizacja aplikacji między usługą Intune a zarządzanym sklepem Google Play jest ręczna. W związku z tym należy wybrać przycisk Synchronizuj za każdym razem, gdy zatwierdzisz nową aplikację.

  12. Po dodaniu aplikacji do usługi Microsoft Intune możesz przypisać aplikację do użytkowników i urządzeń. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Aplikacje>wszystkie aplikacje. Spójrz w obszarze Zarządzaj , aby wyświetlić aplikację wyświetlaną na liście.

    Strona Wszystkie aplikacje w centrum administracyjnym usługi Microsoft Intune.

  13. Aby przypisać aplikację do grupy, wybierz aplikację, którą chcesz przypisać. W sekcji Zarządzanie w menu wybierz pozycję Właściwości, a następnie wybierz pozycję Edytuj obok pozycji Przypisania, aby otworzyć okienko Dodawanie grupy.

    Wybierz pozycję Właściwości, a następnie przypisań.

  14. Na karcie Przypisania w obszarze Wymagane wybierz pozycję Dodaj grupę, wybierz grupy do uwzględnienia, a następnie wybierz pozycję Wybierz.

    Wybierz pozycję Dodaj grupę w obszarze wymaganym.

  15. W okienku Przypisywanie wybierz pozycję Przejrzyj i zapisz , aby ukończyć wybór uwzględnionych grup.

  16. W okienku Przypisania wybierz pozycję Zapisz , aby zapisać zmiany.

  17. Wróć do widoku Właściwości aplikacji i sprawdź aplikację w obszarze Przypisania.

    Potwierdź przypisanie aplikacji.

Aby uzyskać więcej informacji na temat wdrażania aplikacji, zobacz Dodawanie aplikacji systemowych systemu Android Enterprise do usługi Microsoft Intune.

Włączanie rejestracji profilu służbowego systemu Android enterprise

  1. W portalu usługi Intune przejdź do pozycji Ograniczenia rejestracji urządzeń>, a następnie wybierz pozycję Domyślne w obszarze Ograniczenia typu urządzenia.

    Ekran Ograniczenia typu urządzenia.

  2. Wybierz pozycję Właściwości>Wybierz platformy, wybierz pozycję Blokuj dla systemu Android, wybierz pozycję Zezwalaj na profil służbowy systemu Android, wybierz przycisk OK, a następnie wybierz pozycję Zapisz, aby zapisać zmiany.

    Ekran właściwości rejestracji.

    Uwaga 16.

    Ograniczenia domyślne mają najniższy priorytet i mają zastosowanie do wszystkich użytkowników. Nie można go edytować. Podczas tworzenia dodatkowych ograniczeń niestandardowych należy pamiętać o grupach, do których są przypisane, aby nie tworzyć konfliktów z tą konfiguracją.

Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji urządzeń z profilem służbowym systemu Android Enterprise.

Konfigurowanie dostępu warunkowego

  1. Wdróż aplikację Gmail lub aplikację Nine Work zgodnie z wymaganiami.

  2. Utwórz profil poczty e-mail w aplikacji, wykonując następujące kroki:

    1. W witrynie Intune Azure Portal wybierz pozycję Profile>konfiguracji>urządzeń Utwórz profil, a następnie wprowadź nazwę i opis profilu poczty e-mail.

    2. Wybierz pozycję Android enterprise z listy rozwijanej Platforma .

    3. W obszarze Tylko profil służbowy wpisz typ>profilu służbowego wybierz pozycję Poczta e-mail.

    4. Skonfiguruj ustawienia profilu poczty e-mail.

      Skonfiguruj ustawienia profilu poczty e-mail.

      Aby uzyskać więcej informacji na temat tych ustawień, zobacz Ustawienia urządzeń z systemem Android służące do konfigurowania poczty e-mail, uwierzytelniania i synchronizacji w usłudze Intune.

  3. Po utworzeniu profilu poczty e-mail przypisz go do grup.

    Ekran Przypisania.

  4. Konfigurowanie dostępu warunkowego opartego na urządzeniach.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu warunkowego dla urządzeń z profilem służbowym systemu Android.

Rejestrowanie urządzenia z systemem Android enterprise

  1. Zaloguj się przy użyciu konta służbowego, a następnie naciśnij pozycję Zarejestruj teraz.

    Zarejestruj teraz ekran.

  2. Na ekranie Konfiguracja dostępu naciśnij pozycję Kontynuuj.

    Ekran Konfiguracja dostępu.

  3. Na ekranie zasad zachowania poufności informacji naciśnij pozycję Kontynuuj.

    Ekran oświadczenia o ochronie prywatności.

  4. Na ekranie Co dalej naciśnij przycisk Dalej.

    Co dalej.

  5. Na ekranie Konfigurowanie profilu służbowego naciśnij pozycję Akceptuj.

    Konfigurowanie ekranu profilu służbowego.

  6. Na ekranie Aktywowanie profilu służbowego naciśnij pozycję Kontynuuj.

    Aktywowanie ekranu profilu służbowego.

    Uwaga 16.

    W górnej części widać ikonę znaczka, co oznacza, że jesteś teraz w profilu służbowym.

  7. Na ekranie Wszystko gotowe naciśnij pozycję Gotowe.

    Cały ekran jest ustawiony.

  8. Teraz możesz zalogować się do usługi Gmail. Po wyświetleniu monitu o zaktualizowanie ustawień zabezpieczeń naciśnij pozycję AKTUALIZUJ TERAZ.

    Ekran aktualizacji zabezpieczeń.

  9. Naciśnij pozycję Aktywuj, aby aktywować usługę Gmail jako administrator urządzeń.

    Ekran administratora urządzenia.

Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń z systemem Android.

Resetowanie kodów dostępu profilu służbowego systemu Android

  1. Utwórz profil urządzenia, który wymaga kodu dostępu profilu służbowego, wykonując następujące kroki:

    1. W witrynie Intune Azure Portal wybierz pozycję Profile>konfiguracji>urządzeń Utwórz profil, wprowadź nazwę i opis profilu.

    2. Wybierz pozycję Android enterprise z listy rozwijanej Platforma .

    3. W obszarze Tylko profil służbowy wpisz typ>profilu służbowego wybierz pozycję Ograniczenia urządzeń.

    4. W obszarze Ustawienia profilu służbowego wybierz pozycję Wymagaj w obszarze Wymagaj hasła profilu służbowego.

      Strona właściwości profilu służbowego.

  2. Na urządzeniu z systemem Android Enterprise zostanie wyświetlony monit o ustawienie kodu dostępu profilu służbowego, jeśli go nie ustawiono.

  3. Poczekaj na wyświetlenie drugiego monitu z komunikatem Secure your Work Profile (Zabezpieczanie profilu służbowego — autoryzowanie pomocy technicznej twojej firmy w celu zdalnego resetowania hasła profilu służbowego). Wprowadź kod dostępu, aby autoryzować resetowanie. Aktywuje token resetowania hasła, który usługa Intune musi wykonać tę akcję pomyślnie.

    Zabezpieczanie ekranu profilu służbowego.

    Uwaga 16.

    Jeśli pominiesz którykolwiek z tych kroków, zostanie wyświetlony następujący komunikat o błędzie:
    Inicjowanie kodu dostępu resetowania nie powiodło się

  4. Wybierz pozycję Resetuj kod dostępu.

    Resetuj ekran kodu dostępu.

  5. Po zakończeniu resetowania zostanie wyświetlony tymczasowy kod dostępu.

    Resetuj ukończony ekran kodu dostępu.

  6. Wprowadź ten tymczasowy kod dostępu na urządzeniu.

  7. Jeśli musisz ustawić nowy numer PIN, musisz ponownie wprowadzić ten tymczasowy kod dostępu, a następnie wprowadzić nowy numer PIN.

Aby uzyskać więcej informacji na temat resetowania kodu dostępu, zobacz Resetowanie kodów dostępu profilu służbowego systemu Android.

Często zadawane pytania

  • Pytanie: Dlaczego aplikacje niezatwierdzone ze sklepu Google Play for Work nie są usuwane ze strony Aplikacje mobilne w portalu administracyjnym usługi Intune?

    Odpowiedź: To zachowanie jest oczekiwane.

  • Pytanie: Dlaczego zarządzane aplikacje ze sklepu Google Play nie są raportowane w obszarze Odnalezione aplikacje w portalu usługi Intune?

    Odpowiedź: To zachowanie jest oczekiwane.

  • Pytanie: Dlaczego zarządzane aplikacje ze sklepu Google Play, które nie są wdrażane za pośrednictwem usługi Intune, są wyświetlane w profilu służbowym?

    Odpowiedź: Aplikacje systemowe można włączyć w profilu służbowym przez producenta OEM urządzenia w momencie utworzenia profilu służbowego. Nie jest on kontrolowany przez dostawcę zarządzania urządzeniami przenośnymi.

    Aby rozwiązać problemy, wykonaj następujące kroki:

    1. Zbierz dzienniki Portal firmy.
    2. Zwróć uwagę na wszystkie aplikacje, które są nieoczekiwanie wyświetlane w profilu służbowym.
    3. Wyrejestrowywanie urządzenia z usługi Intune i odinstalowywanie Portal firmy.
    4. Zainstaluj aplikację Test DPC , która umożliwia tworzenie profilu służbowego bez EMM na potrzeby testowania.
    5. Postępuj zgodnie z instrukcjami w artykule Testowanie DPC , aby utworzyć profil służbowy na urządzeniu.
    6. Przejrzyj aplikacje, które są wyświetlane w profilu służbowym.
    7. Jeśli te same aplikacje są wyświetlane w aplikacji Test DPC, aplikacje są oczekiwane przez producenta OEM dla tego urządzenia.
  • Pytanie: Dlaczego opcja Wyczyść (resetowanie do ustawień fabrycznych) jest niedostępna dla mojego urządzenia zarejestrowanego w profilu służbowym?

    Odpowiedź: To zachowanie jest oczekiwane. W scenariuszu profilu służbowego dostawca oprogramowania MDM nie ma pełnej kontroli nad urządzeniem. Jedyną dostępną opcją jest Wycofanie (Usuwanie danych firmy), która usuwa cały profil służbowy i całą jego zawartość.

  • Pytanie: Dlaczego nie mogę znaleźć ścieżki pliku Wewnętrzny magazyn/Android/Data.com.microsoft.windowsintune.companyportal/files na moim urządzeniu zarejestrowanym w profilu służbowym w celu ręcznego zbierania dzienników Portal firmy?

    Odpowiedź: To zachowanie jest oczekiwane. Ta ścieżka jest tworzona tylko dla scenariusza Administratora urządzenia (starsza wersja rejestracji systemu Android).

    Aby zebrać dzienniki, wykonaj następujące kroki:

    1. W aplikacji Portal firmy z znaczkiem naciśnij pozycję Menu>Pomoc>techniczna poczty e-mail, a następnie naciśnij pozycję Wyślij wiadomość e-mail i przekaż dzienniki.
    2. Po wyświetleniu monitu z prośbą o pomoc wybierz jedną z aplikacji Poczta e-mail.
    3. Wiadomość e-mail jest generowana dla administratora IT z identyfikatorem zdarzenia, który można przekazać do pomocy technicznej produktów firmy Microsoft.
  • Pytanie: Sprawdziłem czas ostatniej synchronizacji zarządzanego sklepu Google Play i nie został on zaktualizowany w dniach. Dlaczego?

    Odpowiedź: To zachowanie jest oczekiwane. Synchronizacja jest wyzwalana tylko w przypadku ręcznego wykonania tej czynności.

  • Pytanie: Czy aplikacje internetowe są obsługiwane dla urządzeń zarejestrowanych w profilu służbowym?

    Odpowiedź: Tak. Aplikacje internetowe (lub linki internetowe) są obsługiwane w przypadku wszystkich scenariuszy systemu Android Enterprise.

  • Pytanie: Czy jest obsługiwane resetowanie kodu dostępu urządzenia?

    Odpowiedź: W przypadku urządzeń zarejestrowanych w profilu służbowym można zresetować kod dostępu profilu służbowego tylko na urządzeniach z systemem Android 8.0 lub nowszym, jeśli kod dostępu profilu służbowego jest zarządzany, a użytkownik zezwolił na jego zresetowanie. W przypadku dedykowanych i w pełni zarządzanych urządzeń obsługiwane jest resetowanie kodu dostępu urządzenia.

  • Pytanie: Moje urządzenie jest wymagane do szyfrowania podczas rejestracji. Czy istnieje możliwość wyłączenia szyfrowania?

    Odpowiedź: Nie. Szyfrowanie jest wymagane przez firmę Google dla profilu służbowego.

  • Pytanie: Dlaczego urządzenia firmy Samsung blokują korzystanie z klawiatur innych firm, takich jak SwiftKey?

    Odpowiedź: Firma Samsung zaczęła wymuszać to na urządzeniach z systemem Android 8.0 lub nowszym. Firma Microsoft pracuje obecnie z firmą Samsung nad tym problemem i opublikuje nowe informacje, gdy są dostępne.