Настройка регистрации для полностью управляемых устройств Android Enterprise
Настройка полностью управляемого устройства Android Enterprise в Microsoft Intune для регистрации корпоративных устройств и управления ими. Полностью управляемое устройство связано с одним пользователем и предназначено для работы, а не для личного использования. Администратор Intune может управлять всем устройством и применять элементы управления политикой, недоступные в рабочем профиле Android Enterprise, например:
- Разрешить установку приложений только из Управляемого Google Play.
- Запретить пользователям удалять управляемые приложения.
- Запретить пользователям сбрасывать устройства до заводских настроек.
Вы и пользователи устройства можете инициировать регистрацию, введя или просканировав маркер регистрации во время настройки устройства. В этой статье описаны предварительные требования для регистрации и создание профилей и маркеров регистрации. В конце этой статьи вы будете готовы к регистрации устройств.
Шаг 1. Предварительные условия
Выполните эти предварительные требования, чтобы обеспечить успешную регистрацию.
У вас должен быть автономный клиент Intune, для центра управления мобильными устройствами (MDM) задано значение Microsoft Intune.
Устройства должны:
- Запустите ОС Android версии 8.0 и более поздних версий.
- Запустите сборку Android с подключением к мобильным службам Google.
- Будьте доступны для мобильных служб Google и сможете подключиться к ним.
При выполнении всех трех требований не существует ограничений на изготовителя устройства или изготовителя оборудования.
Убедитесь, что Android Enterprise поддерживается в вашем регионе. Требования к Android enterprise см. в статье Начало работы с Android Enterprise.
Подключите учетную запись клиента Intune к учетной записи Android Enterprise.
Процесс установки Android использует вкладку Chrome для проверки подлинности пользователей устройств во время регистрации. Если у вас есть политика условного доступа Microsoft Entra со следующими конфигурациями, необходимо исключить из нее Microsoft Intune облачное приложение:
- Для предоставления или блокировки доступа используется требование пометить устройство как соответствующее параметру.
- Политика применяется ко всем облачным приложениям, Android и браузерам.
Шаг 2. Создание профиля регистрации
Intune автоматически создает профиль регистрации по умолчанию и маркер регистрации для полностью управляемых устройств. Профиль регистрации по умолчанию называется Полностью управляемый профиль по умолчанию.
Чтобы создать новый профиль регистрации, выполните приведенные далее действия.
- Войдите в Центр администрирования Microsoft Intune.
- Перейдите в разделРегистрацияустройств>.
- Перейдите на вкладку Android .
- В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные, полностью управляемые пользовательские устройства.
- В разделе Разрешить пользователям регистрировать корпоративные пользовательские устройства выберите Да.
- Выберите Создать профиль.
- Введите основные сведения о профиле:
- Имя. Присвойте профилю имя. Запишите имя ниже, так как оно понадобится при настройке динамической группы устройств.
- Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
- Нажмите кнопку Далее , чтобы перейти к разделу Теги области.
- При необходимости примените один или несколько тегов область, чтобы ограничить видимость профиля и управление ими для определенных пользователей администрирования в Intune. Дополнительные сведения об использовании тегов область см. в статье Использование управления доступом на основе ролей (RBAC) и тегов область для распределенных ИТ-служб.
- Нажмите кнопку Далее , чтобы продолжить просмотр и создание.
- Просмотрите сводку профиля и нажмите кнопку Создать , чтобы завершить ее.
Чтобы просмотреть, внести изменения или удалить профиль:
- Выберите профиль.
- Выберите Обзор , чтобы просмотреть основные сведения о профиле и удалить профиль.
- Выберите Изменить свойства>, чтобы внести изменения в основные сведения профиля или область теги.
- Выберите Токен , чтобы получить, отозвать или экспортировать маркер.
Шаг 3. Создание динамической группы Microsoft Entra
При необходимости создайте динамическую группу Microsoft Entra, чтобы автоматически группировать устройства на основе определенного атрибута или переменной. В этом случае мы хотим использовать enrollmentProfileName
свойство для группирования устройств, которые регистрируются с тем же профилем.
Добавьте в группу следующие конфигурации:
- Тип группы: безопасность
- Тип членства: динамическое устройство
- Добавьте динамический запрос со следующим правилом:
- Свойство: enrollmentProfileName
- Оператор: Равно
- Значение. Введите имя профиля регистрации, созданного на шаге 2. Создание профиля регистрации.
Нельзя использовать динамические группы с профилем регистрации по умолчанию. Дополнительные сведения о создании динамической группы с правилами см. в разделе Создание правила членства в группах.
Шаг 4. Регистрация устройств
Теперь, когда вы настроили профиль регистрации, токен и динамическую группу, вы можете использовать любой из следующих методов подготовки для регистрации устройств как полностью управляемых:
- Связь ближнего поля (NFC)
- Строка маркера или QR-код
- Регистрация с нулевым касанием
- Регистрация Samsung Knox Mobile
Дальнейшие действия, включая регистрацию устройств с помощью каждого метода подготовки, см. в разделе Регистрация корпоративных устройств Android Enterprise.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по