Kompleksowy przewodnik konfigurowania urządzeń z systemem Android enterprise w Microsoft Intune
Ten przewodnik ułatwia administratorom zrozumienie sposobu konfigurowania urządzeń z systemem Android enterprise i rozwiązywania problemów z nimi w środowisku Microsoft Intune. Obejmuje ona następujące typowe scenariusze:
- Dołączanie do firmy Google
- Wdrażanie aplikacji
- Włączanie rejestracji profilu służbowego
- Konfigurowanie dostępu warunkowego
- Środowisko użytkownika końcowego rejestracji profilu służbowego
- Wystawianie resetowania kodu dostępu profilu służbowego
Ułatwia to podjęcie decyzji o tym, która funkcja zarządzania jest najlepsza dla Twojej organizacji, i udostępnia często zadawane pytania dotyczące rozwiązania Android Enterprise.
Oceń swoje potrzeby
Przed włączeniem urządzeń z systemem Android enterprise w Intune należy określić, czy chcesz zarejestrować te urządzenia jako urządzenia osobiste (Przynieś własne urządzenie lub BYOD), czy jako urządzenia firmowe.
Urządzenia BYOD
Urządzenia BYOD są skonfigurowane tak, aby miały profil służbowy systemu Android Enterprise. Ta funkcja jest wbudowana w system Android 5.1 i nowsze wersje. Ta funkcja umożliwia przechowywanie aplikacji służbowych i danych w oddzielnej, samodzielnej przestrzeni zarządzanej przez firmę na urządzeniu. Ponieważ aplikacje osobiste i dane pozostają na urządzeniu w profilu osobistym użytkownika, pracownicy mogą nadal korzystać ze swojego urządzenia tak, jak zwykle.
Urządzenia firmowe
Istnieją dwie opcje dla urządzeń należących do firmy, a każda z nich obsługuje unikatowy przypadek użycia:
Dedykowane urządzenia (wcześniej znane jako COSU lub należące do firmy pojedyncze użycie).
Uwaga
Przykład użyty w tym przewodniku koncentruje się na scenariuszach BYOD. Aby uzyskać więcej informacji na temat scenariuszy dedykowanych urządzeń (COSU), zobacz CoSU Configuration and Enrollment using the QR code enrollment method (Konfiguracja cosu i rejestracja przy użyciu metody rejestracji kodu QR).
Urządzenia dedykowane są zwykle zablokowane w jednej aplikacji lub zestawie aplikacji (znanym również jako tryb kiosku). Umożliwia administratorowi kontrolowanie elementów, takich jak pasek stanu, układy klawiatury, ekran blokady i inne ustawienia na urządzeniu. Uniemożliwia to użytkownikom włączanie innych aplikacji lub zmienianie niektórych ustawień na dedykowanych urządzeniach.
Uwaga
Urządzenia zarządzane w ten sposób są rejestrowane w Intune bez konta użytkownika i nie są skojarzone z żadnym użytkownikiem końcowym. Nie są one przeznaczone do użytku osobistego aplikacji lub aplikacji, które mają duże wymagania dotyczące danych konta specyficznych dla użytkownika, takich jak Outlook lub Gmail.
W pełni zarządzane urządzenia (wcześniej nazywane cobo lub tylko firmowe).
Uwaga
Aby uzyskać więcej informacji na temat w pełni zarządzanych urządzeń, zobacz Konfigurowanie rejestracji Intune w pełni zarządzanych urządzeń z systemem Android Enterprise.
W pełni zarządzane urządzenia pasują do bardziej zorientowanego na użytkownika scenariusza. Jeden użytkownik jest skojarzony z urządzeniem, podczas gdy administrator nadal zachowuje pełną kontrolę nad urządzeniem (w przeciwieństwie do scenariusza profilu służbowego, w którym wielu użytkowników ma kontrolę).
Podczas podejmowania decyzji o sposobie rejestrowania urządzeń należy pamiętać, że nie wszystkie funkcje są dostępne dla obu metod. W poniższej tabeli przedstawiono pewne kluczowe różnice.
Zestaw funkcji | Profil służbowy (BYOD) | Dedykowany (kiosk) | W pełni zarządzane |
---|---|---|---|
Profil Email zarządzany | ✓ | × | ✓ |
Profil Wi-Fi zarządzany | ✓ | ✓ | ✓ |
Profil zarządzanej sieci VPN | ✓ | × | ✓ |
Profil certyfikatu SCEP | ✓ | ✓ | ✓ |
Profil certyfikatu PKCS | ✓ | × | ✓ |
Profil zaufanego certyfikatu | ✓ | ✓ | ✓ |
Profil niestandardowy | ✓ | × | X |
Zapobieganie resetowaniu do ustawień fabrycznych | × | ✓ | ✓ |
Blokuj przechwytywanie ekranu & aparatu | ✓ | ✓ | ✓ |
Blokuj przyciski głośności | × | ✓ | ✓ |
Blokuj kopiowanie i wklejanie/udostępnianie danych | ✓ | ✓ | ✓ |
Hasło zarządzane | ✓ | ✓ | ✓ |
Aplikacje zarządzane (wymagane) | ✓ | ✓ | ✓ |
Aplikacje zarządzane (dostępne) | ✓ | × | ✓ |
Profil konteneryzowany | ✓ | × | X |
Zarządzanie urządzeniami na poziomie kiosku | × | ✓ | X |
Zarządzanie urządzeniami osobista | ✓ | × | X |
rejestracja NFC-Based | × | ✓ | ✓ |
rejestracja Token-Based | × | ✓ | ✓ |
Rejestrowanie Code-Based QR | × | ✓ | ✓ |
Zero Touch | × | ✓ | ✓ |
Zgodność/dostęp warunkowy | ✓ | × | ✓ |
Aby uzyskać więcej informacji, zobacz Implementowanie planu Microsoft Intune.
Łączenie konta Intune z kontem przedsiębiorstwa systemu Android
Pierwszym krokiem konfigurowania systemu Android Enterprise w środowisku jest połączenie konta dzierżawy Intune z kontem przedsiębiorstwa systemu Android:
Utwórz konto usługi Google (@gmail.com).
Uwaga
To konto zostanie skojarzone ze wszystkimi zadaniami zarządzania przedsiębiorstwem systemu Android dla dzierżawy. Jest to konto Google, które administratorzy IT twojej firmy będą udostępniać w celu zarządzania aplikacjami i publikowania ich w konsoli Sklepu Google Play. Możesz użyć istniejącego konta Google lub utworzyć nowe. Używane konto nie może być skojarzone z domeną G-Suite.
Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta administratora globalnego licencjonowanego Intune.
Przejdź do pozycji Urządzenia> z systememAndroid>Enrollment>Managed Google Play, wybierz pozycję Zgadzam się, a następnie wybierz pozycję Uruchom google, aby nawiązać połączenie teraz, aby otworzyć witrynę internetową Zarządzanego sklepu Google Play.
Zaloguj się do swojego konta Google, a następnie wybierz pozycję Rozpocznij.
Wprowadź nazwę firmy, a następnie wybierz pozycję Dalej.
Zaakceptuj warunki, a następnie wybierz pozycję Potwierdź.
Wybierz pozycję Zakończ rejestrację.
Aby uzyskać więcej informacji, zobacz Łączenie konta Intune z kontem zarządzanego sklepu Google Play.
Wdrażanie aplikacji
Po nawiązaniu połączenia konta Intune z kontem przedsiębiorstwa systemu Android możesz wdrożyć niektóre aplikacje, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta administratora globalnego licencjonowanego Intune.
Przejdź do pozycji Aplikacje>Wszystkie aplikacje>Dodaj.
W okienku Wybierz typ aplikacji znajdź dostępne typy aplikacji ze Sklepu , a następnie wybierz pozycję Zarządzana aplikacja Google Play.
Wybierz pozycję Wybierz. Zostanie wyświetlony zarządzany sklep z aplikacjami Google Play .
Wyszukaj aplikację, aby wyświetlić szczegóły aplikacji. Przykład: Intune — Portal firmy aplikacji.
Na stronie z wyświetloną aplikacją wybierz pozycję Zatwierdź. Zostanie otwarte okno aplikacji z monitem o nadanie aplikacji uprawnień do wykonywania różnych operacji.
Wybierz ponownie pozycję Zatwierdź , aby zaakceptować uprawnienia aplikacji.
Na karcie Ustawienia zatwierdzania wybierz pozycję Zachowaj zatwierdzenie, gdy aplikacja zażąda nowych uprawnień, a następnie wybierz pozycję Zapisz.
Kliknij pozycję Wybierz , aby wybrać aplikację.
Wybierz pozycję Synchronizuj u góry, aby zsynchronizować aplikację z usługą Zarządzanego sklepu Google Play.
Wybierz pozycję Odśwież , aby zaktualizować listę aplikacji i wyświetlić nowo dodawaną aplikację.
Uwaga
Synchronizacja aplikacji między Intune a zarządzanym sklepem Google Play jest ręczna. W związku z tym należy wybrać przycisk Synchronizacja za każdym razem, gdy zatwierdzisz nową aplikację.
Po dodaniu aplikacji do Microsoft Intune możesz przypisać aplikację do użytkowników i urządzeń. W centrum administracyjnym Microsoft Intune przejdź do pozycji Aplikacje>wszystkie aplikacje. Zapoznaj się z obszarem Zarządzanie , aby wyświetlić aplikację na liście.
Aby przypisać aplikację do grupy, wybierz aplikację, którą chcesz przypisać. W sekcji Zarządzanie menu wybierz pozycję Właściwości, a następnie wybierz pozycję Edytuj obok pozycji Przypisania , aby otworzyć okienko Dodaj grupę .
Na karcie Przypisania w obszarze Wymagane wybierz pozycję Dodaj grupę, wybierz grupy do uwzględnienia, a następnie wybierz pozycję Wybierz.
W okienku Przypisywanie wybierz pozycję Przejrzyj i zapisz, aby ukończyć wybór uwzględnionych grup.
W okienku Przypisania wybierz pozycję Zapisz , aby zapisać zmiany.
Wróć do widoku Właściwości aplikacji i sprawdź aplikację w obszarze Przypisania.
Aby uzyskać więcej informacji na temat wdrażania aplikacji, zobacz Dodawanie aplikacji systemowych systemu Android Enterprise do Microsoft Intune.
Włączanie rejestracji profilu służbowego systemu Android Enterprise
W portalu Intune przejdź do pozycjiOgraniczenia rejestracji>urządzeń, a następnie wybierz pozycję Domyślne w obszarze Ograniczenia typu urządzenia.
Wybierz pozycję Właściwości>Wybierz platformy, wybierz pozycję Blokuj dla systemu Android, wybierz pozycję Zezwalaj na profil służbowy systemu Android, wybierz przycisk OK, a następnie wybierz pozycję Zapisz , aby zapisać zmiany.
Uwaga
Domyślne ograniczenia mają najniższy priorytet i mają zastosowanie do wszystkich użytkowników. Nie można tego edytować. Podczas tworzenia dodatkowych ograniczeń niestandardowych należy pamiętać o grupach, do których zostały przypisane, aby nie powodować konfliktu z tą konfiguracją.
Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji urządzeń z profilem służbowym systemu Android Enterprise.
Konfiguruj dostęp warunkowy
Wdróż aplikację Gmail lub aplikację Nine Work jako wymaganą.
Utwórz profil poczty e-mail w aplikacji, wykonując następujące kroki:
W Intune Azure Portal wybierz pozycjęProfile>konfiguracji> urządzeniaUtwórz profil, a następnie wprowadź nazwę i opis profilu poczty e-mail.
Wybierz pozycję Android enterprise z listy rozwijanej Platforma .
W obszarze Typ> profiluTylko profil służbowy wybierz pozycję Email.
Skonfiguruj ustawienia profilu poczty e-mail.
Aby uzyskać więcej informacji na temat tych ustawień, zobacz Ustawienia urządzenia z systemem Android do konfigurowania poczty e-mail, uwierzytelniania i synchronizacji w Intune.
Po utworzeniu profilu poczty e-mail przypisz go do grup.
Konfigurowanie dostępu warunkowego opartego na urządzeniu.
Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu warunkowego dla urządzeń z profilem służbowym systemu Android.
Rejestrowanie urządzenia z systemem Android Enterprise
Zaloguj się przy użyciu konta służbowego, a następnie naciśnij pozycję Zarejestruj teraz.
Na ekranie Konfiguracja dostępu naciśnij pozycję Kontynuuj.
Na ekranie zasad zachowania poufności informacji naciśnij pozycję Kontynuuj.
Na ekranie Co dalej naciśnij przycisk Dalej.
Na ekranie Konfigurowanie profilu służbowego naciśnij pozycjęAkceptuj.
Na ekranie Aktywuj profil służbowy naciśnij pozycję Kontynuuj.
Uwaga
U góry widać ikonę wskaźnika, co oznacza, że znajdujesz się teraz w profilu służbowym.
Na ekranie Wszystko jest ustawione naciśnij pozycję Gotowe.
Teraz możesz zalogować się do gmaila. Po wyświetleniu monitu o zaktualizowanie ustawień zabezpieczeń naciśnij pozycję AKTUALIZUJ TERAZ.
Naciśnij pozycję Aktywuj , aby aktywować usługę Gmail jako administrator urządzenia.
Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń z systemem Android.
Resetowanie kodów dostępu profilu służbowego systemu Android
Utwórz profil urządzenia, który wymaga kodu dostępu profilu służbowego, wykonując następujące kroki:
W Intune Azure Portal wybierz pozycjęProfile>konfiguracji> urządzeniaUtwórz profil, wprowadź nazwę i opis profilu.
Wybierz pozycję Android enterprise z listy rozwijanej Platforma .
W obszarze Typ> profiluTylko profil służbowy wybierz pozycję Ograniczenia urządzenia.
W obszarze Ustawienia profilu służbowego wybierz pozycję Wymagaj w obszarze Wymagaj hasła profilu służbowego.
Na urządzeniu z systemem Android enterprise zostanie wyświetlony monit o ustawienie kodu dostępu profilu służbowego, jeśli go nie ustawiono.
Zaczekaj, aż otrzymasz drugi monit z komunikatem Secure your Work Profile (Zabezpieczanie profilu służbowego) — autoryzowanie pomocy technicznej twojej firmy do zdalnego resetowania hasła profilu służbowego. Wprowadź kod dostępu, aby autoryzować resetowanie. Aktywuje on token resetowania hasła, który Intune musi pomyślnie wykonać tę akcję.
Uwaga
Jeśli pominiesz dowolny z tych kroków, zostanie wyświetlony następujący komunikat o błędzie:
Inicjowanie resetowania kodu dostępu nie powiodło sięWybierz pozycję Resetuj kod dostępu.
Po zakończeniu resetowania zostanie wyświetlony tymczasowy kod dostępu.
Wprowadź ten tymczasowy kod dostępu na urządzeniu.
Jeśli musisz ustawić nowy numer PIN, musisz ponownie wprowadzić ten tymczasowy kod dostępu, a następnie wprowadzić nowy numer PIN.
Aby uzyskać więcej informacji na temat resetowania kodu dostępu, zobacz Resetowanie kodów dostępu profilu służbowego systemu Android.
Często zadawane pytania
Pytanie: Dlaczego aplikacje niezatwierdzone ze sklepu Google Play for Work nie są usuwane ze strony usługi Mobile Apps w portalu Intune Administracja?
Odpowiedź: To zachowanie jest oczekiwane.
Pytanie: Dlaczego zarządzane aplikacje Google Play nie są raportami w obszarze Odnalezione aplikacje w portalu Intune?
Odpowiedź: To zachowanie jest oczekiwane.
Pytanie: Dlaczego zarządzane aplikacje Google Play, które nie są wdrażane za pośrednictwem Intune są wyświetlane w profilu służbowym?
Odpowiedź: Aplikacje systemowe mogą być włączone w profilu służbowym przez producenta OEM urządzenia w momencie tworzenia profilu służbowego. Nie jest on kontrolowany przez dostawcę mdm.
Aby rozwiązać problemy, wykonaj następujące kroki:
- Zbieraj dzienniki Portal firmy.
- Zanotuj wszystkie aplikacje, które pojawiają się nieoczekiwanie w profilu służbowym.
- Wyrejestruj urządzenie z Intune i odinstaluj Portal firmy.
- Zainstaluj aplikację Test DPC , która umożliwia tworzenie profilu służbowego bez modułu EMM na potrzeby testowania.
- Postępuj zgodnie z instrukcjami w temacie Testowanie DPC , aby utworzyć profil służbowy na urządzeniu.
- Przejrzyj aplikacje wyświetlane w profilu służbowym.
- Jeśli te same aplikacje są wyświetlane w aplikacji Test DPC, aplikacje są oczekiwane przez producenta OEM dla tego urządzenia.
Pytanie: Dlaczego opcja Wyczyść (Resetowanie do ustawień fabrycznych) jest niedostępna dla urządzenia zarejestrowanego w profilu służbowym?
Odpowiedź: To zachowanie jest oczekiwane. W scenariuszu profilu służbowego dostawca mdm nie ma pełnej kontroli nad urządzeniem. Jedyną dostępną opcją jest wycofanie (usuwanie danych firmy), które usuwa cały profil służbowy i całą jego zawartość.
Pytanie: Dlaczego nie mogę znaleźć ścieżki pliku Magazyn wewnętrzny/Android/Data.com.microsoft.windowsintune.companyportal/files na urządzeniu zarejestrowanym w profilu służbowym w celu ręcznego zbierania Portal firmy dzienników?
Odpowiedź: To zachowanie jest oczekiwane. Ta ścieżka jest tworzona tylko dla scenariusza Device Administracja (Starsza rejestracja w systemie Android).
Aby zbierać dzienniki, wykonaj następujące kroki:
- W aplikacji Portal firmy z znaczekiem naciśnij pozycję Menu>Pomoc>Email Obsługa, a następnie naciśnij pozycję Wyślij Email & Przekaż dzienniki.
- Po wyświetleniu monitu za pomocą polecenia Wyślij żądanie pomocy wybierz jedną z Email aplikacji.
- Wiadomość e-mail jest generowana do administratora IT z identyfikatorem zdarzenia, który można dostarczyć do pomocy technicznej firmy Microsoft.
Pytanie: Sprawdzono czas ostatniej synchronizacji zarządzanego sklepu Google Play i nie został on zaktualizowany w ciągu kilku dni. Dlaczego?
Odpowiedź: To zachowanie jest oczekiwane. Synchronizacja jest wyzwalana tylko wtedy, gdy robisz to ręcznie.
Pytanie: Czy aplikacje internetowe są obsługiwane dla urządzeń zarejestrowanych w profilu służbowym?
Odpowiedź: Tak. Aplikacje internetowe (lub linki internetowe) są obsługiwane we wszystkich scenariuszach systemu Android Enterprise.
Pytanie: Czy resetowanie kodu dostępu urządzenia jest obsługiwane?
Odpowiedź: W przypadku urządzeń zarejestrowanych w profilu służbowym można zresetować kod dostępu profilu służbowego tylko na urządzeniach z systemem Android 8.0 lub nowszym, jeśli kod dostępu profilu służbowego jest zarządzany, a użytkownik zezwolił na jego zresetowanie. W przypadku urządzeń dedykowanych i w pełni zarządzanych obsługiwane jest resetowanie kodu dostępu urządzenia.
Pytanie: Moje urządzenie musi zostać zaszyfrowane podczas rejestracji. Czy istnieje opcja wyłączenia szyfrowania?
Odpowiedź: Nie. Szyfrowanie jest wymagane przez firmę Google dla profilu służbowego.
Pytanie: Dlaczego urządzenia Firmy Samsung blokują korzystanie z klawiatur innych firm, takich jak SwiftKey?
Odpowiedź: Firma Samsung zaczęła wymuszać tę funkcję na urządzeniach z systemem Android 8.0 lub nowszym. Firma Microsoft pracuje obecnie z firmą Samsung nad tym problemem i opublikuje nowe informacje, gdy będą dostępne.