Рабочая роль первой линии для устройств Android в Microsoft Intune

Устройства Android находятся почти во всех отраслях по всему миру, включая здравоохранение, авиацию, строительство, производство, логистику и правительство. Они обычно используются сотрудниками первой линии (FLW) в этих и других отраслях.

С помощью Intune можно управлять устройствами Android, используемыми сотрудниками первой линии в вашей организации. В этой статье:

• Включает решения, необходимые администраторам, включая определение способа использования устройства и настройку начального экрана & интерфейс устройства.
• Помогает определить оптимальный вариант регистрации и лучший интерфейс управления устройствами для вас и ваших конечных пользователей.

Эта статья относится к:

• Устройства Android, принадлежащие организации и зарегистрированные в Intune

Общие сведения об устройствах FLW в Intune см. в статье Управление устройствами FLW в Intune.

Используйте эту статью, чтобы приступить к работе с устройствами Android FLW в Intune. Это означает следующее:

• Шаг 1. Выбор параметра регистрации Intune
• Шаг 2. Выбор общего устройства или устройства, связанного с пользователем
• Шаг 3. Настройка начального экрана и интерфейса устройства
• Режим общего устройства Microsoft Entra для выделенных устройств Android Enterprise

Подготовка к работе

Intune поддерживает различные варианты регистрации для устройств Android, как показано на следующем рисунке:

В этой статье рассматриваются параметры регистрации, часто используемые для устройств FLW. Дополнительные сведения обо всех вариантах регистрации Android см. в статье Руководство по регистрации: Регистрация устройств Android в Microsoft Intune.

Шаг 1. Выбор параметра регистрации Intune

Первым шагом является определение платформы регистрации Intune, которая лучше всего подходит для вашей организации и устройств.

Для устройств FLW Android следует использовать регистрацию Android Enterprise или Android с открытым исходным кодом (AOSP).

Вы можете использовать следующий образ, чтобы выбрать путь, который лучше всего подходит для устройств FLW:

Убедитесь, что вы знаете, что делает устройство и его вариант использования. Производители устройств Android (OEM) предлагают различные устройства, некоторые из этих устройств могут быть специализированными, а другие — более универсальными.

Например, устройства, используемые для дополненной или виртуальной реальности, обычно не поддерживают GMS, что является обязательным требованием для регистрации Android Enterprise. Таким образом, естественный путь регистрации для этих устройств — Android (AOSP).

Android Enterprise

Устройствам регистрации Android Enterprise требуются и поддерживаются мобильные службы Google (GMS) (открывается веб-сайт Android). Эти устройства также используются в странах и регионах, в которых разрешено использование GMS.

✔️ Если устройство включено GMS и находится в списке рекомендуемых для Android Enterprise (открывается веб-сайт Android), используйте регистрацию Android Enterprise.

❌ Если эти устройства используются в стране или регионе, который блокирует GMS, регистрация Android Enterprise не поддерживается. Вместо этого используйте регистрацию Android (AOSP).

Android (AOSP)

Устройства регистрации Android (AOSP) не предлагают и не включают в себя мобильные службы Google (GMS). Эти устройства:

• Могут быть специализированные устройства, например устройства дополненной или виртуальной реальности, включая Realwear и HTC.
• Не поддерживайте GMS.
• Используются в странах или регионах, которые блокируют GMS.

✔️ Если устройства соответствуют этим критериям, используйте регистрацию Android (AOSP). Убедитесь, что ваши устройства поддерживают управление Android (AOSP) с помощью Intune. Список поддерживаемых устройств см. в статье Устройства, поддерживаемые AOSP.

❌ Если эти устройства поддерживают GMS и не соответствуют этим критериям, используйте регистрацию Android Enterprise.

Дополнительные сведения об Android (AOSP) см. в статье О проекте с открытым кодом Android (открывается веб-сайт Android).

Примечание.

Для администратора устройств Android (DA) Google не рекомендует и сокращает возможности. Рекомендуется перейти на Android Enterprise или Android (AOSP) для устройств FLW.

Шаг 2. Общее устройство или устройство, связанное с пользователем

Следующее решение заключается в том, чтобы решить, являются ли устройства общими для нескольких пользователей или назначены одному пользователю. Это решение зависит от бизнес-потребностей и требований конечного пользователя. Это также влияет на то, как эти устройства регистрируются и управляются с помощью Intune.

• Общее устройство без связи с пользователем (без пользователей)

  При использовании общих устройств пользователь получает устройство, выполняет свои задачи и передает устройство другому пользователю. Как правило, эти пользователи вручную входят в приложения; они не входят в устройство.

  При использовании общих устройств:

  • Если вы используете общие устройства Android и устройства поддерживают регистрацию Android Enterprise, зарегистрируйте свои устройства как выделенные устройства. Эти устройства поддерживают мобильные службы Google (GMS) и не связаны с одним или конкретным пользователем.

    Дополнительные сведения о регистрации выделенных устройств см. в разделе Регистрация выделенных устройств Android Enterprise в Intune.

  • Если вы используете общие устройства Android (AOSP), вы можете зарегистрировать свои устройства как устройства без пользователей. Эти устройства обычно не поддерживают GMS и не связаны с одним или конкретным пользователем.

    Дополнительные сведения о регистрации android (AOSP) без пользователей см. в статье Регистрация Intune для корпоративных устройств без пользователей с Android (AOSP).

• Устройство, связанное с пользователем

  На этих устройствах есть один пользователь. Этот пользователь связывает устройство с самим собой, что обычно происходит, когда пользователь входит в систему во время регистрации Intune. Устройство связано с удостоверением пользователя в Microsoft Entra.

  С сопоставлением пользователей:

  • Если вы используете Android Enterprise, вы можете зарегистрировать устройства как полностью управляемые или корпоративные устройства с рабочим профилем. Эти устройства имеют одного пользователя и используются исключительно для работы в организации; не личное использование.

    Эти параметры регистрации не являются общими для устройств FLW и расширяют границы традиционных рабочих сценариев с интерфейсом. Но их можно использовать, если их функции лучше всего подходит для вашего бизнес-сценария. У них есть много параметров, которые можно настроить. Например, при использовании полностью управляемой регистрации можно настроить Microsoft Launcher, добавить пользовательские обои и многое другое.

    Дополнительные сведения об этих методах регистрации см. в следующих страницах:

    • Регистрация Intune для полностью управляемых устройств Android Enterprise
    • Регистрация Intune для корпоративных устройств с рабочим профилем

    Чтобы получить список некоторых параметров, которые можно настроить, перейдите в список параметров устройств Android Enterprise, чтобы разрешить или ограничить функции на корпоративных устройствах с помощью Intune.

  • Если вы используете Android (AOSP), вы можете зарегистрировать устройства в качестве устройства, связанного с пользователем . Эти устройства имеют одного пользователя и используются исключительно для работы в организации; не личное использование.

    Помните, что устройства Android (AOSP) не поддерживают Google Mobile Services (GMS).

    • Дополнительные сведения о регистрации Android (AOSP), связанной с пользователем, см. в статье Регистрация Intune для устройств Android (AOSP), связанных с корпоративными пользователями.
    • Список некоторых параметров, которые можно настроить, см. в разделе Параметры устройства Android (AOSP), чтобы разрешить или ограничить функции с помощью Intune.

Шаг 3. Начальный экран и интерфейс устройства

Для Android (AOSP) не существует интерфейса начального экрана для настройки регистрации устройств в Intune с помощью AOSP. Когда сотрудники первой линии получают устройства, зарегистрированные в AOSP, они включают устройства, входят в приложение (или не входят, в зависимости от сопоставления пользователей), например Microsoft Teams. Затем они просто начинают использовать устройства.

Для выделенных устройств Android Enterprise доступны функции начального экрана и взаимодействия с устройствами, которые можно настроить в Intune. Этот раздел и действия применяются к:

• Выделенные устройства Android Enterprise

Этот шаг является необязательным и зависит от вашего бизнес-сценария. Если эти устройства совместно используются многими пользователями, рекомендуется использовать начальный экран и функции взаимодействия с устройствами, описанные в этом разделе.

На устройствах Android Enterprise можно настроить приложение Intune Managed Home Screen (MHS) для управления начальным экраном и интерфейсом устройства.

На этом шаге рассмотрите, что делают конечные пользователи на устройствах, а также интерфейс устройства, который им нужен для выполнения своих заданий. Это решение влияет на настройку устройства.

Для FLW часто используются следующие сценарии:

• Сценарий 1. Доступ на уровне устройства с несколькими приложениями

  Устройства регистрируются в Intune как выделенные устройства Android Enterprise.

  Пользователи имеют доступ к приложениям и параметрам на устройстве. С помощью параметров политики можно ограничить пользователей различными функциями, такими как отладка, системные приложения и многое другое.

  В этом сценарии требуется, чтобы пользователи использовали определенные приложения, но не нужно, чтобы устройство было заблокировано только для этих приложений.

  Чтобы настроить устройства для этого сценария, необходимо развернуть приложения и настроить приложения с помощью политик конфигурации приложений. Затем используйте политики конфигурации устройств, чтобы разрешить или заблокировать функции устройства.

  Чтобы приступить к работе, воспользуйтесь следующими ссылками:

  1. Добавление приложений в Intune. При добавлении приложений вы создаете политики приложений, которые развертывают приложения на устройствах.

  2. Создайте политики конфигурации приложений для настройки функций приложений. Вы также можете добавить JSON-файл со всеми нужными параметрами конфигурации.

  3. Создайте профиль ограничений конфигурации устройств, который разрешает или ограничивает функции с помощью Intune.

     В Центре администрирования Microsoft Intune перейдите в раздел Устройства>Управление устройствами>Шаблоны>>конфигурации> Ограничения устройствРежим>киоска выделенного устройства>. Задайте для него значение Не настроено:

     

• Сценарий 2. Заблокированное устройство с экраном с закрепленными приложениями

  Устройства регистрируются в Intune как выделенные устройства Android Enterprise.

  В этом сценарии вы устанавливаете приложение Intune Managed Home Screen (MHS), которое позволяет настроить интерфейс управляемого устройства. Вы можете закрепить одно или несколько приложений, выбрать обои, задать позиции значков, требовать ПИН-код и многое другое. Этот сценарий часто используется для выделенных устройств, таких как общие устройства.

  Что нужно знать:

  • Пользователям доступны только функции, добавленные на управляемый начальный экран (MHS). Таким образом, вы можете запретить конечным пользователям доступ к параметрам и другим функциям устройства.
  • При закреплении одного или нескольких приложений в MHS открываются только эти приложения. Это единственные приложения, к которые пользователи могут получить доступ.
  • MHS — это средство запуска предприятия, используемое вами. Не устанавливайте другое приложение средства запуска предприятия.

  Дополнительные сведения о приложении MHS на выделенных устройствах см. в записи блога Настройка Microsoft MHS на выделенных устройствах в режиме киоска с несколькими приложениями .

  Чтобы приступить к работе, воспользуйтесь следующими ссылками:

  1. Добавление приложений в Microsoft Intune, включая приложение MHS. При добавлении приложений вы создаете политики приложений, которые развертывают приложения на устройствах.

  2. Используйте профиль конфигурации ограничений устройств , чтобы настроить режим киоска на несколько приложений и выбрать свои приложения. На этом шаге устройство блокируется только для приложений, которые вы выбираете:

     В Центре администрирования Microsoft Intune перейдите в раздел Устройства>Управление устройствами>Конфигурация>Temmplates>Ограничения> устройствИнтерфейс>выделенного устройства>Режим киоска>Многоаппационная>добавление. Добавьте нужные приложения в режиме киоска с несколькими приложениями:

     

  3. Настройте приложение Microsoft Managed Home Screen (MHS) с помощью одного из следующих параметров:

     • Вариант 1. Профиль конфигурации ограничений устройств. В том же профиле конфигурации ограничений устройств настройте нужные функции устройства в режиме киоска с несколькими приложениями.

       Список параметров, которые можно настроить, см. в разделе Параметры взаимодействия с Устройствами Для Android для бизнеса.

     • Вариант 2. Политика конфигурации приложений. Политика конфигурации приложений содержит больше параметров конфигурации, чем профиль конфигурации ограничений устройств. Вы также можете добавить JSON-файл со всеми нужными параметрами конфигурации.

       Дополнительные сведения см. в разделе Настройка приложения Microsoft Managed Home Screen.

• Сценарий 3. Киоск с одним приложением

  Устройства регистрируются в Intune как выделенные устройства Android Enterprise.

  Этот сценарий используется на устройствах, которые имеют одну цель, например сканирование инвентаризации.

  Что нужно знать:

  • Устройству назначается одно приложение. При запуске устройства открывается только это приложение. Пользователи заблокированы для одного приложения и не могут закрыть приложение или сделать что-либо еще на устройстве.
  • Этот вариант является более строгим, так как устройство предназначено для запуска только одного приложения.
  • Средство запуска предприятия не используется.

  Чтобы настроить эти устройства, назначьте приложение устройству. Затем создайте политику конфигурации устройства, которая устанавливает для устройства режим киоска с одним приложением.

  Чтобы приступить к работе, воспользуйтесь следующими ссылками:

  1. Добавление приложений в Microsoft Intune. При добавлении приложения создается политика приложения, которая развертывает приложение на устройствах.

  2. Создайте профиль ограничений конфигурации устройств, который разрешает или ограничивает функции с помощью Intune:

     В Центре администрирования Microsoft Intuneперейдитев раздел Устройства >Управление устройствамиКонфигурация>Шаблоны>Ограничения> устройствРежим>киоска выделенного устройства> и выберите Одно приложение:

     

Режим общего устройства Microsoft Entra для выделенных устройств Android Enterprise

Режим общего устройства Microsoft Entra (SDM) — еще один вариант для регистрации выделенных устройств Android Enterprise .

Entra SDM предлагает интерфейс входа и выхода на основе приложений и удостоверений, что улучшает взаимодействие с конечными пользователями и производительность (меньше запросов на вход). Он дополняет сценарии 1 и сценарий 2 , описанные на шаге 3 — начальный экран и интерфейс устройства (в этой статье).

Дополнительные сведения о режиме общего устройства Entra (SDM) см. в разделе Режим общего устройства Entra для FLW.

Что нужно знать:

• Регистрация Android в Intune в качестве общего устройства и Entra SDM являются бесплатными. Регистрация Android в Intune в качестве общего устройства не зависит от Entra SDM. Entra SDM — это параметр поверх регистрации общего устройства Intune.

• Entra SDM — это функция Entra. Это не функция Intune. Дополнительные сведения о Entra SDM для устройств Android Enterprise см. по адресу:

  • Режим общего устройства для устройств с Android
  • Регистрация выделенных устройств Android Enterprise в режиме общего устройства Microsoft Entra — запись блога в Центре сообщества Майкрософт
  • Intune поддерживает выход для приложений, не оптимизированных с режимом общего устройства Microsoft Entra в AE 9+ — запись блога в Центре сообщества Майкрософт

• Чтобы пользователи имели полный вход и выход, приложения должны поддерживать библиотеку проверки подлинности Майкрософт (MSAL). Дополнительные сведения см. в статье Включение единого входа между приложениями в Android с помощью MSAL.

Статьи по теме

• Общие сведения об управлении устройствами первой линии в Microsoft Intune
• FLW для устройств iOS/iPadOS
• FLW для устройств с Windows