Руководство по развертыванию средств управления устройствами Android в Microsoft Intune
Intune поддерживает управление мобильными устройствами (MDM) для устройств Android. С помощью этой службы вы можете обеспечить сотрудникам защищенный доступ к корпоративным данным, приложениям и почтовым ящикам. В этом руководстве предоставлены ресурсы, которые помогут вам настроить для устройства Android подключение к Intune и развертывание политик для пользователей и устройств.
Предварительные требования
Прежде чем начать, выполните указанные ниже предварительные требования, чтобы включить управление устройствами Android в Intune. Дополнительная информация о настройке и подключении Intune, а также о переходе на эту службу приведена в руководстве по развертыванию Intune.
- Добавление пользователей и групп
- Назначение лицензий пользователям
- Задание центра управления мобильными устройствами
- Глобальный администратор или администратор Intune Microsoft Entra
Планирование развертывания
Руководство по планированию Microsoft Intune поможет вам организовать процессы планирования, разработки и внедрения Microsoft Intune в своей организации. Это руководство содержит средства для решения следующих задач:
- определение целей, вариантов использования и требований;
- создание планов развертывания и коммуникации;
- создание планов поддержки, тестирования и проверки.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.
Создание правил соответствия требованиям
Используйте политики соответствия, чтобы определить правила и условия, которым должны соответствовать пользователи и устройства для доступа к защищенным ресурсам организации. Кроме того, вы можете создать политики условного доступа, которые совместно с правилами соответствия устройств позволяют блокировать доступ к ресурсам с несоответствующих устройств. Подробное описание политик соответствия и способы их применения приведены в статье Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune.
Описанные ниже задачи применимы как к платформе Android Enterprise, так и к платформе администратора устройств Android.
| Задача | Сведения |
|---|---|
| Создание политики соответствия | Ознакомьтесь с пошаговыми инструкциями о том, как создать и назначить политики соответствия группам пользователей и устройств. |
| Добавление действий при несоответствии | Выберите, что произойдет, если устройства больше не соответствуют условиям политики. Вы можете добавить действия при обнаружении несоответствия при настройке или изменении политики. |
| Создание политики условного доступа на основе устройств или приложений. | Укажите приложение или службы, безопасность которых необходимо обеспечить, и определите условия доступа к ним. |
| Блокировка приложений, не поддерживающих современную проверку подлинности | Создайте политику условного доступа на основе приложений, чтобы блокировать работу приложений, использующих способы проверки подлинности, отличные от OAuth2. Например, вы можете блокировать приложения с обычной проверкой подлинности или проверкой подлинности на основе форм. Прежде чем блокировать любой доступ, войдите в Microsoft Entra ID и просмотрите отчет о действиях методов проверки подлинности, чтобы узнать, используют ли пользователи обычную проверку подлинности для доступа к основным вещам (например, киоскам календаря комнат для собраний), о которых вы забыли или не знают о них. |
Настройка безопасности конечных точек
Задайте настройки безопасности и управляйте задачами по безопасности на устройствах с высоким риском взлома с помощью функции безопасности конечных точек в Intune.
Описанные ниже задачи применимы как к платформе Android Enterprise, так и к платформе администратора устройств Android.
| Задача | Сведения |
|---|---|
| Управление устройствами с помощью функций безопасности конечных точек | Используйте параметры безопасности конечных точек в Intune, чтобы эффективно управлять безопасностью устройств и устранять проблемы. |
| Включение соединителя защиты от угроз на мобильных устройствах (MTD) для зарегистрированных устройств | Включите соединение с MTD в Intune, чтобы партнерские приложения Mobile Threat Defense могли работать с Intune и вашими политиками соответствия устройств в MTD. Если вы не используете Microsoft Defender для конечной точки, рассмотрите возможность включения соединителя, чтобы можно было использовать другое решение для защиты от угроз на мобильных устройствах. Кроме того, вы можете включить соединитель MTD для устройств, не зарегистрированных в Intune. |
| Создание политики защиты приложений MTD | Создайте политику защиты приложений Intune, которая оценивает риски и ограничивает доступ устройства к рабочим и учебным приложениям. |
| Создание политики соответствия устройств MTD | Создайте политику защиты приложений Intune, которая оценивает риск и ограничивает корпоративный доступ устройства на основе уровня угрозы. |
| Добавление и назначение приложений MTD | Добавьте приложения MTD в Intune и разверните их. Эти приложения работают с политиками соответствия устройств и защиты устройств, чтобы обнаружить угрозы и помочь в их устранении. Крое того, вы можете назначить приложения MTD устройствам, не зарегистрированным в Intune. |
Настройка параметров устройства
С помощью Microsoft Intune можно включать или отключать параметры и компоненты на устройствах. Чтобы настроить и применить эти параметры, создайте профиль устройства и назначьте его группам в своей организации. Устройства получают профиль после регистрации.
| Задача | Сведения | Платформа |
|---|---|---|
| Создание профиля устройства в Microsoft Intune | Узнайте о различных типах профилей устройств, которые вы можете создать для своей организации. | Android Enterprise, администратор устройств Android |
| Настройка профиля Wi-Fi | Этот профиль позволяет людям находить и подключаться к Wi-Fi сети вашей организации. Описание параметров в этой области см. в справочниках по настройкам Wi-Fi: Параметры Wi-Fi в Android Enterprise и Параметры Wi-Fi для администраторов устройств Android. | Android Enterprise, администратор устройств Android |
| Настройка профиля VPN | Настройте безопасное VPN-подключение, например Microsoft Tunnel, для пользователей, подключающихся к сети организации. Описание параметров в этой области см. в справочниках по настройкам Параметры VPN в Android Enterprise и Параметры VPN для администраторов устройств Android. | Android Enterprise, администратор устройств Android |
| Настройка электронной почты | Настройте параметры электронной почты, чтобы пользователи могли подключаться к почтовому серверу и получать доступ к своей рабочей или учебной электронной почте. Описание настроек в этой области можно найти в статьях Параметры для настройки электронной почты в Android Enterprise и Параметры для настройки электронной почты для администраторов устройств Android. | Android Enterprise, администратор устройств Android |
| Ограничение возможностей устройств | Защитите пользователей от несанкционированного доступа и отвлекающих факторов, ограничив функции устройства, которые они могут использовать на работе или в школе. Описание настроек в этой области можно найти в статьях Параметры устройств в Android Enterprise и Параметры устройств для администраторов устройств Android. | Android Enterprise, администратор устройств Android |
| Настройка пользовательских параметров для администраторов устройств Android | Добавьте или создайте пользовательские параметры, если вам недостаточно встроенных параметров Intune, например профили VPN для отдельных устройств или веб-защиту в Microsoft Defender для конечной точки. | Администратор устройств Android |
| Настройка приложений Samsung Knox | Создание настраиваемых профилей для включения и блокировки приложений для устройств Samsung Knox Standard. | Администратор устройств Android |
| Создание пользовательского профиля для Android Enterprise | Добавьте или создайте для персональных устройств пользовательские параметры, которых нет в числе встроенных в Intune. | Android Enterprise |
| Настройка профиля Zebra Mobility Extensions (MX) | Используйте профили Zebra Mobility Extensions (MX) для настройки или добавления параметров Zebra в Intune. | Администратор устройств Android |
| Создание профиля конфигурации OEMConfig | Примените OEMConfig для добавления, создания и настройки параметров, относящихся к изготовителям оборудования, для устройств Android Enterprise. | Android Enterprise |
| Настройка фирменной символики и регистрации | Настройте фирменную символику организации на Корпоративном портале Intune и для приложений Microsoft Intune, чтобы регистрирующие устройства пользователи могли работать в привычной среде. | Android Enterprise, администратор устройств Android |
Использование безопасных методов проверки подлинности
Настройте методы проверки подлинности в Intune, чтобы обеспечить доступ к внутренним ресурсам только уполномоченным пользователям. Intune поддерживает многофакторную проверку подлинности, сертификаты SCEP и PKCS, а также учетные данные для них. Сертификаты также могут использоваться для подписи и шифрования электронной почты с помощью S/MIME.
| Задача | Сведения | Платформа |
|---|---|---|
| Требование многофакторной проверки подлинности (MFA) | Требуйте от пользователей предоставлять два вида учетных данных во время регистрации. | Android Enterprise |
| Создание профиля доверенного сертификата | Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Профиль доверенного сертификата позволяет развернуть доверенный корневой сертификат для устройств с помощью сертификатов SCEP, PKCS и импортированных PKCS. | Android Enterprise, администратор устройств Android |
| Использование сертификатов SCEP в Intune | Узнайте, что необходимо для использования сертификатов SCEP в Intune и настройки необходимой инфраструктуры. После этого можно создать профиль сертификата SCEP или настроить сторонний центр сертификации с SCEP. | Android Enterprise |
| Использование сертификатов PKCS в Intune | В этой статье вы узнаете, как настроить необходимую инфраструктуру (например локальные соединители сертификата), экспортировать сертификат PKCS и добавить сертификат в профиль конфигурации устройства Intune. | Android Enterprise, администратор устройств Android |
| Использование импортированных сертификатов PKCS в Intune | Настройте импортированные сертификаты PKCS, которые позволяют настроить и использовать S/MIME для шифрования электронной почты. | Android Enterprise, администратор устройств Android |
| Настройка издателя производных учетных данных | Предоставьте устройствам Android сертификаты, полученные из пользовательских смарт-карт. | Android Enterprise |
Развертывание приложений
При настройке приложений и политик приложений учитывайте требования вашей организации, например поддерживаемые платформы, задачи, которые пользователям нужно выполнить, типы приложений для выполнения этих задач и группы пользователей, которым нужны эти приложения. Intune можно использовать для управления целым устройством (включая приложения) или только приложениями.
| Задача | Сведения | Платформа |
|---|---|---|
| Добавление приложений Google Play Маркет | Добавляйте приложения Android из Google Play Маркет. | Администратор устройств Android |
| Добавление управляемых приложений Google Play | Добавляйте приложения для магазина, бизнес-приложения или веб-приложения из управляемого магазина Google Play Маркет. | Android Enterprise |
| Добавление системных приложений Android Enterprise | Применяйте Intune для включения и отключения системных приложений Android Enterprise. | Android Enterprise |
| Добавление веб-приложений | Добавляйте в Intune веб-приложения и назначайте их группам. | Администратор устройств Android |
| Добавление встроенных приложений | Добавляйте в Intune встроенные приложения и назначайте их группам. | Android Enterprise, администратор устройств Android |
| Добавление бизнес-приложений | Добавляйте в Intune бизнес-приложения Android и назначайте их группам. | Администратор устройств Android |
| Назначение приложений группам | Назначайте приложения пользователям и устройствам. | Android Enterprise, администратор устройств Android |
| Включение и исключение назначений приложений | Управляйте доступом приложения путем включения и исключения выбранных групп из назначения. | Android Enterprise, администратор устройств Android |
| Создание политики защиты для приложений Android | Храните данные организации, содержащиеся в управляемых приложениях, таких как Outlook и Word. Подробные сведения о каждом параметре см. в статье Параметры политики защиты приложений Android. | Android Enterprise, администратор устройств Android |
| Проверка политики защиты приложений | Проверьте настройку и правильность работы политики защиты приложений перед ее глобальным развертыванием. | Android Enterprise, администратор устройств Android |
| Создание политики конфигурации приложений | Применяйте пользовательские параметры конфигурации к приложениям Android на зарегистрированных устройствах. Эти типы политик также можно применять к управляемым приложениям без регистрации устройства. | Android Enterprise, администратор устройств Android |
| Настройка Microsoft Edge | Используйте политики конфигурации и защиты приложений Intune Microsoft Edge для Android, чтобы гарантировать защиту доступа к корпоративным веб-сайтам. | Android Enterprise, администратор устройств Android |
| Настройка Google Chrome | Используйте политику конфигурации приложений Intune, чтобы настроить Google Chrome для зарегистрированных в Intune устройств Android. | Android Enterprise |
| Настройка приложения Microsoft Управляемый главный экран | Настройте приложение Managed Home Screen для корпоративных устройств Android Enterprise для бизнеса, зарегистрированных с помощью Intune в режиме киоска с несколькими приложениями. | Android Enterprise |
| Настройка приложения Microsoft Launcher | Настройте Microsoft Launcher для персонализации начального экрана на полностью управляемых корпоративных устройствах. | Android Enterprise |
| Настройка приложений Microsoft Office | Используйте политики конфигурации и защиты приложений Intune в приложениях Office, чтобы гарантировать безопасность доступа к корпоративным файлам. | Android Enterprise |
| Настройка Microsoft Teams | Используйте политики конфигурации и защиты приложений Intune в Teams, чтобы гарантировать безопасность доступа к возможностям для совместной работы. | Android Enterprise |
| Настройка Microsoft Outlook | Используйте политики конфигурации и защиты приложений Intune в Outlook, чтобы гарантировать безопасность доступа к электронной почте и календарям. | Android Enterprise |
Регистрация устройств
Регистрация устройств позволяет им получать создаваемые вами политики, поэтому Microsoft Entra группы пользователей и группы устройств готовы.
Intune поддерживает для устройств Android следующие методы регистрации:
- Использование собственного устройства (BYOD): личные устройства Android Enterprise с рабочим профилем
- Выделенные корпоративные устройства Android Enterprise
- Полностью управляемые корпоративные устройства Android Enterprise
- Корпоративные устройства Android Enterprise с рабочим профилем
- Администратор устройств Android
Сведения о каждом методе регистрации и о том, как выбрать подходящий для вашей организации, см. в статье Руководство по регистрации устройств Android в Microsoft Intune.
| Задача | Сведения | Платформа |
|---|---|---|
| Подключение учетной записи Intune к управляемой учетной записи Google Play | Чтобы разрешить управление Android Enterprise из Intune, подключите учетную запись клиента Intune к управляемой учетной записи Google Play. | Android Enterprise |
| Настройка регистрации рабочего профиля для личных устройств | Настройте регистрацию рабочего профиля для личных устройств. Этот метод регистрации позволяет создать на устройстве отдельную область для рабочих данных, чтобы не влиять на личное пространство. | Android Enterprise |
| Настройка регистрации рабочего профиля для корпоративных устройств | Настройте управление рабочим профилем для корпоративных устройств, которые предполагается использовать для работы и личных целей. Этот метод регистрации позволяет создать на устройстве отдельную область для рабочих данных, чтобы не влиять на личное пространство. | Android Enterprise |
| Настройка регистрации для выделенных устройств | Настройте регистрацию для корпоративных устройств, которые предполагается использовать для одной конкретной задачи, например в режиме киоска. | Android Enterprise |
| Настройка регистрации для полностью управляемых устройств | Настройте регистрацию для корпоративных устройств, которые сопоставлены с одним пользователем и предназначены исключительно для рабочих целей. | Android Enterprise |
| Регистрация выделенных, полностью управляемых или корпоративных устройств с рабочими профилями | Завершив настройку регистрации Intune для Android Enterprise, зарегистрируйте устройства с помощью любого из пяти поддерживаемых методов. | Android Enterprise |
| Настройка регистрации с использованием функции администратора устройства | Настройте регистрацию от имени администратора устройства Android. Этот метод управления устройствами заменяется механизмом Android Enterprise, поэтому мы не рекомендуем использовать его для регистрации новых устройств. | Администратор устройств Android |
| Использование Samsung Knox Mobile Enrollment для автоматической регистрации устройств Android | Настройте Intune для Samsung Knox Mobile Enrollment, что позволит автоматически зарегистрировать большое число корпоративных устройств Android. | Android Enterprise, администратор устройств Android |
| Определение устройства как корпоративного | Присваивайте устройствам статус корпоративной собственности, чтобы активировать дополнительные возможности управления и идентификации в Intune. Корпоративный статус нельзя присвоить устройствам, зарегистрированным через Apple Business Manager. | Android Enterprise, администратор устройств Android |
| Смена владения устройством | После регистрации устройства можно изменить его метку владения в Intune на корпоративное или личное. Эта настройка меняет способ управления устройством. | Android Enterprise, администратор устройств Android |
| Устранение проблем с регистрацией | Устраняйте неполадки и находите решения проблем, возникающих во время регистрации. | Android Enterprise, администратор устройств Android |
Применение удаленных действий
После настройки устройств вы можете использовать удаленные действия в Intune, чтобы управлять устройствами и устранять неполадки удаленно. Доступность настроек зависит от платформы устройства. Если действие отсутствует или отключено на портале, значит, устройство его не поддерживает.
| Задача | Сведения |
|---|---|
| Выполнение удаленных действий в Intune | Узнайте, как детализировать и удаленно управлять отдельными устройствами в Intune, а также устранять их неполадки. В этой статье перечислены все удаленные действия, доступные в Intune, а также приведены ссылки на эти процедуры. |
| Устранение уязвимостей, обнаруженных Microsoft Defender для конечной точки | При интеграции Intune с Microsoft Defender для конечной точки можно воспользоваться управлением угрозами и уязвимостями в Defender, а также применить Intune для устранения уязвимостей конечной точки, обнаруженных с помощью возможности управления угрозами в Defender. |
| Удаление корпоративных данных из приложения, управляемого Intune | Выборочно удаляйте рабочие данные с устройства. |
Дальнейшие действия
Ознакомьтесь с этими руководствами по регистрации, чтобы узнать, как выполнять некоторые из основных задач в Intune. Учебники — это контент на уровне 100–200 для людей, которые впервые работают с Intune или конкретным сценарием.
- Просмотр центра администрирования Intune
- Настройка Slack для использования Intune для управления корпоративной мобильностью (EMM) и настройки приложения
Инструкции для среды iOS/iPadOS см. в статье Руководство по развертыванию: управление устройствами iOS и iPadOS в Microsoft Intune.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по