Настройка регистрации в Intune для корпоративных устройств Android Enterprise с рабочим профилем
Корпоративные устройства Android Enterprise с рабочим профилем — это устройства с одним пользователем, предназначенные для корпоративного и личного использования.
Конечные пользователи могут хранить свои рабочие и персональные данные отдельно и гарантировать, что персональные данные и приложения остаются конфиденциальными. Администраторы могут управлять некоторыми параметрами и функциями для всего устройства, в том числе следующими.
- Настройка требований для пароля устройства.
- Управление подключением Bluetooth и роумингом данных.
- Настройка защиты от сброса к заводским настройкам.
Intune помогает развертывать приложения и параметры на корпоративных устройствах с Android Enterprise с рабочим профилем. Дополнительные сведения об Android Enterprise см. в статье Требования Android Enterprise.
Требования к устройству
Устройства должны удовлетворять следующим требованиям, чтобы ими можно было управлять как корпоративными устройствами Android Enterprise с рабочим профилем.
- ОС Android версии 8.0 и более поздней.
- Устройства должны использовать версию Android с подключением к Google Mobile Services (GMS). Устройства должны иметь доступ к GMS и возможность подключиться к GMS.
Настройка управления корпоративным устройством Android Enterprise с рабочим профилем
Следуйте инструкциями по настройке управления корпоративным устройством Android Enterprise с рабочим профилем.
- Чтобы подготовиться к управлению мобильными устройствами, нужно установить Microsoft Intune в качестве центра управления мобильными устройствами (MDM) для получения инструкций. Этот параметр указывается только один раз при первой настройке Intune для управления мобильными устройствами.
- Подключите учетную запись клиента Intune к учетной записи управляемого Google Play.
- Создайте профиль регистрации.
- Создайте группу устройств.
- Зарегистрируйте корпоративные устройства с рабочим профилем.
Создание профиля регистрации
Примечание.
- Срок действия токенов для корпоративных устройств с рабочим профилем не истекает автоматически. Если администратор решит отозвать маркер, профиль, связанный с ним, не будет отображаться в разделе Устройства>По платформе>Android>Подключение> устройствРегистрация>корпоративных устройств с рабочим профилем. Чтобы просмотреть все профили, связанные с активными и неактивными маркерами, щелкните Фильтр и установите флажки для состояний политики "Активно" и "Не активно".
- Методы регистрации
afw#setup
и NFC поддерживаются только на устройствах с корпоративным рабочим профилем (COPE) под управлением Android версий 8–10. Для устройств с Android 11 эти методы недоступны. Дополнительные сведения см. в документации разработчиков Google здесь.
Необходимо создать профиль регистрации, чтобы пользователи могли регистрировать корпоративные устройства с рабочим профилем. При создании профиля вы получаете токен регистрации (случайная строка) и QR-код. В зависимости от версии Android и устройства вы можете использовать токен или QR-код для регистрации выделенного устройства.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в разделРегистрацияустройств>.
Перейдите на вкладку Android .
В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные устройства с рабочим профилем.
Выберите Создать профиль.
Введите основные сведения о профиле:
Имя. Присвойте профилю имя. Запишите имя ниже, так как оно понадобится при настройке динамической группы устройств.
Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Тип маркера. Выберите тип маркера, который вы хотите использовать для регистрации устройств. Дополнительные сведения см. в разделе Типы маркеров в этой статье. Доступны следующие параметры:
Корпоративный с рабочим профилем (по умолчанию)
Корпоративный с рабочим профилем через промежуточное хранение
Дата окончания срока действия маркера: доступно только с промежуточным маркером. Введите дату истечения срока действия маркера до 65 лет в будущем. Допустимый формат даты:
MM/DD/YYYY
илиYYYY-MM-DD
срок действия токена истекает в выбранную дату в 12:59:59 в часовом поясе, который он был создан.
Нажмите кнопку Далее , чтобы перейти к разделу Теги области.
При необходимости примените один или несколько тегов область, чтобы ограничить видимость и управление ограничениями для определенных пользователей администраторов в Intune. Дополнительные сведения об использовании тегов область см. в статье Использование управления доступом на основе ролей и область тегов для распределенных ИТ-специалистов.
Нажмите кнопку Далее , чтобы продолжить создание и проверку.
Просмотрите выбранные варианты и нажмите кнопку Создать , чтобы завершить создание профиля.
Маркер регистрации доступа
После создания профиля Intune создает маркер, необходимый для регистрации.
Вернитесь враздел Регистрацияустройств> и выберите вкладку Android.
В разделе Профили регистрации выберите Корпоративные устройства с рабочим профилем.
Из списка выберите свой профиль регистрации.
Выберите Маркер.
Другой способ найти маркер:
Найдите свой профиль в списке и выберите меню Дополнительно (...) рядом с ним.
Выберите Просмотреть маркер регистрации.
Маркер отображается в виде восьмизначной строки и QR-кода. Используйте этот маркер для регистрации на основе механизмов регистрации, описанных в документе о регистрации корпоративных устройств Android Enterprise.
Отзыв или экспорт маркеров
Отменить токен. Вы можете незамедлительно прекратить действие токена или QR-кода. С этого момента токен или QR-код будут недействительны. Эту опцию можно использовать, если вы:
- Случайно предоставить общий доступ к маркеру или QR-коду неавторизованной стороне.
- Завершите все регистрации и больше не требуется маркер или QR-код.
Экспорт маркера. Вы можете экспортировать содержимое JSON маркера или QR-кода. Этот параметр можно использовать для копирования или вставки содержимого JSON для нулевой регистрации касания (ZTE) или регистрации Knox Mobile Enrollment (KME).
Отзыв или экспорт маркера или QR-кода не влияет на уже зарегистрированные устройства.
- В Центре администрирования перейдите в раздел Регистрация устройств>.
- Перейдите на вкладку Android .
- В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные устройства с рабочим профилем.
- Выберите нужный профиль.
- Выберите Токен.
- Чтобы отозвать токен, нажмите Отозвать токен>Да.
- Чтобы экспортировать маркер, выберите Экспорт токена.
Создание группы устройств
Вы можете выбирать приложения и политики для назначенных или динамических групп устройств. Вы можете настроить динамические Microsoft Entra группы устройств для автоматического заполнения устройств, зарегистрированных с помощью определенного профиля регистрации, выполнив следующие действия.
- Войдите в Центр администрирования Microsoft Intune.
- Перейдите в Группы>Все группы>Новая группа.
- Заполните обязательные поля следующим образом:
- Тип группы: безопасность
- Имя группы: введите интуитивно понятное имя, например устройства фабрики 1.
- Тип членства: динамическое устройство
- Выберите Добавить динамический запрос.
- Для правил динамического членства заполните поля следующим образом:
- Добавить правило динамического членства: простое правило
- Место добавления устройств: enrollmentProfileName
- В среднем поле выберите Равно.
- В последнем поле введите имя профиля регистрации, который был создан ранее. Дополнительные сведения о правилах динамического членства см. в статье Правила динамического членства для групп в Microsoft Entra ID.
- Выберите Добавить запрос>Создать.
Регистрация корпоративных устройств с рабочим профилем
Теперь пользователи могут регистрировать корпоративные устройства с рабочим профилем.
Примечание.
Приложение Microsoft Intune устанавливается автоматически во время регистрации. Это приложение требуется для регистрации и не может быть удалено. Если вы развернете приложение Корпоративный портал Intune на устройстве и пользователь попытается запустить приложение, оно будет перенаправлено в приложение Microsoft Intune, а значок приложения Корпоративный портал будет скрыт.
Типы маркеров
При создании профиля регистрации в Центре администрирования необходимо выбрать тип маркера. Существует два типа маркеров. Каждый тип включает разные потоки регистрации.
Маркер по умолчанию, корпоративный рабочий профиль, регистрирует устройства в Microsoft Intune в качестве стандартных корпоративных устройств Android Enterprise с рабочими профилями. Для этого маркера необходимо выполнить действия по предварительной подготовке перед распространением устройств. Конечные пользователи выполняют оставшиеся действия на устройстве при входе с помощью рабочей или учебной учетной записи.
Промежуточный маркер устройства, корпоративный рабочий профиль, через промежуточное хранение, регистрирует устройства в Microsoft Intune в промежуточном режиме, чтобы вы или поставщик партнера могли выполнить все действия по предварительной подготовке. Конечные пользователи завершают последний шаг подготовки, войдя в приложение Microsoft Intune с помощью рабочей или учебной учетной записи. Устройства готовы к использованию при входе. Intune поддерживает промежуточное хранение устройств Android Enterprise под управлением Android 8 или более поздней версии.
Дополнительные сведения см. в разделе Общие сведения о промежуточном управлении устройствами.
Управление приложениями на корпоративных устройствах Android Enterprise с рабочим профилем
Приложения устанавливаются из управляемого магазина Google Play так же, как и устройства с личным рабочим профилем Android Enterprise.
Приложения обновляются автоматически на управляемых устройствах, когда разработчик приложения публикует обновление в Google Play.
Чтобы удалить приложение с устройств корпоративного рабочего профиля Android Enterprise, можно выполнить следующие действия:
- Удалите развертывание обязательного приложения.
- Создайте развертывание удаления для приложения.
Ограничения
Ограничения в этом разделе применяются к корпоративным устройствам с рабочим профилем.
Личное пространство — это функция, появилась в Android 15, которая позволяет пользователям создавать на устройстве пространство для конфиденциальных приложений и данных, которые они хотят скрыть. Личное пространство считается личным профилем. Microsoft Intune не поддерживает управление мобильными устройствами в частном пространстве или не предоставляет техническую поддержку для устройств, которые пытаются зарегистрировать частное пространство.