Kompleksowe wskazówki dotyczące konfigurowania urządzeń z systemem Android enterprise w usłudze Microsoft Intune
Ten przewodnik ułatwia administratorom zrozumienie sposobu konfigurowania i rozwiązywania problemów z urządzeniami z systemem Android enterprise w środowisku usługi Microsoft Intune. Obejmuje on następujące typowe scenariusze:
- Dołączanie do google
- Wdrażanie aplikacji
- Włączanie rejestracji profilu służbowego
- Konfigurowanie dostępu warunkowego
- Środowisko użytkownika końcowego rejestracji profilu służbowego
- Resetowanie kodu dostępu profilu służbowego
Ułatwia to podjęcie decyzji, która funkcja zarządzania jest najlepsza dla twojej organizacji i zawiera często zadawane pytania dotyczące systemu Android enterprise.
Ocena potrzeb
Przed włączeniem urządzeń z systemem Android enterprise w usłudze Intune należy określić, czy chcesz zarejestrować te urządzenia jako urządzenia osobiste (Bring Your Own Device, BYOD) lub jako urządzenia firmowe.
Urządzenia BYOD
Urządzenia BYOD są skonfigurowane tak, aby miały profil służbowy systemu Android Enterprise. Ta funkcja jest wbudowana w system Android 5.1 i nowsze wersje. Ta funkcja umożliwia przechowywanie aplikacji służbowych i danych w osobnym, samodzielnym miejscu zarządzanym przez firmę na urządzeniu. Ze względu na to, że osobiste aplikacje i dane pozostają na urządzeniu w profilu osobistym użytkownika, pracownicy mogą nadal używać swojego urządzenia, tak jak zwykle.
Urządzenia firmowe
Istnieją dwie opcje dla urządzeń należących do firmy, a każda z nich obsługuje unikatowy przypadek użycia:
Urządzenia dedykowane (wcześniej znane jako COSU lub należące do firmy — pojedyncze użycie).
Uwaga 16.
Przykład użyty w tym przewodniku koncentruje się na scenariuszach BYOD. Aby uzyskać więcej informacji na temat scenariuszy dedykowanych urządzeń (COSU), zobacz CoSU Configuration and Enrollment using the QR code enrollment method (Konfiguracja i rejestracja COSU przy użyciu metody rejestracji kodu QR).
Urządzenia dedykowane są zwykle blokowane w jednej aplikacji lub w zestawie aplikacji (nazywanym również trybem kiosku). Dzięki niej administrator może kontrolować takie elementy jak pasek stanu, układy klawiatury, ekran blokady i inne ustawienia na urządzeniu. Uniemożliwia to użytkownikom włączanie innych aplikacji lub zmienianie niektórych ustawień na dedykowanych urządzeniach.
Uwaga 16.
Urządzenia zarządzane w ten sposób są rejestrowane w usłudze Intune bez konta użytkownika i nie są skojarzone z żadnym użytkownikiem końcowym. Nie są one przeznaczone do użytku osobistego lub aplikacji, które mają silne wymaganie dotyczące danych konta specyficznego dla użytkownika, takich jak Outlook lub Gmail.
W pełni zarządzane urządzenia (wcześniej znane jako COBO lub należące tylko do firmy).
Uwaga 16.
Aby uzyskać więcej informacji na temat w pełni zarządzanych urządzeń, zobacz Konfigurowanie rejestracji w usłudze Intune w pełni zarządzanych urządzeń z systemem Android Enterprise.
W pełni zarządzane urządzenia mieszczą się w bardziej skoncentrowanym na użytkowniku scenariuszu. Jeden użytkownik jest skojarzony z urządzeniem, podczas gdy administrator nadal zachowuje pełną kontrolę nad urządzeniem (w przeciwieństwie do scenariusza profilu służbowego, w którym wielu użytkowników ma kontrolę).
Podczas podejmowania decyzji o sposobie rejestrowania urządzeń należy pamiętać, że nie wszystkie funkcje są dostępne dla obu metod. W poniższej tabeli przedstawiono pewne kluczowe różnice.
Zestaw funkcji | Profil służbowy (BYOD) | Dedykowane (kiosk) | Pełne zarządzanie |
---|---|---|---|
Zarządzany profil poczty e-mail | ✓ | × | ✓ |
Zarządzany profil sieci Wi-Fi | ✓ | ✓ | ✓ |
Profil zarządzanej sieci VPN | ✓ | × | ✓ |
Profil certyfikatu PROTOKOŁU SCEP | ✓ | ✓ | ✓ |
Profil certyfikatu PKCS | ✓ | × | ✓ |
Profil zaufanego certyfikatu | ✓ | ✓ | ✓ |
Profil niestandardowy | ✓ | × | x |
Zapobieganie resetowaniu do ustawień fabrycznych | × | ✓ | ✓ |
Blokuj przechwytywanie aparatu i ekranu | ✓ | ✓ | ✓ |
Blokuj przyciski regulacji głośności | × | ✓ | ✓ |
Blokuj kopiowanie i wklejanie/udostępnianie danych | ✓ | ✓ | ✓ |
Hasło zarządzane | ✓ | ✓ | ✓ |
Aplikacje zarządzane (wymagane) | ✓ | ✓ | ✓ |
Aplikacje zarządzane (dostępne) | ✓ | × | ✓ |
Profil konteneryzowany | ✓ | × | x |
Zarządzanie urządzeniami na poziomie kiosku | × | ✓ | x |
Zarządzanie urządzeniami osobiste | ✓ | × | x |
Rejestracja oparta na komunikacji NFC | × | ✓ | ✓ |
Rejestracja oparta na tokenach | × | ✓ | ✓ |
Rejestracja oparta na kodzie QR | × | ✓ | ✓ |
Zero Touch | × | ✓ | ✓ |
Zgodność/dostęp warunkowy | ✓ | × | ✓ |
Aby uzyskać więcej informacji, zobacz Implementowanie planu usługi Microsoft Intune.
Łączenie konta usługi Intune z kontem systemu Android enterprise
Pierwszym krokiem do skonfigurowania rozwiązania Android enterprise w środowisku jest połączenie konta dzierżawy usługi Intune z kontem rozwiązania Android enterprise:
Utwórz konto usługi Google (@gmail.com).
Uwaga 16.
To konto zostanie skojarzone ze wszystkimi zadaniami zarządzania systemem Android enterprise dla dzierżawy. Jest to konto Google, które administratorzy IT Twojej firmy będą udostępniać w celu zarządzania aplikacjami i publikowania ich w konsoli Google Play. Możesz użyć istniejącego konta Google lub utworzyć nowe. Używane konto nie może być skojarzone z domeną usługi G-Suite.
Zaloguj się do centrum administracyjnego usługi Microsoft Intune przy użyciu konta administratora globalnego licencji usługi Intune.
Przejdź do pozycji Urządzenia Z>zarządzanego sklepu Google Play dla systemu Android>,>wybierz pozycję Zgadzam się, a następnie wybierz pozycję Uruchom google, aby połączyć się teraz, aby otworzyć witrynę internetową zarządzanego sklepu Google Play.
Zaloguj się do swojego konta Google, a następnie wybierz pozycję Rozpocznij.
Wprowadź nazwę firmy, a następnie wybierz pozycję Dalej.
Zaakceptuj warunki, a następnie wybierz pozycję Potwierdź.
Wybierz pozycję Ukończ rejestrację.
Aby uzyskać więcej informacji, zobacz Łączenie konta usługi Intune z kontem zarządzanego sklepu Google Play.
Wdrażanie aplikacji
Po nawiązaniu połączenia konta usługi Intune z kontem systemu Android enterprise możesz wdrożyć niektóre aplikacje, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego usługi Microsoft Intune przy użyciu konta administratora globalnego licencji usługi Intune.
Przejdź do pozycji Aplikacje>Wszystkie aplikacje>Dodaj.
W okienku Wybierz typ aplikacji znajdź dostępne typy aplikacji ze Sklepu, a następnie wybierz pozycję Zarządzana aplikacja Google Play.
Wybierz pozycję Wybierz. Zostanie wyświetlony zarządzany sklep z aplikacjami Ze sklepu Google Play .
Wyszukaj aplikację, aby wyświetlić szczegóły aplikacji. Przykład: Intune — Portal firmy aplikacji.
Na stronie wyświetlającej aplikację wybierz pozycję Zatwierdź. Zostanie otwarte okno aplikacji z monitem o nadanie aplikacji uprawnień do wykonywania różnych operacji.
Wybierz ponownie pozycję Zatwierdź , aby zaakceptować uprawnienia aplikacji.
Na karcie Ustawienia zatwierdzania wybierz pozycję Zachowaj zatwierdzenie, gdy aplikacja żąda nowych uprawnień, a następnie wybierz pozycję Zapisz.
Kliknij pozycję Wybierz , aby wybrać aplikację.
Wybierz pozycję Synchronizuj u góry, aby zsynchronizować aplikację z usługą Managed Google Play.
Wybierz pozycję Odśwież , aby zaktualizować listę aplikacji i wyświetlić nowo dodaną aplikację.
Uwaga 16.
Synchronizacja aplikacji między usługą Intune a zarządzanym sklepem Google Play jest ręczna. W związku z tym należy wybrać przycisk Synchronizuj za każdym razem, gdy zatwierdzisz nową aplikację.
Po dodaniu aplikacji do usługi Microsoft Intune możesz przypisać aplikację do użytkowników i urządzeń. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Aplikacje>wszystkie aplikacje. Spójrz w obszarze Zarządzaj , aby wyświetlić aplikację wyświetlaną na liście.
Aby przypisać aplikację do grupy, wybierz aplikację, którą chcesz przypisać. W sekcji Zarządzanie w menu wybierz pozycję Właściwości, a następnie wybierz pozycję Edytuj obok pozycji Przypisania, aby otworzyć okienko Dodawanie grupy.
Na karcie Przypisania w obszarze Wymagane wybierz pozycję Dodaj grupę, wybierz grupy do uwzględnienia, a następnie wybierz pozycję Wybierz.
W okienku Przypisywanie wybierz pozycję Przejrzyj i zapisz , aby ukończyć wybór uwzględnionych grup.
W okienku Przypisania wybierz pozycję Zapisz , aby zapisać zmiany.
Wróć do widoku Właściwości aplikacji i sprawdź aplikację w obszarze Przypisania.
Aby uzyskać więcej informacji na temat wdrażania aplikacji, zobacz Dodawanie aplikacji systemowych systemu Android Enterprise do usługi Microsoft Intune.
Włączanie rejestracji profilu służbowego systemu Android enterprise
W portalu usługi Intune przejdź do pozycji Ograniczenia rejestracji urządzeń>, a następnie wybierz pozycję Domyślne w obszarze Ograniczenia typu urządzenia.
Wybierz pozycję Właściwości>Wybierz platformy, wybierz pozycję Blokuj dla systemu Android, wybierz pozycję Zezwalaj na profil służbowy systemu Android, wybierz przycisk OK, a następnie wybierz pozycję Zapisz, aby zapisać zmiany.
Uwaga 16.
Ograniczenia domyślne mają najniższy priorytet i mają zastosowanie do wszystkich użytkowników. Nie można go edytować. Podczas tworzenia dodatkowych ograniczeń niestandardowych należy pamiętać o grupach, do których są przypisane, aby nie tworzyć konfliktów z tą konfiguracją.
Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji urządzeń z profilem służbowym systemu Android Enterprise.
Konfigurowanie dostępu warunkowego
Wdróż aplikację Gmail lub aplikację Nine Work zgodnie z wymaganiami.
Utwórz profil poczty e-mail w aplikacji, wykonując następujące kroki:
W witrynie Intune Azure Portal wybierz pozycję Profile>konfiguracji>urządzeń Utwórz profil, a następnie wprowadź nazwę i opis profilu poczty e-mail.
Wybierz pozycję Android enterprise z listy rozwijanej Platforma .
W obszarze Tylko profil służbowy wpisz typ>profilu służbowego wybierz pozycję Poczta e-mail.
Skonfiguruj ustawienia profilu poczty e-mail.
Aby uzyskać więcej informacji na temat tych ustawień, zobacz Ustawienia urządzeń z systemem Android służące do konfigurowania poczty e-mail, uwierzytelniania i synchronizacji w usłudze Intune.
Po utworzeniu profilu poczty e-mail przypisz go do grup.
Konfigurowanie dostępu warunkowego opartego na urządzeniach.
Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu warunkowego dla urządzeń z profilem służbowym systemu Android.
Rejestrowanie urządzenia z systemem Android enterprise
Zaloguj się przy użyciu konta służbowego, a następnie naciśnij pozycję Zarejestruj teraz.
Na ekranie Konfiguracja dostępu naciśnij pozycję Kontynuuj.
Na ekranie zasad zachowania poufności informacji naciśnij pozycję Kontynuuj.
Na ekranie Co dalej naciśnij przycisk Dalej.
Na ekranie Konfigurowanie profilu służbowego naciśnij pozycję Akceptuj.
Na ekranie Aktywowanie profilu służbowego naciśnij pozycję Kontynuuj.
Uwaga 16.
W górnej części widać ikonę znaczka, co oznacza, że jesteś teraz w profilu służbowym.
Na ekranie Wszystko gotowe naciśnij pozycję Gotowe.
Teraz możesz zalogować się do usługi Gmail. Po wyświetleniu monitu o zaktualizowanie ustawień zabezpieczeń naciśnij pozycję AKTUALIZUJ TERAZ.
Naciśnij pozycję Aktywuj, aby aktywować usługę Gmail jako administrator urządzeń.
Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń z systemem Android.
Resetowanie kodów dostępu profilu służbowego systemu Android
Utwórz profil urządzenia, który wymaga kodu dostępu profilu służbowego, wykonując następujące kroki:
W witrynie Intune Azure Portal wybierz pozycję Profile>konfiguracji>urządzeń Utwórz profil, wprowadź nazwę i opis profilu.
Wybierz pozycję Android enterprise z listy rozwijanej Platforma .
W obszarze Tylko profil służbowy wpisz typ>profilu służbowego wybierz pozycję Ograniczenia urządzeń.
W obszarze Ustawienia profilu służbowego wybierz pozycję Wymagaj w obszarze Wymagaj hasła profilu służbowego.
Na urządzeniu z systemem Android Enterprise zostanie wyświetlony monit o ustawienie kodu dostępu profilu służbowego, jeśli go nie ustawiono.
Poczekaj na wyświetlenie drugiego monitu z komunikatem Secure your Work Profile (Zabezpieczanie profilu służbowego — autoryzowanie pomocy technicznej twojej firmy w celu zdalnego resetowania hasła profilu służbowego). Wprowadź kod dostępu, aby autoryzować resetowanie. Aktywuje token resetowania hasła, który usługa Intune musi wykonać tę akcję pomyślnie.
Uwaga 16.
Jeśli pominiesz którykolwiek z tych kroków, zostanie wyświetlony następujący komunikat o błędzie:
Inicjowanie kodu dostępu resetowania nie powiodło sięWybierz pozycję Resetuj kod dostępu.
Po zakończeniu resetowania zostanie wyświetlony tymczasowy kod dostępu.
Wprowadź ten tymczasowy kod dostępu na urządzeniu.
Jeśli musisz ustawić nowy numer PIN, musisz ponownie wprowadzić ten tymczasowy kod dostępu, a następnie wprowadzić nowy numer PIN.
Aby uzyskać więcej informacji na temat resetowania kodu dostępu, zobacz Resetowanie kodów dostępu profilu służbowego systemu Android.
Często zadawane pytania
Pytanie: Dlaczego aplikacje niezatwierdzone ze sklepu Google Play for Work nie są usuwane ze strony Aplikacje mobilne w portalu administracyjnym usługi Intune?
Odpowiedź: To zachowanie jest oczekiwane.
Pytanie: Dlaczego zarządzane aplikacje ze sklepu Google Play nie są raportowane w obszarze Odnalezione aplikacje w portalu usługi Intune?
Odpowiedź: To zachowanie jest oczekiwane.
Pytanie: Dlaczego zarządzane aplikacje ze sklepu Google Play, które nie są wdrażane za pośrednictwem usługi Intune, są wyświetlane w profilu służbowym?
Odpowiedź: Aplikacje systemowe można włączyć w profilu służbowym przez producenta OEM urządzenia w momencie utworzenia profilu służbowego. Nie jest on kontrolowany przez dostawcę zarządzania urządzeniami przenośnymi.
Aby rozwiązać problemy, wykonaj następujące kroki:
- Zbierz dzienniki Portal firmy.
- Zwróć uwagę na wszystkie aplikacje, które są nieoczekiwanie wyświetlane w profilu służbowym.
- Wyrejestrowywanie urządzenia z usługi Intune i odinstalowywanie Portal firmy.
- Zainstaluj aplikację Test DPC , która umożliwia tworzenie profilu służbowego bez EMM na potrzeby testowania.
- Postępuj zgodnie z instrukcjami w artykule Testowanie DPC , aby utworzyć profil służbowy na urządzeniu.
- Przejrzyj aplikacje, które są wyświetlane w profilu służbowym.
- Jeśli te same aplikacje są wyświetlane w aplikacji Test DPC, aplikacje są oczekiwane przez producenta OEM dla tego urządzenia.
Pytanie: Dlaczego opcja Wyczyść (resetowanie do ustawień fabrycznych) jest niedostępna dla mojego urządzenia zarejestrowanego w profilu służbowym?
Odpowiedź: To zachowanie jest oczekiwane. W scenariuszu profilu służbowego dostawca oprogramowania MDM nie ma pełnej kontroli nad urządzeniem. Jedyną dostępną opcją jest Wycofanie (Usuwanie danych firmy), która usuwa cały profil służbowy i całą jego zawartość.
Pytanie: Dlaczego nie mogę znaleźć ścieżki pliku Wewnętrzny magazyn/Android/Data.com.microsoft.windowsintune.companyportal/files na moim urządzeniu zarejestrowanym w profilu służbowym w celu ręcznego zbierania dzienników Portal firmy?
Odpowiedź: To zachowanie jest oczekiwane. Ta ścieżka jest tworzona tylko dla scenariusza Administratora urządzenia (starsza wersja rejestracji systemu Android).
Aby zebrać dzienniki, wykonaj następujące kroki:
- W aplikacji Portal firmy z znaczkiem naciśnij pozycję Menu>Pomoc>techniczna poczty e-mail, a następnie naciśnij pozycję Wyślij wiadomość e-mail i przekaż dzienniki.
- Po wyświetleniu monitu z prośbą o pomoc wybierz jedną z aplikacji Poczta e-mail.
- Wiadomość e-mail jest generowana dla administratora IT z identyfikatorem zdarzenia, który można przekazać do pomocy technicznej produktów firmy Microsoft.
Pytanie: Sprawdziłem czas ostatniej synchronizacji zarządzanego sklepu Google Play i nie został on zaktualizowany w dniach. Dlaczego?
Odpowiedź: To zachowanie jest oczekiwane. Synchronizacja jest wyzwalana tylko w przypadku ręcznego wykonania tej czynności.
Pytanie: Czy aplikacje internetowe są obsługiwane dla urządzeń zarejestrowanych w profilu służbowym?
Odpowiedź: Tak. Aplikacje internetowe (lub linki internetowe) są obsługiwane w przypadku wszystkich scenariuszy systemu Android Enterprise.
Pytanie: Czy jest obsługiwane resetowanie kodu dostępu urządzenia?
Odpowiedź: W przypadku urządzeń zarejestrowanych w profilu służbowym można zresetować kod dostępu profilu służbowego tylko na urządzeniach z systemem Android 8.0 lub nowszym, jeśli kod dostępu profilu służbowego jest zarządzany, a użytkownik zezwolił na jego zresetowanie. W przypadku dedykowanych i w pełni zarządzanych urządzeń obsługiwane jest resetowanie kodu dostępu urządzenia.
Pytanie: Moje urządzenie jest wymagane do szyfrowania podczas rejestracji. Czy istnieje możliwość wyłączenia szyfrowania?
Odpowiedź: Nie. Szyfrowanie jest wymagane przez firmę Google dla profilu służbowego.
Pytanie: Dlaczego urządzenia firmy Samsung blokują korzystanie z klawiatur innych firm, takich jak SwiftKey?
Odpowiedź: Firma Samsung zaczęła wymuszać to na urządzeniach z systemem Android 8.0 lub nowszym. Firma Microsoft pracuje obecnie z firmą Samsung nad tym problemem i opublikuje nowe informacje, gdy są dostępne.