Комплексное руководство по настройке корпоративных устройств Android в Microsoft Intune
Это руководство поможет администраторам понять, как настраивать и устранять неполадки устройств Android enterprise в среде Microsoft Intune. В ней рассматриваются следующие распространенные сценарии:
- Подключение к Google
- Развертывание приложений
- Включение регистрации рабочего профиля
- Настройка условного доступа
- Взаимодействие с конечным пользователем для регистрации рабочего профиля
- Выдача сброса секретного кода рабочего профиля
Он помогает решить, какие возможности управления лучше всего подходит для вашей организации, и предоставляет вопросы и ответы о android enterprise.
Оценка потребностей
Прежде чем включать корпоративные устройства Android в Intune, необходимо определить, хотите ли вы зарегистрировать эти устройства как личные устройства (принеси собственное устройство или BYOD) или как корпоративные устройства.
Устройства BYOD
Для устройств BYOD настроен рабочий профиль Android Enterprise. Эта функция встроена в Android 5.1 и более поздних версий. Эта функция позволяет хранить рабочие приложения и данные в отдельном автономном пространстве, управляемом компанией на устройстве. Так как личные приложения и данные остаются на устройстве в личном профиле пользователя, сотрудники могут продолжать использовать свое устройство, как обычно.
Корпоративные устройства
Существует два варианта корпоративных устройств, и каждое из них служит уникальным вариантом использования:
Выделенные устройства (прежнее название — COSU или корпоративное одноразовое использование).
Примечание.
Пример, используемый в этом руководстве, посвящен сценариям BYOD. Дополнительные сведения о сценариях с выделенными устройствами (COSU) см. в разделе Настройка и регистрация COSU с помощью метода регистрации QR-кода.
Выделенные устройства обычно блокируются для одного приложения или набора приложений (также известного как режим киоска). Он позволяет администратору управлять такими параметрами, как строка состояния, раскладки клавиатуры, экран блокировки и другие параметры на устройстве. Это не позволяет пользователям включать другие приложения или изменять определенные параметры на выделенных устройствах.
Примечание.
Устройства, которыми вы управляете таким образом, регистрируются в Intune без учетной записи пользователя и не связаны с каким-либо конечным пользователем. Они не предназначены для приложений личного использования или приложений, которые строго обязательны для данных учетной записи пользователя, таких как Outlook или Gmail.
Полностью управляемые устройства (прежнее название — COBO или только корпоративный бизнес).
Примечание.
Дополнительные сведения о полностью управляемых устройствах см. в статье Настройка Intune регистрации полностью управляемых устройств Android Enterprise.
Полностью управляемые устройства подходят для более ориентированного на пользователя сценария. С устройством связан один пользователь, в то время как администратор по-прежнему сохраняет полный контроль над устройством (в отличие от сценария рабочего профиля, в котором несколько пользователей имеют контроль).
Когда вы решите, как зарегистрировать устройства, имейте в виду, что не все функции доступны для обоих методов. В следующей таблице показаны некоторые ключевые различия.
Набор возможностей | Рабочий профиль (BYOD) | Выделенный (киоск) | полностью управляемое устройство. |
---|---|---|---|
Управляемый профиль Email | ✓ | × | ✓ |
Управляемый профиль Wi-Fi | ✓ | ✓ | ✓ |
Управляемый профиль VPN | ✓ | × | ✓ |
Профиль сертификата SCEP | ✓ | ✓ | ✓ |
Профиль сертификата PKCS | ✓ | × | ✓ |
Профиль доверенного сертификата | ✓ | ✓ | ✓ |
Настраиваемый профиль | ✓ | × | x |
Предотвращение сброса до заводских настроек | × | ✓ | ✓ |
Блокировка камеры & снимок экрана | ✓ | ✓ | ✓ |
Блочные кнопки громкости | × | ✓ | ✓ |
Блокировка копирования и вставки / общий доступ к данным | ✓ | ✓ | ✓ |
Управляемый пароль | ✓ | ✓ | ✓ |
Управляемые приложения (обязательно) | ✓ | ✓ | ✓ |
Управляемые приложения (доступно) | ✓ | × | ✓ |
Контейнеризованный профиль | ✓ | × | x |
Управление устройствами уровня терминала | × | ✓ | x |
Личное Управление устройствами | ✓ | × | x |
Регистрация NFC-Based | × | ✓ | ✓ |
Регистрация Token-Based | × | ✓ | ✓ |
Регистрация QR-Code-Based | × | ✓ | ✓ |
Автоматическая настройка | × | ✓ | ✓ |
Соответствие требованиям и условный доступ | ✓ | × | ✓ |
Дополнительные сведения см. в статье Реализация плана Microsoft Intune.
Подключение учетной записи Intune к корпоративной учетной записи Android
Первым шагом для настройки Android enterprise в вашей среде является подключение учетной записи клиента Intune к корпоративной учетной записи Android:
Создайте учетную запись службы Google (@gmail.com).
Примечание.
Эта учетная запись будет связана со всеми задачами управления предприятиями Android для вашего клиента. Это учетная запись Google, которую ИТ-администраторы вашей компании будут совместно использовать для управления и публикации приложений в консоли Google Play. Можно использовать уже существующую учетную запись Google или создать новую. Используемая учетная запись не должна быть связана с доменом G-Suite.
Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора с Intune лицензией.
Перейдите в раздел Устройства>Android>Регистрация>Android Управляемые Google Play, выберите Я принимаю, а затем выберите Запустить Google, чтобы подключиться сейчас , чтобы открыть веб-сайт Managed Google Play.
Войдите в учетную запись Google и выберите Начало работы.
Введите название своей компании и нажмите кнопку Далее.
Примите условия и нажмите кнопку Подтвердить.
Выберите Завершить регистрацию.
Дополнительные сведения см. в статье Подключение учетной записи Intune к управляемой учетной записи Google Play.
Развертывание приложений
После подключения учетной записи Intune к корпоративной учетной записи Android можно развернуть некоторые приложения, выполнив следующие действия.
Войдите в Центр администрирования Microsoft Intune с помощью учетной записи глобального администратора с Intune лицензией.
Перейдите в раздел Приложения>Все приложения>Добавить.
В области Выбор типа приложения найдите доступные типы приложений Магазина , а затем выберите Управляемое приложение Google Play.
Выберите Выбрать. Отобразится управляемый магазин приложений Google Play .
Выполните поиск приложения для просмотра сведений о приложении. Пример: Корпоративный портал Intune приложение.
На странице с приложением выберите Утвердить. Откроется окно приложения с запросом на предоставление приложению разрешений на выполнение различных операций.
Нажмите кнопку Утвердить еще раз, чтобы принять разрешения приложения.
На вкладке Параметры утверждения выберите Сохранить утверждение, когда приложение запрашивает новые разрешения, а затем нажмите кнопку Сохранить.
Нажмите кнопку Выбрать , чтобы выбрать приложение.
Выберите Синхронизировать в верхней части страницы, чтобы синхронизировать приложение с управляемой службой Google Play.
Выберите Обновить , чтобы обновить список приложений и отобразить только что добавленное приложение.
Примечание.
Синхронизация приложений между Intune и управляемым магазином Google Play выполняется вручную. Поэтому при каждом утверждении нового приложения необходимо нажать кнопку Синхронизация .
После добавления приложения в Microsoft Intune его можно назначить пользователям и устройствам. В центре администрирования Microsoft Intune перейдите в раздел Приложения>Все приложения. Перейдите в раздел Управление , чтобы увидеть приложение, отображаемое в списке.
Чтобы назначить приложение группе, выберите приложение, которое нужно назначить. В разделе Управление меню выберите Свойства, а затем нажмите кнопку Изменить рядом с пунктом Назначения, чтобы открыть панель Добавить группу .
На вкладке Назначения в разделе Обязательный выберите Добавить группу, выберите группы для включения, а затем нажмите кнопку Выбрать.
На панели Назначить выберите Проверить и сохранить , чтобы завершить выбор включенных групп.
На панели Назначения выберите Сохранить , чтобы сохранить изменения.
Вернитесь в представление Свойства приложения и проверьте приложение в разделе Назначения.
Дополнительные сведения о развертывании приложений см. в статье Добавление системных приложений Android Enterprise в Microsoft Intune.
Включение регистрации корпоративного рабочего профиля Android
На портале Intune перейдите в разделОграничения регистрацииустройств>, а затем выберите По умолчанию в разделе Ограничения типа устройства.
Выберите Свойства>Выберите платформы, выберите Блокировать для Android, выберите Разрешитьрабочий профиль Android, нажмите кнопку ОК, а затем нажмите кнопку Сохранить , чтобы сохранить изменения.
Примечание.
Ограничения по умолчанию имеют самый низкий приоритет и применяются ко всем пользователям. Это невозможно изменить. При создании дополнительных настраиваемых ограничений учитывайте группы, которым они назначены, чтобы не создавать конфликт с этой конфигурацией.
Дополнительные сведения см. в статье Настройка регистрации устройств с рабочим профилем Android Enterprise.
Настройка условного доступа
Разверните приложение Gmail или приложение Nine Work в качестве обязательного.
Создайте профиль электронной почты для приложения, выполнив следующие действия.
В Intune портал Azure выберитеПрофили>конфигурации> устройстваСоздать профиль, а затем введите Имя и Описание для профиля электронной почты.
Выберите Android Enterprise в раскрывающемся списке Платформа .
В разделе Тип> профиляТолько рабочий профиль выберите Email.
Настройте параметры профиля электронной почты.
Дополнительные сведения об этих параметрах см. в разделе Параметры устройства Android для настройки электронной почты, проверки подлинности и синхронизации в Intune.
После создания профиля электронной почты назначьте его группам.
Настройка условного доступа на основе устройств.
Дополнительные сведения см. в статье Настройка условного доступа для устройств с рабочим профилем Android.
Регистрация корпоративного устройства Android
Войдите с помощью рабочей учетной записи и нажмите Кнопку Зарегистрироваться.
На экране Настройка доступа нажмите Кнопку Продолжить.
На экране заявления о конфиденциальности нажмите Кнопку Продолжить.
На экране Дальнейшие действия нажмите кнопку Далее.
На экране Настройка рабочего профиля коснитесь пункта Принять.
На экране Активация рабочего профиля нажмите Кнопку Продолжить.
Примечание.
В верхней части окна отображается значок значка, что означает, что вы находитесь в рабочем профиле.
На экране Все задано нажмите Готово.
Теперь вы можете войти в Gmail. При появлении запроса на обновление параметров безопасности коснитесь пункта ОБНОВИТЬ.
Нажмите Кнопку Активировать , чтобы активировать Gmail от имени администратора устройств.
Дополнительные сведения см. в разделе Регистрация устройств Android.
Сброс секретных кодов рабочего профиля Android
Создайте профиль устройства, которому требуется секретный код рабочего профиля, выполнив следующие действия.
В Intune портал Azure выберитеПрофили>конфигурации> устройствСоздать профиль, введите имя и описание профиля.
Выберите Android Enterprise в раскрывающемся списке Платформа .
В разделе Тип> профиляТолько рабочий профиль выберите Ограничения устройств.
В разделе Параметры рабочего профиля выберите Требовать в поле Требовать пароль рабочего профиля.
На устройстве Android для предприятий вам будет предложено задать секретный код рабочего профиля, если он не задан.
Подождите, пока не появится второй запрос с надписью Secure your Work Profile — Authorize your company support to remotely reset your work profile password (Защита рабочего профиля — авторизация службы поддержки организации для удаленного сброса пароля рабочего профиля). Введите секретный код для авторизации сброса. Он активирует маркер сброса пароля, который Intune необходимо для успешного выполнения этого действия.
Примечание.
Если пропустить какой-либо из этих шагов, появится следующее сообщение об ошибке:
Сбой при инициации сброса секретного кодаВыберите Сброс секретного кода.
После завершения сброса отображается временный секретный код.
Введите этот временный секретный код на устройстве.
Если вам потребуется задать новый ПИН-код, необходимо повторно ввести этот временный секретный код, а затем ввести новый ПИН-код.
Дополнительные сведения о сбросе секретного кода см. в разделе Сброс секретных кодов рабочего профиля Android.
Вопросы и ответы
Вопрос. Почему приложения, которые я не одобрял из магазина Google Play for Work, не удаляются со страницы мобильных приложений на портале Intune Администратор?
Ответ. Это поведение ожидается.
Вопрос. Почему управляемые приложения Google Play не сообщают в разделе Обнаруженные приложения на портале Intune?
Ответ. Это поведение ожидается.
Вопрос. Почему управляемые приложения Google Play не развертываются через Intune отображаются в рабочем профиле?
Ответ. Системные приложения могут быть включены в рабочем профиле изготовителем устройства во время создания рабочего профиля. Он не контролируется поставщиком MDM.
Чтобы устранить неполадки, выполните следующие действия.
- Сбор журналов Корпоративный портал.
- Обратите внимание на все приложения, которые неожиданно отображаются в рабочем профиле.
- Отмените регистрацию устройства из Intune и удалите Корпоративный портал.
- Установите приложение Test DPC , которое позволяет создать рабочий профиль без EMM для тестирования.
- Следуйте инструкциям в разделе Тестирование DPC , чтобы создать рабочий профиль на устройстве.
- Просмотрите приложения, которые отображаются в рабочем профиле.
- Если в тестовом приложении DPC отображаются те же приложения, изготовитель оборудования ожидает их для этого устройства.
Вопрос. Почему параметр Очистка (сброс заводских настроек) недоступен для устройства, зарегистрированного в рабочем профиле?
Ответ. Это поведение ожидается. В сценарии рабочего профиля поставщик MDM не имеет полного контроля над устройством. Единственный доступный вариант — снять с учета (удалить данные компании), который удаляет весь рабочий профиль и все его содержимое.
Вопрос. Почему не удается найти путь к файлу Внутреннее хранилище/Android/Data.com.microsoft.windowsintune.companyportal/files на устройстве, зарегистрированном в рабочем профиле, для сбора журналов Корпоративный портал вручную?
Ответ. Это поведение ожидается. Этот путь создается только для сценария Администратор устройства (устаревшая регистрация Android).
Чтобы собрать журналы, выполните следующие действия.
- В приложении Корпоративный портал с индикатором событий выберите Пункт Меню>Справка>Email Поддержка, а затем выберите Отправить Email & отправить журналы.
- При появлении запроса отправить запрос на помощь с выберите одно из Email приложений.
- Ит-администратору создается сообщение электронной почты с идентификатором инцидента, который можно предоставить в службу поддержки продуктов Майкрософт.
Вопрос. Я проверил время последней синхронизации Управляемого Google Play, и оно не обновлялось в течение нескольких дней. Почему?
Ответ. Это поведение ожидается. Синхронизация активируется только при выполнении этого вручную.
Вопрос. Поддерживаются ли веб-приложения для устройств, зарегистрированных в рабочих профилях?
Ответ: Да. Веб-приложения (или веб-ссылки) поддерживаются во всех сценариях Android Enterprise.
Вопрос. Поддерживается ли сброс секретного кода устройства?
Ответ. Для устройств, зарегистрированных в рабочем профиле, можно сбрасывать секретный код рабочего профиля только на устройствах под управлением Android 8.0 и более поздних версий, если секретный код рабочего профиля управляется и пользователь разрешил сбросить его. Для выделенных и полностью управляемых устройств поддерживается сброс секретного кода устройства.
Вопрос. Мое устройство должно быть зашифровано при регистрации. Можно ли отключить шифрование?
Ответ: Нет. Google требует шифрования для рабочего профиля.
Вопрос. Почему устройства Samsung блокируют использование сторонних клавиатур, таких как SwiftKey?
Ответ: Samsung начал применять это на устройствах Android 8.0 и более поздних версий. Корпорация Майкрософт в настоящее время работает с Samsung по этой проблеме и будет публиковать новые сведения, когда они будут доступны.