Distributionsguide: Hantera Android-enheter i Microsoft Intune
Intune stöder hantering av mobila enheter (MDM) för Android-enheter för att ge användare säker åtkomst till e-post, data och appar i arbetet. Den här guiden innehåller Android-specifika resurser som hjälper dig att konfigurera registrering i Intune och distribuera appar och principer till användare och enheter.
Förhandskrav
Innan du börjar måste du uppfylla dessa krav för att aktivera Android-enhetshantering i Intune. Mer detaljerad information om hur du konfigurerar, registrerar eller flyttar till Intune finns i distributionsguiden för Intune-konfiguration.
- Lägg till användare och grupper
- Tilldela licenser till användare
- Ange utfärdare för hantering av mobila enheter
Information om Roller och behörigheter för Microsoft Intune finns i RBAC med Microsoft Intune. Rollerna Global administratör och Intune-administratör i Microsoft Entra har fullständiga rättigheter i Microsoft Intune. Den globala administratören har fler behörigheter än vad som behövs för många enhetshanteringsuppgifter i Microsoft Intune. Vi rekommenderar att du använder den minst privilegierade roll som krävs för att utföra uppgifter. Den minst privilegierade roll som kan utföra enhetsregistreringsuppgifter är till exempel Princip- och profilhanteraren, en inbyggd Intune-roll.
Planera för distributionen
Använd planeringsguiden för Microsoft Intune för att få hjälp med att planera, utforma och implementera Microsoft Intune i din organisation. Guiden innehåller information som hjälper dig att:
- Fastställa mål, användningsfall och krav.
- Skapa distributions- och kommunikationsplaner.
- Skapa support-, testnings- och valideringsplaner.
Viktigt
Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.
Skapa efterlevnadsregler
Använd efterlevnadsprinciper för att definiera de regler och villkor som användare och enheter ska uppfylla för att få åtkomst till organisationens skyddade resurser. Du kan också skapa principer för villkorsstyrd åtkomst som fungerar tillsammans med dina resultat för enhetsefterlevnad för att blockera åtkomst till resurser från icke-kompatibla enheter. En detaljerad förklaring om efterlevnadsprinciper och hur du kommer igång finns i Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune.
Följande uppgifter gäller för både Android Enterprise- och Android-enhetsadministratörsplattformar.
| Uppgift | Beskrivning |
|---|---|
| Skapa en efterlevnadsprincip | Få stegvisa anvisningar om hur du skapar och tilldelar en efterlevnadsprincip till användar- och enhetsgrupper. |
| Lägg till åtgärder vid inkompatibilitet | Välj vad som ska hända när enheter inte längre uppfyller villkoren i din efterlevnadsprincip. Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar efterlevnadsprinciper för enheter, eller senare genom att redigera principen. |
| Skapa en enhetsbaserad eller appbaserad princip för villkorsstyrd åtkomst. | Ange den app eller de tjänster som du vill skydda och definiera villkoren för åtkomst. |
| Blockera åtkomst till appar som inte använder modern autentisering | Skapa en appbaserad princip för villkorsstyrd åtkomst för att blockera appar som använder andra autentiseringsmetoder än OAuth2. Du kan till exempel blockera appar som använder grundläggande och formulärbaserad autentisering. Innan du blockerar åtkomst loggar du in på Microsoft Entra-ID och granskar aktivitetsrapporten för autentiseringsmetoder för att se om användarna använder grundläggande autentisering för att få åtkomst till viktiga saker (t.ex. kiosker i mötesrummets kalender) som du har glömt bort eller inte känner till. |
Konfigurera slutpunktsskydd
Använd intune-slutpunktssäkerhetsfunktionerna för att konfigurera enhetssäkerhet och hantera säkerhetsuppgifter för enheter i farozonen.
Följande uppgifter gäller för både Android Enterprise- och Android-enhetsadministratörsplattformar.
| Uppgift | Beskrivning |
|---|---|
| Hantera enheter med säkerhetsfunktioner för slutpunkter | Använd inställningarna för slutpunktssäkerhet i Intune för att effektivt hantera enhetssäkerhet och åtgärda problem för enheter. |
| Aktivera MTD-anslutningsappen (Mobile Threat Defense) för registrerade enheter | Aktivera MTD-anslutningen i Intune så att MTD-partnerappar kan fungera med Intune och dina principer för MTD-enhetsefterlevnad. Om du inte använder Microsoft Defender för Endpoint kan du aktivera anslutningsappen så att du kan använda en annan lösning för skydd mot mobilhot. Du kan också aktivera MTD-anslutningsappen för enheter som inte har registrerats i Intune. |
| Skapa MTD-appskyddsprincip | Skapa en Intune-appskyddsprincip som utvärderar risker och begränsar en enhets åtkomst till arbets- eller skolappar. |
| Skapa en efterlevnadsprincip för MTD-enheter | Skapa en Intune-appskyddsprincip som utvärderar risker och begränsar en enhets företagsåtkomst baserat på hotnivån. |
| Lägga till och tilldela MTD-appar | Lägg till och distribuera MTD-appar i Intune. Dessa appar fungerar med dina principer för enhetsefterlevnad och appskydd för att identifiera och hjälpa till att åtgärda enhetshot. Du kan också tilldela MTD-appar till enheter som inte har registrerats i Intune. |
Konfigurera enhetsinställningar
Använd Microsoft Intune för att aktivera eller inaktivera inställningar och funktioner på enheter. Om du vill konfigurera och framtvinga de här inställningarna skapar du en enhetsprofil och tilldelar sedan profilen till grupper i din organisation. Enheterna får profilen när de har registrerats.
| Uppgift | Beskrivning | Plattform |
|---|---|---|
| Skapa en enhetsprofil i Microsoft Intune | Läs mer om de olika typer av enhetsprofiler som du kan skapa för din organisation. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera Wi-Fi profil | Med den här profilen kan personer hitta och ansluta till organisationens Wi-Fi-nätverk. En beskrivning av inställningarna i det här området finns i referensen Wi-Fi inställningar för Android Enterprise Wi-Fi-inställningar eller Android-enhetsadministratör Wi-Fi inställningar. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera VPN-profil | Konfigurera ett säkert VPN-alternativ, till exempel Microsoft Tunnel, för personer som ansluter till organisationens nätverk. En beskrivning av inställningarna i det här området finns i VPN-inställningsreferensen för VPN-inställningar för Android Enterprise eller VPN-inställningar för Android-enhetsadministratör. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera e-postprofil | Konfigurera e-postinställningar så att personer kan ansluta till en e-postserver och komma åt sin e-post på arbetet eller skolan. En beskrivning av inställningarna i det här området finns i e-postinställningar för Android Enterprise eller e-postinställningar för Android-enhetsadministratör. | Android Enterprise, Android-enhetsadministratör |
| Begränsa enhetsfunktioner | Skydda användare från obehörig åtkomst och distraktioner genom att begränsa vilka enhetsfunktioner de kan använda på jobbet eller i skolan. En beskrivning av inställningarna i det här området finns i Enhetsinställningar för Android Enterprise eller Enhetsadministratörsinställningar för Android-enheter. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera anpassade inställningar för Android-enhetsadministratör | Lägg till eller skapa anpassade inställningar som inte är inbyggda i Intune, till exempel en VPN-profil per app och webbskydd med Microsoft Defender för Endpoint. | Android-enhetsadministratör |
| Konfigurera Samsung Knox-appar | Skapa en anpassad profil för att tillåta och blockera appar för Samsung Knox Standard-enheter. | Android-enhetsadministratör |
| Skapa en anpassad profil för Android Enterprise | Lägg till eller skapa anpassade inställningar som inte är inbyggda i Intune för personligt ägda enheter. | Android enterprise |
| Konfigurera Profil för Zebra Mobility Extensions (MX) | Använd Zebras MX-profiler (Mobility Extensions) för att anpassa eller lägga till fler Zebra-specifika inställningar i Intune. | Android-enhetsadministratör |
| Skapa en OEMConfig-konfigurationsprofil | Använd OEMConfig för att lägga till, skapa och anpassa OEM-specifika inställningar för Android Enterprise-enheter. | Android enterprise |
| Anpassa varumärkes- och registreringsupplevelse | Anpassa Intune-företagsportalen och Microsoft Intune-apparna med organisationens varumärke för att skapa en välbekant upplevelse för personer som registrerar sina enheter. | Android Enterprise, Android-enhetsadministratör |
Konfigurera säkra autentiseringsmetoder
Konfigurera autentiseringsmetoder i Intune för att säkerställa att endast behöriga personer får åtkomst till dina interna resurser. Intune stöder multifaktorautentisering, SCEP- och PKCS-certifikat och härledda autentiseringsuppgifter. Certifikat kan också användas för signering och kryptering av e-post med hjälp av S/MIME.
| Uppgift | Beskrivning | Plattform |
|---|---|---|
| Kräv multifaktorautentisering (MFA) | Kräv att personer anger två former av autentiseringsuppgifter vid tidpunkten för registreringen. | Android enterprise |
| Skapa en betrodd certifikatprofil | Skapa och distribuera en betrodd certifikatprofil innan du skapar en SCEP-, PKCS- eller PKCS-importerad certifikatprofil. Den betrodda certifikatprofilen distribuerar det betrodda rotcertifikatet till enheter med scep-, PKCS- och PKCS-importerade certifikat. | Android Enterprise, Android-enhetsadministratör |
| Använda SCEP-certifikat med Intune | Lär dig vad som behövs för att använda SCEP-certifikat med Intune och konfigurera den infrastruktur som krävs. När du gör det kan du skapa en SCEP-certifikatprofil eller konfigurera en certifikatutfärdare från tredje part med SCEP. | Android enterprise |
| Använda PKCS-certifikat med Intune | Konfigurera nödvändig infrastruktur (till exempel lokala certifikatkopplingar), exportera ett PKCS-certifikat och lägg till certifikatet i en Intune-enhetskonfigurationsprofil. | Android Enterprise, Android-enhetsadministratör |
| Använda importerade PKCS-certifikat med Intune | Konfigurera importerade PKCS-certifikat som gör att du kan konfigurera och använda S/MIME för att kryptera e-post. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera en utfärdare för härledda autentiseringsuppgifter | Etablera Android-enheter med certifikat som härleds från användarens smartkort. | Android enterprise |
Distribuera appar
När du konfigurerar appar och appprinciper bör du tänka på organisationens krav, till exempel de plattformar som du stöder, de uppgifter som användarna behöver utföra, vilken typ av appar de behöver för att utföra dessa uppgifter och de grupper som behöver dessa appar. Du kan använda Intune för att hantera hela enheten (inklusive appar) eller använda Intune för att endast hantera appar.
| Uppgift | Beskrivning | Plattform |
|---|---|---|
| Lägga till Google Play Store-appar | Lägg till Android-appar från Google Play Store. | Android-enhetsadministratör |
| Lägga till hanterade Google Play-appar | Lägg till store-appar, verksamhetsspecifika appar (LOB) och webbappar via den hanterade Google Play Store. | Android enterprise |
| Lägga till Android Enterprise-systemappar | Använd Intune för att aktivera och inaktivera Android Enterprise-systemappar. | Android enterprise |
| Lägg till webbappar | Lägg till webbappar i Intune och tilldela till grupper. | Android-enhetsadministratör |
| Lägg till inbyggda appar | Lägg till inbyggda appar i Intune och tilldela grupper. | Android-enhetsadministratör |
| Lägga till verksamhetsspecifika appar | Lägg till verksamhetsspecifika Android-appar (LOB) i Intune och tilldela till grupper. | Android-enhetsadministratör |
| Tilldela appar till grupper | Tilldela appar till användare och enheter. | Android Enterprise, Android-enhetsadministratör |
| Inkludera och exkludera apptilldelningar | Kontrollera åtkomst och tillgänglighet för en app genom att inkludera och exkludera valda grupper från tilldelning. | Android Enterprise, Android-enhetsadministratör |
| Skapa en Android-appskyddsprincip | Behåll organisationens data i hanterade appar som Outlook och Word. Mer information om varje inställning finns i Inställningar för Android-appskyddsprinciper. | Android Enterprise, Android-enhetsadministratör |
| Verifiera din appskyddsprincip | Kontrollera att din appskyddsprincip är korrekt konfigurerad och fungerar innan du distribuerar den i hela organisationen. | Android Enterprise, Android-enhetsadministratör |
| Skapa en appkonfigurationsprincip | Tillämpa anpassade konfigurationsinställningar på Android-appar på registrerade enheter. Du kan också tillämpa dessa typer av principer på hanterade appar, utan enhetsregistrering. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera Microsoft Edge | Använd Intunes appskydds- och konfigurationsprinciper med Microsoft Edge för Android för att säkerställa att företagswebbplatser används med skydd på plats. | Android Enterprise, Android-enhetsadministratör |
| Konfigurera Google Chrome | Använd en intune-appkonfigurationsprincip för att konfigurera Google Chrome på Android-enheter som registrerats i Intune. | Android enterprise |
| Konfigurera Microsoft Managed Home Screen-appen | Konfigurera hanterad startskärm på företagsägda dedikerade Android Enterprise-enheter som registrerats via Intune och som körs i helskärmsläge för flera appar. | Android enterprise |
| Konfigurera Microsoft Launcher-appen | Konfigurera Microsoft Launcher för att anpassa startskärmen på organisationens fullständigt hanterade enheter. | Android enterprise |
| Konfigurera Microsoft Office appar | Använd programskydds- och konfigurationsprinciper för Intune med Office-appar för att säkerställa att företagsfiler kommers åt med säkerhetsåtgärder. | Android enterprise |
| Konfigurera Microsoft Teams | Använd programskydds- och konfigurationsprinciperna för Intune med Teams för att säkerställa att samarbetsgruppfunktioner används med säkerhetsåtgärder. | Android enterprise |
| Konfigurera Microsoft Outlook | Använd programskydds- och konfigurationsprinciper för Intune med Outlook för att se till att företags-e-post och -kalendrar skyddas. | Android enterprise |
Registrera enheter
Genom att registrera enheter kan de ta emot de principer som du skapar, så förbered dina Microsoft Entra-användargrupper och enhetsgrupper.
Intune stöder följande registreringsmetoder för Android-enheter:
- BYOD (Bring Your Own Device): Personligt ägda Android Enterprise-enheter med en arbetsprofil
- Företagsägda Android Enterprise-enheter
- Fullständigt hanterad Android Enterprise-företagsägd
- Företagsägd Android Enterprise-arbetsprofil
- Android-enhetsadministratör
Information om varje registreringsmetod och hur du väljer en som passar din organisation finns i registreringsguiden för Android-enheter för Microsoft Intune.
| Uppgift | Beskrivning | Plattform |
|---|---|---|
| Ansluta Intune-kontot till ett hanterat Google Play-konto | Om du vill aktivera Android Enterprise-hantering i Intune ansluter du ditt Intune-klientkonto till ditt hanterade Google Play-konto. | Android enterprise |
| Konfigurera registrering av arbetsprofil för personligt ägda enheter | Konfigurera hantering av arbetsprofil för personligt ägda enheter. Den här registreringsmetoden skapar ett separat område på enheten för arbetsrelaterade data så att personliga saker inte påverkas. | Android enterprise |
| Konfigurera registrering av arbetsprofil för företagsägda enheter | Konfigurera hantering av arbetsprofil för företagsägda enheter som är avsedda för arbete och personligt bruk. Den här registreringsmetoden skapar ett separat område på enheten för arbetsrelaterade data så att personliga saker inte påverkas. | Android enterprise |
| Konfigurera registrering för dedikerade enheter | Konfigurera registrering för företagsägda enheter med enkel användning i helskärmsläge. | Android enterprise |
| Konfigurera registrering för fullständigt hanterade enheter | Konfigurera registrering för företagsägda enheter som är associerade med en enskild användare och som endast används för arbete. | Android enterprise |
| Registrera dedikerade, fullständigt hanterade eller företagsägda arbetsprofilenheter | När du har konfigurerat Intune för Android Enterprise-registrering registrerar du enheter med någon av de fem registreringsmetoder som stöds. | Android enterprise |
| Ställ in administratörsregistrering | Konfigurera registrering av Android-enhetsadministratör. Den här metoden för att hantera enheter har ersatts av Android Enterprise, så vi rekommenderar inte att du registrerar nya enheter på det här sättet. | Android-enhetsadministratör |
| Använda Samsung Knox Mobile-registrering för att automatiskt registrera Android-enheter | Konfigurera Intune för Samsung Knox Mobile Enrollment (KME), vilket gör att du automatiskt kan registrera ett stort antal företagsägda Android-enheter. | Android Enterprise, Android-enhetsadministratör |
| Identifiera enheter som företagsägda | Tilldela företagsägd status till enheter för att aktivera fler hanterings- och identifieringsfunktioner i Intune. Företagsägd status kan inte tilldelas till enheter som registreras via Apple Business Manager. | Android Enterprise, Android-enhetsadministratör |
| Ändra enhetsägande | När en enhet har registrerats kan du ändra ägarskapsetiketten i Intune till företagsägd eller personligt ägd. Den här justeringen ändrar hur du kan hantera enheten. | Android Enterprise, Android-enhetsadministratör |
| Felsök registreringsproblem | Felsök och hitta lösningar på problem som uppstår under registreringen. | Android Enterprise, Android-enhetsadministratör |
Kör fjärråtgärder
När enheterna har konfigurerats kan du använda fjärråtgärder i Intune för att hantera och felsöka enheter på avstånd. Tillgängligheten varierar beroende på enhetsplattform. Om en åtgärd saknas eller är inaktiverad i portalen stöds den inte på enheten.
| Uppgift | Beskrivning |
|---|---|
| Köra fjärråtgärder i Intune | Lär dig att öka detaljnivån och fjärrhantera och felsöka enskilda enheter i Intune. I den här artikeln visas alla fjärråtgärder som är tillgängliga i Intune och länkar till dessa procedurer. |
| Använd Intune för att åtgärda sårbarheter som upptäckts av Microsoft Defender för Endpoint | Integrera Intune med Microsoft Defender för Endpoint för att dra nytta av Defenders hantering av hot och sårbarheter och använd Intune för att åtgärda den svaghet i slutpunkten som identifieras av Defender:s sårbarhetshanteringsfunktion. |
| Rensa företagsdata från Intune-hanterade appar | Ta bort arbetsrelaterade data selektivt från en enhet. |
Nästa steg
I de här självstudiekurserna för registrering får du lära dig hur du utför några av de viktigaste uppgifterna i Intune. Självstudiekurserna är innehåll på 100–200 nivåer för personer som är nybörjare i Intune eller ett visst scenario.
- Gå igenom Administrationscenter för Intune
- Konfigurera Slack för att använda Intune för enterprise mobility management (EMM) och appkonfiguration
För iOS/iPadOS-versionen av den här guiden, se Distributionsguide: Hantera iOS/iPadOS-enheter i Microsoft Intune.