Поделиться через

Комплексное руководство по настройке корпоративных устройств Android в Microsoft Intune

Это руководство поможет администраторам понять, как настроить и устранить неполадки с корпоративными устройствами Android в среде Microsoft Intune. В нем рассматриваются следующие распространенные сценарии:

  • Подключение к Google
  • Развертывание приложения
  • Включение регистрации рабочего профиля
  • Настройка условного доступа
  • Интерфейс регистрации рабочего профиля
  • Выдача сброса секретного кода рабочего профиля

Это поможет вам решить, какая возможность управления лучше всего подходит для вашей организации, и предоставляет часто задаваемые вопросы о android enterprise.

Оценка потребностей

Прежде чем включить корпоративные устройства Android в Intune, необходимо определить, следует ли регистрировать эти устройства в качестве личных устройств (принести собственное устройство или BYOD) или как корпоративные устройства.

Устройства BYOD

Устройства BYOD настроены для работы с рабочим профилем Android Enterprise. Эта функция встроена в Android 5.1 и более поздних версиях. Эта функция позволяет рабочим приложениям и данным храниться в отдельном автономном пространстве, управляемом компанией на устройстве. Так как личные приложения и данные остаются на устройстве внутри личного профиля пользователя, сотрудники могут продолжать использовать свое устройство, как правило.

Корпоративные устройства

Существует два варианта для корпоративных устройств, и каждый из них служит уникальным вариантом использования:

  • Выделенные устройства (ранее известные как COSU или корпоративное однопользование).

    Примечание.

    Пример, используемый в этом руководстве, посвящен сценариям BYOD. Дополнительные сведения о сценариях использования выделенных устройств (COSU) см. в разделе "Конфигурация COSU" и "Регистрация" с помощью метода регистрации QR-кода.

    Выделенные устройства обычно блокируются для одного приложения или набора приложений (также называемого режимом киоска). Он позволяет администратору управлять такими вещами, как строка состояния, раскладка клавиатуры, экран блокировки и другие параметры на устройстве. Он запрещает пользователям включать другие приложения или изменять определенные параметры на выделенных устройствах.

    Примечание.

    Устройства, управляемые таким образом, регистрируются в Intune без учетной записи пользователя и не связаны с любым конечным пользователем. Они не предназначены для приложений или приложений личного использования, которые имеют строгое требование для данных учетной записи конкретного пользователя, таких как Outlook или Gmail.

  • Полностью управляемые устройства (прежнее название — COBO или только корпоративный бизнес).

    Примечание.

    Дополнительные сведения о полностью управляемых устройствах см. в разделе "Настройка регистрации Intune для полностью управляемых устройств Android Enterprise".

    Полностью управляемые устройства соответствуют более пользовательскому сценарию. Один пользователь связан с устройством, а администратор по-прежнему сохраняет полный контроль над устройством (в отличие от сценария рабочего профиля, в котором несколько пользователей имеют контроль).

При выборе способа регистрации устройств следует учитывать, что не все функции доступны для обоих методов. В следующей таблице показаны некоторые ключевые различия.

Набор возможностей Рабочий профиль (BYOD) Выделенный (киоск) Полная управляемость
Управляемый профиль электронной почты ×
Управляемый профиль Wi-Fi
Управляемый ПРОФИЛЬ VPN ×
Профиль сертификата SCEP
Профиль сертификата PKCS ×
Профиль доверенного сертификата
Настраиваемый профиль × x
Предотвращение сброса фабрики ×
Блокировка камеры и захвата экрана
Кнопки блокировки тома ×
Блокировка копирования и вставки данных / общий доступ к данным
Управляемый пароль
Управляемые приложения (обязательные)
Управляемые приложения (доступные) ×
Контейнеризованный профиль × x
Уровень киоска Управление устройствами × x
Личные Управление устройствами × x
Регистрация на основе NFC ×
Регистрация на основе токенов ×
Регистрация на основе QR-кода ×
Ноль касания ×
Соответствие требованиям и условный доступ ×

Дополнительные сведения см. в статье "Реализация плана Microsoft Intune".

Подключение учетной записи Intune к корпоративной учетной записи Android

Первым шагом в настройке android enterprise в вашей среде является подключение учетной записи клиента Intune к вашей корпоративной учетной записи Android:

  1. Создайте учетную запись службы Google (@gmail.com).

    Примечание.

    Эта учетная запись будет связана со всеми задачами управления android enterprise для вашего клиента. Это учетная запись Google, которую ИТ-администраторы вашей компании будут совместно использовать для управления и публикации приложений в консоли Google Play. Вы можете использовать существующую учетную запись Google или создать новую. Используемая учетная запись не должна быть связана с доменом G-Suite.

  2. Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора Intune.

  3. Перейдите на устройства>Android>Enrollment>Managed Google Play, выберите "Я согласен", а затем нажмите кнопку "Запустить Google", чтобы подключиться сейчас, чтобы открыть веб-сайт Managed Google Play.

    Снимок экрана: страница

  4. Войдите в учетную запись Google и нажмите кнопку "Начать работу".

    Выберите страницу

  5. Введите название компании и нажмите кнопку "Далее".

    Введите страницу имени компании.

  6. Примите условия и нажмите кнопку "Подтвердить".

  7. Нажмите кнопку "Завершить регистрацию".

    Нажмите кнопку

Дополнительные сведения см. в статье "Подключение учетной записи Intune к управляемой учетной записи Google Play".

Развертывание приложений

После подключения учетной записи Intune к корпоративной учетной записи Android можно развернуть некоторые приложения, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора Intune.

  2. Перейдите к приложениям >"Все приложения".>

  3. В области "Выбор типа приложения" найдите доступные типы приложений Магазина, а затем выберите приложение Managed Google Play.

  4. Выберите Выбрать. Отображается управляемое магазин приложений Google Play .

    Управляемое магазин приложений Google Play.

  5. Найдите приложение для просмотра сведений о приложении. Пример: Корпоративный портал Intune приложение.

  6. На странице с приложением выберите " Утвердить". Откроется окно приложения и появится запрос на предоставление приложению разрешений на выполнение различных операций.

    Выберите

  7. Нажмите кнопку "Утвердить ", чтобы принять разрешения приложения.

    Нажмите кнопку

  8. На вкладке "Параметры утверждения" выберите "Сохранить утверждение", когда приложение запрашивает новые разрешения, а затем нажмите кнопку "Сохранить".

    Выберите

  9. Щелкните " Выбрать ", чтобы выбрать приложение.

  10. Выберите "Синхронизация " в верхней части, чтобы синхронизировать приложение со службой Managed Google Play.

  11. Выберите "Обновить" , чтобы обновить список приложений и отобразить только что добавленное приложение.

    Примечание.

    Синхронизация приложений между Intune и управляемым магазином Google Play выполняется вручную. Поэтому при каждом утверждении нового приложения необходимо выбрать кнопку "Синхронизация ".

  12. После добавления приложения в Microsoft Intune можно назначить приложение пользователям и устройствам. В Центре администрирования Microsoft Intune перейдите в раздел "Все>приложения". Просмотрите раздел "Управление" , чтобы увидеть приложение, отображаемое в списке.

    Страница

  13. Чтобы назначить приложение группе, выберите приложение, которое вы хотите назначить. В разделе "Управление" меню выберите "Свойства", а затем выберите "Изменить" рядом с назначениями, чтобы открыть панель "Добавить группу".

    Выберите

  14. На вкладке "Назначения" в разделе "Обязательный" выберите команду "Добавить группу", выберите группы, которые нужно включить, а затем нажмите кнопку "Выбрать".

    Выберите

  15. На панели "Назначить" нажмите кнопку "Проверить и сохранить", чтобы завершить выбор включенных групп.

  16. На панели "Назначения" нажмите кнопку "Сохранить", чтобы сохранить изменения.

  17. Вернитесь в представление свойств приложения и проверьте приложение в разделе "Назначения".

    Подтвердите назначение приложения.

Дополнительные сведения о развертывании приложений см. в разделе "Добавление системных приложений Android Enterprise" в Microsoft Intune.

Включение регистрации корпоративного рабочего профиля Android

  1. На портале Intune перейдите к >ограничениям регистрации устройств и выберите "По умолчанию" в разделе "Ограничения типа устройства".

    Экран ограничений типа устройства.

  2. Выберите платформы выбора свойств>, выберите "Блокировать для Android", нажмите кнопку "Разрешить для рабочего профиля Android", нажмите кнопку "ОК", а затем нажмите кнопку "Сохранить", чтобы сохранить изменения.

    Экран свойств регистрации.

    Примечание.

    Ограничения по умолчанию имеют самый низкий приоритет и применяются ко всем пользователям, это невозможно изменить. При создании дополнительных настраиваемых ограничений следует учитывать группы, которым они назначены, чтобы не создавать конфликт с этой конфигурацией.

Дополнительные сведения см. в разделе "Настройка регистрации устройств рабочего профиля Android Enterprise".

Настройка условного доступа

  1. Разверните приложение Gmail или приложение Nine Work по мере необходимости.

  2. Создайте профиль электронной почты в приложении, выполнив следующие действия:

    1. В портал Azure Intune выберите "Профили>конфигурации>устройств", а затем введите имя и описание профиля электронной почты.

    2. Выберите Android enterprise в раскрывающемся списке "Платформа ".

    3. В разделе "Только рабочий профиль типа>профиля" выберите "Электронная почта".

    4. Настройте параметры профиля электронной почты.

      Настройте параметры профиля электронной почты.

      Дополнительные сведения об этих параметрах см. в разделе "Параметры устройства Android" для настройки электронной почты, проверки подлинности и синхронизации в Intune.

  3. После создания профиля электронной почты назначьте его группам.

    Экран назначений.

  4. Настройте условный доступ на основе устройств.

Дополнительные сведения см. в разделе "Настройка условного доступа для устройств рабочего профиля Android".

Регистрация корпоративного устройства Android

  1. Войдите с помощью рабочей учетной записи и нажмите кнопку "Зарегистрировать сейчас".

    Экран регистрации.

  2. На экране "Настройка доступа" нажмите кнопку "Продолжить".

    Экран установки доступа.

  3. На экране заявления о конфиденциальности нажмите кнопку "Продолжить".

    Экран заявления о конфиденциальности.

  4. На следующем экране нажмите кнопку "Далее".

    Следующий экран.

  5. На экране "Настройка рабочего профиля" нажмите кнопку "Принять".

    Настройка экрана рабочего профиля.

  6. На экране "Активировать рабочий профиль " нажмите кнопку "Продолжить".

    Активация экрана рабочего профиля.

    Примечание.

    Значок значка в верхней части окна означает, что вы находитесь в рабочем профиле.

  7. На экране "Все задано" нажмите кнопку "Готово".

    Вы все устанавливаете экран.

  8. Теперь вы можете войти в Gmail. При появлении запроса на обновление параметров безопасности нажмите кнопку UPDATE NOW.

    Экран обновления системы безопасности.

  9. Нажмите кнопку "Активировать" , чтобы активировать Gmail от имени администратора устройства.

    Экран администратора устройства.

Дополнительные сведения см. в разделе "Регистрация устройств Android".

Сброс секретных кодов рабочего профиля Android

  1. Создайте профиль устройства, требующий секретный код рабочего профиля, выполнив следующие действия:

    1. В портал Azure Intune выберите "Профили>конфигурации>устройств", введите имя и описание профиля.

    2. Выберите Android enterprise в раскрывающемся списке "Платформа ".

    3. В разделе "Только рабочий профиль типа>профиля" выберите "Ограничения устройства".

    4. В параметрах рабочего профиля выберите "Требовать пароль рабочего профиля".

      Страница свойств рабочего профиля.

  2. На корпоративном устройстве Android вам будет предложено задать секретный код рабочего профиля, если он не задан.

  3. Подождите, пока не получите вторую подсказку, которая говорит, что безопасный рабочий профиль — авторизовать поддержку вашей компании для удаленного сброса пароля рабочего профиля. Введите секретный код для авторизации сброса. Он активирует маркер сброса пароля, который Intune должен успешно выполнить это действие.

    Защита экрана рабочего профиля.

    Примечание.

    Если пропустить любой из этих шагов, появится следующее сообщение об ошибке:
    Сбой инициирования секретного кода при запуске сброса

  4. Выберите "Сброс секретного кода".

    Сбросить экран секретного кода.

  5. После завершения сброса отображается временный секретный код.

    Сбросить завершенный экран секретного кода.

  6. Введите этот временный секретный код на устройстве.

  7. При необходимости задать новый ПИН-код необходимо повторно ввести этот временный секретный код, а затем ввести новый ПИН-код.

Дополнительные сведения об сбросе секретного кода см. в разделе "Сброс секретных кодов рабочего профиля Android".

Часто задаваемые вопросы

  • Вопрос. Почему приложения, которые я не одобрял из Магазина Google Play для Work, не удаляются на странице "Мобильные приложения" на портале администрирования Intune?

    Ответ. Это поведение ожидается.

  • Вопрос. Почему управляемые приложения Google Play не сообщают в разделе "Обнаруженные приложения " на портале Intune?

    Ответ. Это поведение ожидается.

  • Вопрос. Почему управляемые приложения Google Play, которые не развертываются через Intune, отображаемые в рабочем профиле?

    Ответ. Системные приложения можно включить в рабочем профиле изготовителем устройства во время создания рабочего профиля. Он не контролируется поставщиком MDM.

    Чтобы устранить неполадки, выполните следующие действия.

    1. Сбор журналов Корпоративный портал.
    2. Обратите внимание, что все приложения, которые неожиданно отображаются в рабочем профиле.
    3. Отмените регистрацию устройства из Intune и удалите Корпоративный портал.
    4. Установите тестовое приложение DPC , которое позволяет создавать рабочий профиль без EMM для тестирования.
    5. Следуйте инструкциям в тестовом DPC , чтобы создать рабочий профиль на устройстве.
    6. Просмотрите приложения, которые отображаются в рабочем профиле.
    7. Если те же приложения отображаются в тестовом приложении DPC, приложения ожидаются изготовителем оборудования для этого устройства.

  • Вопрос. Почему параметр очистки (сброс фабрики) недоступен для зарегистрированного устройства рабочего профиля?

    Ответ. Это поведение ожидается. В сценарии рабочего профиля поставщик MDM не имеет полного контроля над устройством. Единственным вариантом является удаление (удаление корпоративных данных), которое удаляет весь рабочий профиль и все его содержимое.

  • Вопрос. Почему не удается найти путь к файлу внутреннего хранилища/Android/Data.com.microsoft.windowsintune.companyportal/files на устройстве, зарегистрированном на рабочем профиле, для сбора Корпоративный портал журналов вручную?

    Ответ. Это поведение ожидается. Этот путь создается только для сценария "Администратор устройства" (устаревшая регистрация Android).

    Чтобы собрать журналы, выполните следующие действия.

    1. В приложении Корпоративный портал с значком нажмите кнопку "Справка> по электронной почте меню>" и нажмите кнопку "Отправить электронную почту" и "Отправить журналы".
    2. При появлении запроса на отправку справки выберите одно из приложений электронной почты.
    3. Сообщение электронной почты создается ИТ-администратору с идентификатором инцидента, который может быть предоставлен в службу поддержки продуктов Майкрософт.

  • Вопрос. Я проверил время последней синхронизации Управляемого Google Play, и оно не было обновлено в течение нескольких дней. Почему?

    Ответ. Это поведение ожидается. Синхронизация активируется только при выполнении этого вручную.

  • Вопрос. Поддерживаются ли веб-приложения для устройств, зарегистрированных в рабочем профиле?

    Ответ: Да. Веб-приложения (или веб-ссылки) поддерживаются для всех сценариев Android Enterprise.

  • Вопрос. Поддерживается ли сброс секретного кода устройства?

    Ответ. Для зарегистрированных в рабочем профиле устройств можно сбросить секретный код рабочего профиля только на устройствах под управлением Android 8.0+ , если секретный код рабочего профиля управляется, и пользователь позволил сбросить его. Для выделенных и полностью управляемых устройств поддерживается сброс секретного кода устройства.

  • Вопрос. Для шифрования устройства требуется шифрование при регистрации. Можно ли отключить шифрование?

    Ответ: Нет. Шифрование требуется Google для рабочего профиля.

  • Вопрос. Почему устройства Samsung блокируют использование сторонних клавиатур, таких как SwiftKey?

    Ответ: Samsung начал применять это на устройствах Android 8.0+. Корпорация Майкрософт в настоящее время работает с Samsung по этой проблеме и будет публиковать новую информацию, когда она доступна.