Dela via


Distributionsguide: Hantera Android-enheter i Microsoft Intune

Intune stöder hantering av mobila enheter (MDM) för Android-enheter för att ge användare säker åtkomst till e-post, data och appar i arbetet. Den här guiden innehåller Android-specifika resurser som hjälper dig att konfigurera registrering i Intune och distribuera appar och principer till användare och enheter.

Förhandskrav

Innan du börjar måste du uppfylla dessa krav för att aktivera Android-enhetshantering i Intune. Mer detaljerad information om hur du konfigurerar, registrerar eller flyttar till Intune finns i distributionsguiden för Intune-konfiguration.

Information om Roller och behörigheter för Microsoft Intune finns i RBAC med Microsoft Intune. Rollerna Global administratör och Intune-administratör i Microsoft Entra har fullständiga rättigheter i Microsoft Intune. Den globala administratören har fler behörigheter än vad som behövs för många enhetshanteringsuppgifter i Microsoft Intune. Vi rekommenderar att du använder den minst privilegierade roll som krävs för att utföra uppgifter. Den minst privilegierade roll som kan utföra enhetsregistreringsuppgifter är till exempel Princip- och profilhanteraren, en inbyggd Intune-roll.

Planera för distributionen

Använd planeringsguiden för Microsoft Intune för att få hjälp med att planera, utforma och implementera Microsoft Intune i din organisation. Guiden innehåller information som hjälper dig att:

  • Fastställa mål, användningsfall och krav.
  • Skapa distributions- och kommunikationsplaner.
  • Skapa support-, testnings- och valideringsplaner.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Skapa efterlevnadsregler

Använd efterlevnadsprinciper för att definiera de regler och villkor som användare och enheter ska uppfylla för att få åtkomst till organisationens skyddade resurser. Du kan också skapa principer för villkorsstyrd åtkomst som fungerar tillsammans med dina resultat för enhetsefterlevnad för att blockera åtkomst till resurser från icke-kompatibla enheter. En detaljerad förklaring om efterlevnadsprinciper och hur du kommer igång finns i Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune.

Följande uppgifter gäller för både Android Enterprise- och Android-enhetsadministratörsplattformar.

Uppgift Beskrivning
Skapa en efterlevnadsprincip Få stegvisa anvisningar om hur du skapar och tilldelar en efterlevnadsprincip till användar- och enhetsgrupper.
Lägg till åtgärder vid inkompatibilitet Välj vad som ska hända när enheter inte längre uppfyller villkoren i din efterlevnadsprincip. Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar efterlevnadsprinciper för enheter, eller senare genom att redigera principen.
Skapa en enhetsbaserad eller appbaserad princip för villkorsstyrd åtkomst. Ange den app eller de tjänster som du vill skydda och definiera villkoren för åtkomst.
Blockera åtkomst till appar som inte använder modern autentisering Skapa en appbaserad princip för villkorsstyrd åtkomst för att blockera appar som använder andra autentiseringsmetoder än OAuth2. Du kan till exempel blockera appar som använder grundläggande och formulärbaserad autentisering. Innan du blockerar åtkomst loggar du in på Microsoft Entra-ID och granskar aktivitetsrapporten för autentiseringsmetoder för att se om användarna använder grundläggande autentisering för att få åtkomst till viktiga saker (t.ex. kiosker i mötesrummets kalender) som du har glömt bort eller inte känner till.

Konfigurera slutpunktsskydd

Använd intune-slutpunktssäkerhetsfunktionerna för att konfigurera enhetssäkerhet och hantera säkerhetsuppgifter för enheter i farozonen.

Följande uppgifter gäller för både Android Enterprise- och Android-enhetsadministratörsplattformar.

Uppgift Beskrivning
Hantera enheter med säkerhetsfunktioner för slutpunkter Använd inställningarna för slutpunktssäkerhet i Intune för att effektivt hantera enhetssäkerhet och åtgärda problem för enheter.
Aktivera MTD-anslutningsappen (Mobile Threat Defense) för registrerade enheter Aktivera MTD-anslutningen i Intune så att MTD-partnerappar kan fungera med Intune och dina principer för MTD-enhetsefterlevnad. Om du inte använder Microsoft Defender för Endpoint kan du aktivera anslutningsappen så att du kan använda en annan lösning för skydd mot mobilhot. Du kan också aktivera MTD-anslutningsappen för enheter som inte har registrerats i Intune.
Skapa MTD-appskyddsprincip Skapa en Intune-appskyddsprincip som utvärderar risker och begränsar en enhets åtkomst till arbets- eller skolappar.
Skapa en efterlevnadsprincip för MTD-enheter Skapa en Intune-appskyddsprincip som utvärderar risker och begränsar en enhets företagsåtkomst baserat på hotnivån.
Lägga till och tilldela MTD-appar Lägg till och distribuera MTD-appar i Intune. Dessa appar fungerar med dina principer för enhetsefterlevnad och appskydd för att identifiera och hjälpa till att åtgärda enhetshot. Du kan också tilldela MTD-appar till enheter som inte har registrerats i Intune.

Konfigurera enhetsinställningar

Använd Microsoft Intune för att aktivera eller inaktivera inställningar och funktioner på enheter. Om du vill konfigurera och framtvinga de här inställningarna skapar du en enhetsprofil och tilldelar sedan profilen till grupper i din organisation. Enheterna får profilen när de har registrerats.

Uppgift Beskrivning Plattform
Skapa en enhetsprofil i Microsoft Intune Läs mer om de olika typer av enhetsprofiler som du kan skapa för din organisation. Android Enterprise, Android-enhetsadministratör
Konfigurera Wi-Fi profil Med den här profilen kan personer hitta och ansluta till organisationens Wi-Fi-nätverk. En beskrivning av inställningarna i det här området finns i referensen Wi-Fi inställningar för Android Enterprise Wi-Fi-inställningar eller Android-enhetsadministratör Wi-Fi inställningar. Android Enterprise, Android-enhetsadministratör
Konfigurera VPN-profil Konfigurera ett säkert VPN-alternativ, till exempel Microsoft Tunnel, för personer som ansluter till organisationens nätverk. En beskrivning av inställningarna i det här området finns i VPN-inställningsreferensen för VPN-inställningar för Android Enterprise eller VPN-inställningar för Android-enhetsadministratör. Android Enterprise, Android-enhetsadministratör
Konfigurera e-postprofil Konfigurera e-postinställningar så att personer kan ansluta till en e-postserver och komma åt sin e-post på arbetet eller skolan. En beskrivning av inställningarna i det här området finns i e-postinställningar för Android Enterprise eller e-postinställningar för Android-enhetsadministratör. Android Enterprise, Android-enhetsadministratör
Begränsa enhetsfunktioner Skydda användare från obehörig åtkomst och distraktioner genom att begränsa vilka enhetsfunktioner de kan använda på jobbet eller i skolan. En beskrivning av inställningarna i det här området finns i Enhetsinställningar för Android Enterprise eller Enhetsadministratörsinställningar för Android-enheter. Android Enterprise, Android-enhetsadministratör
Konfigurera anpassade inställningar för Android-enhetsadministratör Lägg till eller skapa anpassade inställningar som inte är inbyggda i Intune, till exempel en VPN-profil per app och webbskydd med Microsoft Defender för Endpoint. Android-enhetsadministratör
Konfigurera Samsung Knox-appar Skapa en anpassad profil för att tillåta och blockera appar för Samsung Knox Standard-enheter. Android-enhetsadministratör
Skapa en anpassad profil för Android Enterprise Lägg till eller skapa anpassade inställningar som inte är inbyggda i Intune för personligt ägda enheter. Android enterprise
Konfigurera Profil för Zebra Mobility Extensions (MX) Använd Zebras MX-profiler (Mobility Extensions) för att anpassa eller lägga till fler Zebra-specifika inställningar i Intune. Android-enhetsadministratör
Skapa en OEMConfig-konfigurationsprofil Använd OEMConfig för att lägga till, skapa och anpassa OEM-specifika inställningar för Android Enterprise-enheter. Android enterprise
Anpassa varumärkes- och registreringsupplevelse Anpassa Intune-företagsportalen och Microsoft Intune-apparna med organisationens varumärke för att skapa en välbekant upplevelse för personer som registrerar sina enheter. Android Enterprise, Android-enhetsadministratör

Konfigurera säkra autentiseringsmetoder

Konfigurera autentiseringsmetoder i Intune för att säkerställa att endast behöriga personer får åtkomst till dina interna resurser. Intune stöder multifaktorautentisering, SCEP- och PKCS-certifikat och härledda autentiseringsuppgifter. Certifikat kan också användas för signering och kryptering av e-post med hjälp av S/MIME.

Uppgift Beskrivning Plattform
Kräv multifaktorautentisering (MFA) Kräv att personer anger två former av autentiseringsuppgifter vid tidpunkten för registreringen. Android enterprise
Skapa en betrodd certifikatprofil Skapa och distribuera en betrodd certifikatprofil innan du skapar en SCEP-, PKCS- eller PKCS-importerad certifikatprofil. Den betrodda certifikatprofilen distribuerar det betrodda rotcertifikatet till enheter med scep-, PKCS- och PKCS-importerade certifikat. Android Enterprise, Android-enhetsadministratör
Använda SCEP-certifikat med Intune Lär dig vad som behövs för att använda SCEP-certifikat med Intune och konfigurera den infrastruktur som krävs. När du gör det kan du skapa en SCEP-certifikatprofil eller konfigurera en certifikatutfärdare från tredje part med SCEP. Android enterprise
Använda PKCS-certifikat med Intune Konfigurera nödvändig infrastruktur (till exempel lokala certifikatkopplingar), exportera ett PKCS-certifikat och lägg till certifikatet i en Intune-enhetskonfigurationsprofil. Android Enterprise, Android-enhetsadministratör
Använda importerade PKCS-certifikat med Intune Konfigurera importerade PKCS-certifikat som gör att du kan konfigurera och använda S/MIME för att kryptera e-post. Android Enterprise, Android-enhetsadministratör
Konfigurera en utfärdare för härledda autentiseringsuppgifter Etablera Android-enheter med certifikat som härleds från användarens smartkort. Android enterprise

Distribuera appar

När du konfigurerar appar och appprinciper bör du tänka på organisationens krav, till exempel de plattformar som du stöder, de uppgifter som användarna behöver utföra, vilken typ av appar de behöver för att utföra dessa uppgifter och de grupper som behöver dessa appar. Du kan använda Intune för att hantera hela enheten (inklusive appar) eller använda Intune för att endast hantera appar.

Uppgift Beskrivning Plattform
Lägga till Google Play Store-appar Lägg till Android-appar från Google Play Store. Android-enhetsadministratör
Lägga till hanterade Google Play-appar Lägg till store-appar, verksamhetsspecifika appar (LOB) och webbappar via den hanterade Google Play Store. Android enterprise
Lägga till Android Enterprise-systemappar Använd Intune för att aktivera och inaktivera Android Enterprise-systemappar. Android enterprise
Lägg till webbappar Lägg till webbappar i Intune och tilldela till grupper. Android-enhetsadministratör
Lägg till inbyggda appar Lägg till inbyggda appar i Intune och tilldela grupper. Android-enhetsadministratör
Lägga till verksamhetsspecifika appar Lägg till verksamhetsspecifika Android-appar (LOB) i Intune och tilldela till grupper. Android-enhetsadministratör
Tilldela appar till grupper Tilldela appar till användare och enheter. Android Enterprise, Android-enhetsadministratör
Inkludera och exkludera apptilldelningar Kontrollera åtkomst och tillgänglighet för en app genom att inkludera och exkludera valda grupper från tilldelning. Android Enterprise, Android-enhetsadministratör
Skapa en Android-appskyddsprincip Behåll organisationens data i hanterade appar som Outlook och Word. Mer information om varje inställning finns i Inställningar för Android-appskyddsprinciper. Android Enterprise, Android-enhetsadministratör
Verifiera din appskyddsprincip Kontrollera att din appskyddsprincip är korrekt konfigurerad och fungerar innan du distribuerar den i hela organisationen. Android Enterprise, Android-enhetsadministratör
Skapa en appkonfigurationsprincip Tillämpa anpassade konfigurationsinställningar på Android-appar på registrerade enheter. Du kan också tillämpa dessa typer av principer på hanterade appar, utan enhetsregistrering. Android Enterprise, Android-enhetsadministratör
Konfigurera Microsoft Edge Använd Intunes appskydds- och konfigurationsprinciper med Microsoft Edge för Android för att säkerställa att företagswebbplatser används med skydd på plats. Android Enterprise, Android-enhetsadministratör
Konfigurera Google Chrome Använd en intune-appkonfigurationsprincip för att konfigurera Google Chrome på Android-enheter som registrerats i Intune. Android enterprise
Konfigurera Microsoft Managed Home Screen-appen Konfigurera hanterad startskärm på företagsägda dedikerade Android Enterprise-enheter som registrerats via Intune och som körs i helskärmsläge för flera appar. Android enterprise
Konfigurera Microsoft Launcher-appen Konfigurera Microsoft Launcher för att anpassa startskärmen på organisationens fullständigt hanterade enheter. Android enterprise
Konfigurera Microsoft Office appar Använd programskydds- och konfigurationsprinciper för Intune med Office-appar för att säkerställa att företagsfiler kommers åt med säkerhetsåtgärder. Android enterprise
Konfigurera Microsoft Teams Använd programskydds- och konfigurationsprinciperna för Intune med Teams för att säkerställa att samarbetsgruppfunktioner används med säkerhetsåtgärder. Android enterprise
Konfigurera Microsoft Outlook Använd programskydds- och konfigurationsprinciper för Intune med Outlook för att se till att företags-e-post och -kalendrar skyddas. Android enterprise

Registrera enheter

Genom att registrera enheter kan de ta emot de principer som du skapar, så förbered dina Microsoft Entra-användargrupper och enhetsgrupper.

Intune stöder följande registreringsmetoder för Android-enheter:

  • BYOD (Bring Your Own Device): Personligt ägda Android Enterprise-enheter med en arbetsprofil
  • Företagsägda Android Enterprise-enheter
  • Fullständigt hanterad Android Enterprise-företagsägd
  • Företagsägd Android Enterprise-arbetsprofil
  • Android-enhetsadministratör

Information om varje registreringsmetod och hur du väljer en som passar din organisation finns i registreringsguiden för Android-enheter för Microsoft Intune.

Uppgift Beskrivning Plattform
Ansluta Intune-kontot till ett hanterat Google Play-konto Om du vill aktivera Android Enterprise-hantering i Intune ansluter du ditt Intune-klientkonto till ditt hanterade Google Play-konto. Android enterprise
Konfigurera registrering av arbetsprofil för personligt ägda enheter Konfigurera hantering av arbetsprofil för personligt ägda enheter. Den här registreringsmetoden skapar ett separat område på enheten för arbetsrelaterade data så att personliga saker inte påverkas. Android enterprise
Konfigurera registrering av arbetsprofil för företagsägda enheter Konfigurera hantering av arbetsprofil för företagsägda enheter som är avsedda för arbete och personligt bruk. Den här registreringsmetoden skapar ett separat område på enheten för arbetsrelaterade data så att personliga saker inte påverkas. Android enterprise
Konfigurera registrering för dedikerade enheter Konfigurera registrering för företagsägda enheter med enkel användning i helskärmsläge. Android enterprise
Konfigurera registrering för fullständigt hanterade enheter Konfigurera registrering för företagsägda enheter som är associerade med en enskild användare och som endast används för arbete. Android enterprise
Registrera dedikerade, fullständigt hanterade eller företagsägda arbetsprofilenheter När du har konfigurerat Intune för Android Enterprise-registrering registrerar du enheter med någon av de fem registreringsmetoder som stöds. Android enterprise
Ställ in administratörsregistrering Konfigurera registrering av Android-enhetsadministratör. Den här metoden för att hantera enheter har ersatts av Android Enterprise, så vi rekommenderar inte att du registrerar nya enheter på det här sättet. Android-enhetsadministratör
Använda Samsung Knox Mobile-registrering för att automatiskt registrera Android-enheter Konfigurera Intune för Samsung Knox Mobile Enrollment (KME), vilket gör att du automatiskt kan registrera ett stort antal företagsägda Android-enheter. Android Enterprise, Android-enhetsadministratör
Identifiera enheter som företagsägda Tilldela företagsägd status till enheter för att aktivera fler hanterings- och identifieringsfunktioner i Intune. Företagsägd status kan inte tilldelas till enheter som registreras via Apple Business Manager. Android Enterprise, Android-enhetsadministratör
Ändra enhetsägande När en enhet har registrerats kan du ändra ägarskapsetiketten i Intune till företagsägd eller personligt ägd. Den här justeringen ändrar hur du kan hantera enheten. Android Enterprise, Android-enhetsadministratör
Felsök registreringsproblem Felsök och hitta lösningar på problem som uppstår under registreringen. Android Enterprise, Android-enhetsadministratör

Kör fjärråtgärder

När enheterna har konfigurerats kan du använda fjärråtgärder i Intune för att hantera och felsöka enheter på avstånd. Tillgängligheten varierar beroende på enhetsplattform. Om en åtgärd saknas eller är inaktiverad i portalen stöds den inte på enheten.

Uppgift Beskrivning
Köra fjärråtgärder i Intune Lär dig att öka detaljnivån och fjärrhantera och felsöka enskilda enheter i Intune. I den här artikeln visas alla fjärråtgärder som är tillgängliga i Intune och länkar till dessa procedurer.
Använd Intune för att åtgärda sårbarheter som upptäckts av Microsoft Defender för Endpoint Integrera Intune med Microsoft Defender för Endpoint för att dra nytta av Defenders hantering av hot och sårbarheter och använd Intune för att åtgärda den svaghet i slutpunkten som identifieras av Defender:s sårbarhetshanteringsfunktion.
Rensa företagsdata från Intune-hanterade appar Ta bort arbetsrelaterade data selektivt från en enhet.

Nästa steg

I de här självstudiekurserna för registrering får du lära dig hur du utför några av de viktigaste uppgifterna i Intune. Självstudiekurserna är innehåll på 100–200 nivåer för personer som är nybörjare i Intune eller ett visst scenario.

För iOS/iPadOS-versionen av den här guiden, se Distributionsguide: Hantera iOS/iPadOS-enheter i Microsoft Intune.