Настройка регистрации в Intune для корпоративных устройств Android Enterprise с рабочим профилем

Корпоративные устройства Android Enterprise с рабочим профилем — это устройства с одним пользователем, предназначенные для корпоративного и личного использования.

Конечные пользователи могут хранить свои рабочие и персональные данные отдельно и гарантировать, что персональные данные и приложения останутся конфиденциальными. Администраторы могут управлять некоторыми параметрами и функциями для всего устройства, в том числе следующими.

• Настройка требований для пароля устройства.
• Управление подключением Bluetooth и роумингом данных.
• Настройка защиты от сброса к заводским настройкам.

Intune помогает развертывать приложения и параметры на корпоративных устройствах с Android Enterprise с рабочим профилем. Дополнительные сведения об Android Enterprise см. в статье Требования Android Enterprise.

Требования к устройству

Устройства должны удовлетворять следующим требованиям, чтобы ими можно было управлять как корпоративными устройствами Android Enterprise с рабочим профилем.

• ОС Android версии 8.0 и более поздней.
• Устройства должны использовать версию Android с подключением к Google Mobile Services (GMS). Устройства должны иметь доступ к GMS и возможность подключиться к GMS.

Настройка управления корпоративным устройством Android Enterprise с рабочим профилем

Следуйте инструкциями по настройке управления корпоративным устройством Android Enterprise с рабочим профилем.

1. Чтобы подготовиться к управлению мобильными устройствами, нужно установить Microsoft Intune в качестве центра управления мобильными устройствами (MDM) для получения инструкций. Этот параметр указывается только один раз при первой настройке Intune для управления мобильными устройствами.
2. Подключите учетную запись клиента Intune к учетной записи управляемого Google Play.
3. Создайте профиль регистрации.
4. Создайте группу устройств.
5. Зарегистрируйте корпоративные устройства с рабочим профилем.

Создание профиля регистрации

Примечание.

• Срок действия токенов для корпоративных устройств с рабочим профилем не истекает автоматически. Если администратор решает отозвать токен, связанный с ним профиль не будет отображаться в разделе Устройства>Android>Регистрации устройств Android>Корпоративные устройства с рабочим профилем. Чтобы просмотреть все профили, связанные с активными и неактивными маркерами, щелкните Фильтр и установите флажки для состояний политики "Активно" и "Не активно".
• Методы регистрации afw#setup и NFC поддерживаются только на устройствах с корпоративным рабочим профилем (COPE) под управлением Android версий 8–10. Для устройств с Android 11 эти методы недоступны. Дополнительные сведения см. в документации разработчиков Google здесь.

Необходимо создать профиль регистрации, чтобы пользователи могли регистрировать корпоративные устройства с рабочим профилем. При создании профиля вы получаете токен регистрации (случайная строка) и QR-код. В зависимости от версии Android и устройства вы можете использовать токен или QR-код для регистрации выделенного устройства.

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в разделРегистрацияустройств>.

3. Перейдите на вкладку Android .

4. В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные устройства с рабочим профилем.

5. Выберите Create профиль.

6. Введите основные сведения о профиле:

   • Имя. Присвойте профилю имя. Запишите имя ниже, так как оно понадобится при настройке динамической группы устройств.

   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

   • Тип маркера. Выберите тип маркера, который вы хотите использовать для регистрации устройств. Дополнительные сведения см. в разделе Типы маркеров в этой статье. Доступны следующие параметры:

     • Корпоративный с рабочим профилем (по умолчанию)

     • Корпоративный с рабочим профилем через промежуточное хранение

   • Дата окончания срока действия маркера: доступно только с промежуточным маркером. Введите дату истечения срока действия маркера до 65 лет в будущем. Допустимый формат даты: MM/DD/YYYY или YYYY-MM-DD срок действия токена истекает в выбранную дату в 12:59:59 в часовом поясе, который он был создан.

7. Нажмите кнопку Далее , чтобы перейти к разделу Теги области.

8. При необходимости примените один или несколько тегов область, чтобы ограничить видимость и управление ограничениями для определенных пользователей администраторов в Intune. Дополнительные сведения об использовании тегов область см. в статье Использование управления доступом на основе ролей (RBAC) и тегов область для распределенных ИТ-служб.

9. Нажмите кнопку Далее, чтобы продолжить Create + проверка.

10. Просмотрите выбранные варианты и выберите Create, чтобы завершить создание профиля.

Маркер регистрации доступа

Когда вы создадите профиль, Intune создаст маркер, необходимый для регистрации.

1. Вернитесь враздел Регистрацияустройств> и выберите вкладку Android.

2. В разделе Профили регистрации выберите Корпоративные устройства с рабочим профилем.

3. Из списка выберите свой профиль регистрации.

4. Выберите Маркер.

Другой способ найти маркер:

1. Найдите свой профиль в списке и выберите меню Дополнительно (...) рядом с ним.

2. Выберите Просмотреть маркер регистрации.

Маркер отображается в виде восьмизначной строки и QR-кода. Используйте этот маркер для регистрации на основе механизмов регистрации, описанных в документе о регистрации корпоративных устройств Android Enterprise.

Отзыв или экспорт маркеров

• Отменить токен. Вы можете незамедлительно прекратить действие токена или QR-кода. С этого момента токен или QR-код будут недействительны. Эту опцию можно использовать, если вы:

  • Случайно предоставить общий доступ к маркеру или QR-коду неавторизованной стороне.
  • Завершите все регистрации и больше не требуется маркер или QR-код.

• Экспорт маркера. Вы можете экспортировать содержимое JSON маркера или QR-кода. Этот параметр можно использовать для копирования или вставки содержимого JSON для нулевой регистрации касания (ZTE) или регистрации Knox Mobile Enrollment (KME).

Отзыв или экспорт маркера или QR-кода не влияет на уже зарегистрированные устройства.

1. В Центре администрирования перейдите в раздел Регистрация устройств>.
2. Перейдите на вкладку Android .
3. В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные устройства с рабочим профилем.
4. Выберите нужный профиль.
5. Выберите Токен.
6. Чтобы отозвать токен, нажмите Отозвать токен>Да.
7. Чтобы экспортировать маркер, выберите Экспорт токена.

Создание группы устройств

Вы можете выбирать приложения и политики для назначенных или динамических групп устройств. Вы можете настроить динамические Microsoft Entra группы устройств для автоматического заполнения устройств, зарегистрированных с помощью определенного профиля регистрации, выполнив следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. Перейдите в Группы>Все группы>Новая группа.
3. Заполните обязательные поля следующим образом:
   • Тип группы: безопасность
   • Имя группы: введите интуитивно понятное имя, например устройства фабрики 1.
   • Тип членства: динамическое устройство
4. Выберите Добавить динамический запрос.
5. Для правил динамического членства заполните поля следующим образом:
   • Добавить правило динамического членства: простое правило
   • Место добавления устройств: enrollmentProfileName
   • В среднем поле выберите Равно.
   • В последнем поле введите имя профиля регистрации, который был создан ранее. Дополнительные сведения о правилах динамического членства см. в статье Правила динамического членства для групп в Microsoft Entra ID.
6. Выберите Добавить запрос>Создать.

Регистрация корпоративных устройств с рабочим профилем

Теперь пользователи могут регистрировать корпоративные устройства с рабочим профилем.

Примечание.

Приложение Microsoft Intune устанавливается автоматически во время регистрации. Это приложение требуется для регистрации и не может быть удалено. Если вы развернете приложение Корпоративный портал Intune на устройстве и пользователь попытается запустить приложение, оно будет перенаправлено в приложение Microsoft Intune, а значок приложения Корпоративный портал будет скрыт.

Типы маркеров

При создании профиля регистрации в Центре администрирования необходимо выбрать тип маркера. Существует два типа маркеров. Каждый тип включает разные потоки регистрации.

Маркер по умолчанию, корпоративный рабочий профиль, регистрирует устройства в Microsoft Intune в качестве стандартных корпоративных устройств Android Enterprise с рабочими профилями. Для этого маркера необходимо выполнить действия по предварительной подготовке перед распространением устройств. Конечные пользователи выполняют оставшиеся действия на устройстве при входе с помощью рабочей или учебной учетной записи.

Промежуточный маркер устройства, корпоративный рабочий профиль, через промежуточное хранение, регистрирует устройства в Microsoft Intune в промежуточном режиме, чтобы вы или сторонний поставщик могли выполнить все действия по предварительной подготовке. Конечные пользователи завершают последний шаг подготовки, войдя в приложение Microsoft Intune с помощью рабочей или учебной учетной записи. Устройства готовы к использованию при входе. Intune поддерживает промежуточное хранение устройств Android Enterprise под управлением Android 8 или более поздней версии.

Дополнительные сведения см. в разделе Общие сведения о промежуточном управлении устройствами.

Управление приложениями на корпоративных устройствах Android Enterprise с рабочим профилем

Приложения устанавливаются из управляемого магазина Google Play так же, как и устройства с личным рабочим профилем Android Enterprise.

Приложения обновляются автоматически на управляемых устройствах, когда разработчик приложения публикует обновление в Google Play.

Чтобы удалить приложение с устройств корпоративного рабочего профиля Android Enterprise, можно выполнить следующие действия:

• Удалите развертывание обязательного приложения.
• Создайте развертывание удаления для приложения.

Дальнейшие действия

• Развертывание приложений Android
• Добавление политик конфигурации Android