Guide från slutpunkt till slutpunkt för att konfigurera Android Enterprise-enheter i Microsoft Intune
Den här guiden hjälper administratörer att förstå hur de konfigurerar och felsöker Android Enterprise-enheter i en Microsoft Intune miljö. Den omfattar följande vanliga scenarier:
- Registrering till Google
- Programdistribution
- Aktivera registrering av arbetsprofil
- Konfigurera villkorlig åtkomst
- Slutanvändarupplevelsen för registrering av arbetsprofil
- Utfärda en återställning av lösenord för arbetsprofil
Det hjälper dig att avgöra vilken hanteringsfunktion som är bäst för din organisation och innehåller vanliga frågor och svar om Android Enterprise.
Utvärdera dina behov
Innan du aktiverar Android Enterprise-enheter i Intune måste du bestämma om du vill registrera enheterna som personliga enheter (Bring Your Own Device eller BYOD) eller som företagsenheter.
BYOD-enheter
BYOD-enheter har konfigurerats för att ha en Android Enterprise-arbetsprofil. Den här funktionen är inbyggd i Android 5.1 och senare versioner. Med den här funktionen kan arbetsappar och data lagras i ett separat, fristående, företagshanterat utrymme på enheten. Eftersom personliga appar och data finns kvar på enheten i användarens personliga profil kan anställda fortsätta att använda sin enhet som de brukar.
Företagsenheter
Det finns två alternativ för företagsägda enheter, och var och en av dem har ett unikt användningsfall:
Dedikerade enheter (kallades tidigare COSU eller företagsägd enkel användning).
Obs!
Exemplet som används i den här guiden fokuserar på BYOD-scenarier. Mer information om scenarier med dedikerade enheter (COSU) finns i KONFIGURATION och registrering av COSU med hjälp av QR-kodregistreringsmetoden.
Dedikerade enheter är vanligtvis låsta till en enda app eller en uppsättning appar (kallas även helskärmsläge). Det gör att administratören kan styra saker som statusfältet, tangentbordslayouter, låsskärmen och andra inställningar på enheten. Det hindrar användare från att aktivera andra appar eller ändra vissa inställningar på dedikerade enheter.
Obs!
Enheter som du hanterar på det här sättet registreras i Intune utan ett användarkonto och är inte associerade med någon slutanvändare. De är inte avsedda för program eller appar för personligt bruk som har ett starkt krav på användarspecifika kontodata som Outlook eller Gmail.
Fullständigt hanterade enheter (kallades tidigare COBO eller endast företagsägda företag).
Obs!
Mer information om fullständigt hanterade enheter finns i Konfigurera Intune registrering av fullständigt hanterade Android Enterprise-enheter.
Fullständigt hanterade enheter passar in i ett mer användarcentrerat scenario. En enskild användare är associerad med enheten medan administratören fortfarande behåller fullständig kontroll över enheten (till skillnad från ett arbetsprofilscenario där flera användare har kontroll).
När du bestämmer dig för hur du ska registrera dina enheter bör du vara medveten om att inte alla funktioner är tillgängliga för båda metoderna. I följande tabell visas några viktiga skillnader.
Funktionsuppsättning | Arbetsprofil (BYOD) | Dedikerad (helskärmsläge) | Fullständigt hanterad |
---|---|---|---|
Hanterad Email profil | ✓ | × | ✓ |
Hanterad Wi-Fi profil | ✓ | ✓ | ✓ |
Hanterad VPN-profil | ✓ | × | ✓ |
SCEP-certifikatprofil | ✓ | ✓ | ✓ |
PKCS-certifikatprofil | ✓ | × | ✓ |
Betrodd certifikatprofil | ✓ | ✓ | ✓ |
Anpassad profil | ✓ | × | X |
Förhindra fabriksåterställning | × | ✓ | ✓ |
Blockera kamera & skärmdump | ✓ | ✓ | ✓ |
Blockera volymknappar | × | ✓ | ✓ |
Blockera kopiering och inklistring/datadelning | ✓ | ✓ | ✓ |
Hanterat lösenord | ✓ | ✓ | ✓ |
Hanterade program (krävs) | ✓ | ✓ | ✓ |
Hanterade program (tillgängliga) | ✓ | × | ✓ |
Containerbaserad profil | ✓ | × | X |
Helskärmsnivå Enhetshantering | × | ✓ | X |
Personliga Enhetshantering | ✓ | × | X |
NFC-Based registrering | × | ✓ | ✓ |
Token-Based registrering | × | ✓ | ✓ |
QR Code-Based-registrering | × | ✓ | ✓ |
Zero Touch | × | ✓ | ✓ |
Efterlevnad/villkorsstyrd åtkomst | ✓ | × | ✓ |
Mer information finns i Implementera din Microsoft Intune-plan.
Ansluta ett Intune-konto till ett Android Enterprise-konto
Det första steget för att konfigurera Android Enterprise i din miljö är att ansluta ditt Intune klientkonto till ditt Android Enterprise-konto:
Skapa ett Google-tjänstkonto (@gmail.com).
Obs!
Det här kontot kommer att associeras med alla Android Enterprise-hanteringsuppgifter för din klientorganisation. Det är det Google-konto som företagets IT-administratörer delar för att hantera och publicera appar i Google Play-konsolen. Du kan använda ett befintligt Google-konto eller skapa ett nytt. Det konto som du använder får inte associeras med en G-Suite-domän.
Logga in på Microsoft Intune administrationscenter med ditt Intune-licensierade globala administratörskonto.
Gå till Enheter>Android>Android-registrering>Hanterad Google Play, välj Jag accepterar och välj sedan Starta Google för att ansluta nu för att öppna webbplatsen för Hanterat Google Play-konto.
Logga in på ditt Google-konto och välj sedan Kom igång.
Ange ditt företagsnamn och välj sedan Nästa.
Godkänn villkoren och välj sedan Bekräfta.
Välj Slutför registrering.
Mer information finns i Ansluta ditt Intune-konto till ditt hanterade Google Play-konto.
Distribuera program
När ditt Intune-konto är anslutet till ditt Android Enterprise-konto kan du distribuera vissa program genom att följa dessa steg:
Logga in på Microsoft Intune administrationscenter med ditt Intune-licensierade globala administratörskonto.
Gå till Appar>Alla appar>Lägg till.
I fönstret Välj apptyp letar du upp de tillgängliga Store-apptyperna och väljer sedan Hanterad Google Play-app.
Välj Välj. Den hanterade Google Play-appbutiken visas.
Sök efter en app för att visa appinformationen. Exempel: Intune-företagsportal app.
På sidan som visar appen väljer du Godkänn. Ett fönster för appen öppnas och du uppmanas att ge behörighet för appen att utföra olika åtgärder.
Välj Godkänn igen för att godkänna appbehörigheterna.
På fliken Godkännandeinställningar väljer du Behåll godkänd när appen begär nya behörigheter och väljer sedan Spara.
Klicka på Välj för att välja appen.
Välj Synkronisera högst upp för att synkronisera appen med den hanterade Google Play-tjänsten.
Välj Uppdatera för att uppdatera applistan och visa den nyligen tillagda appen.
Obs!
Appsynkroniseringen mellan Intune och Den hanterade Google Play-butiken är manuell. Därför måste du välja knappen Synkronisera varje gång du godkänner en ny app.
När appen har lagts till i Microsoft Intune kan du tilldela appen till användare och enheter. Från Microsoft Intune administrationscenter går du till Appar>Alla appar. Titta under Hantera för att se appen som visas i listan.
Om du vill tilldela appen till en grupp väljer du den app som du vill tilldela. I avsnittet Hantera på menyn väljer du Egenskaper och sedan Redigera bredvid Tilldelningar för att öppna fönstret Lägg till grupp .
På fliken Tilldelningar , under Obligatoriskt, väljer du Lägg till grupp, väljer de grupper som ska inkluderas och väljer sedan Välj.
I fönstret Tilldela väljer du Granska + spara för att slutföra valet av inkluderade grupper.
I fönstret Tilldelningar väljer du Spara för att spara ändringarna.
Gå tillbaka till vyn Appegenskaper och verifiera appen under Tilldelningar.
Mer information om appdistribution finns i Lägga till Android Enterprise-systemappar i Microsoft Intune.
Aktivera registrering av Android Enterprise-arbetsprofil
I Intune-portalen går du tillRegistreringsbegränsningar för enhet> och väljer sedan Standard under Begränsningar för enhetstyp.
Välj Egenskaper>Välj plattformar, välj Blockera för Android, välj Tillåt för Android-arbetsprofil, välj OK och välj sedan Spara för att spara ändringarna.
Obs!
Standardbegränsningar har lägst prioritet och gäller för alla användare. Detta kan inte redigeras. När du skapar ytterligare anpassade begränsningar bör du vara medveten om de grupper som de har tilldelats så att du inte skapar en konflikt med den här konfigurationen.
Mer information finns i Konfigurera registrering av Android Enterprise-arbetsprofilenheter.
Konfigurera villkorad åtkomst
Distribuera Gmail-appen eller Nine Work-appen som Obligatorisk.
Skapa en e-postprofil till appen genom att följa dessa steg:
I Intune Azure Portal väljer du Enhetskonfigurationsprofiler>>Skapa profil och anger sedan Namn och Beskrivning för e-postprofilen.
Välj Android Enterprise i listrutan Plattform .
I Profiltyp>Endast arbetsprofil väljer du Email.
Konfigurera e-postprofilinställningarna.
Mer information om de här inställningarna finns i Android-enhetsinställningar för att konfigurera e-post, autentisering och synkronisering i Intune.
När du har skapat e-postprofilen tilldelar du den till grupper.
Konfigurera enhetsbaserad villkorlig åtkomst.
Mer information finns i Konfigurera villkorlig åtkomst för Android-arbetsprofilenheter.
Registrera din Android Enterprise-enhet
Logga in med ditt arbetskonto och tryck sedan på Registrera nu.
På skärmen Åtkomstkonfiguration trycker du på Fortsätt.
På skärmen sekretesspolicy trycker du på Fortsätt.
På skärmen Vad händer härnäst trycker du på Nästa.
På skärmen Konfigurera en arbetsprofil trycker du på Acceptera.
Tryck på Fortsätt på skärmen Aktivera arbetsprofil.
Obs!
Du kan se en märkesikon överst, vilket innebär att du nu är inne i arbetsprofilen.
På skärmen Du är helt inställd trycker du på Klar.
Nu kan du logga in på Gmail. När du uppmanas att uppdatera säkerhetsinställningarna trycker du på UPPDATERA NU.
Tryck på Aktivera för att aktivera Gmail som enhetsadministratör.
Mer information finns i Registrera Android-enheter.
Återställa Lösenord för Android-arbetsprofil
Skapa en enhetsprofil som kräver ett lösenord för arbetsprofilen genom att följa dessa steg:
I Intune Azure Portal väljer du Enhetskonfigurationsprofiler>>Skapa profil, anger Namn och Beskrivning för profilen.
Välj Android Enterprise i listrutan Plattform .
IEndast profiltypsarbetsprofil> väljer du Enhetsbegränsningar.
I Arbetsprofilinställningar väljer du Kräv i Kräv lösenord för arbetsprofil.
På Android Enterprise-enheten uppmanas du att ange ett lösenord för arbetsprofilen om du inte har angett något.
Vänta tills du får en andra uppmaning om att skydda din arbetsprofil – Auktorisera företagets support för att fjärråterställa lösenordet för din arbetsprofil. Ange lösenordet för att auktorisera återställning. Den aktiverar återställningslösenordstoken som Intune behöver för att utföra den här åtgärden.
Obs!
Om du hoppar över något av de här stegen får du följande felmeddelande:
Det gick inte att initiera återställningslösenordetVälj Återställ lösenord.
När återställningen är klar visas det tillfälliga lösenordet.
Ange det här tillfälliga lösenordet på enheten.
När du måste ange din nya PIN-kod måste du ange det här tillfälliga lösenordet igen och sedan ange din nya PIN-kod.
Mer information om lösenordsåterställning finns i Återställa Lösenord för Android-arbetsprofil.
Vanliga frågor och svar
Fråga: Varför tas inte appar som jag inte har godkänt från Google Play for Work Store bort från sidan Mobilappar i Intune Admin-portalen?
Svar: Det här beteendet är förväntat.
Fråga: Varför rapporteras inte hanterade Google Play-appar under Identifierade appar i Intune-portalen?
Svar: Det här beteendet är förväntat.
Fråga: Varför visas hanterade Google Play-appar som inte distribueras via Intune i arbetsprofilen?
Svar: Systemappar kan aktiveras i arbetsprofilen av enhetens OEM när arbetsprofilen skapas. Den styrs inte av MDM-providern.
Följ dessa steg för att felsöka:
- Samla in Företagsportal loggar.
- Observera alla appar som oväntat visas i arbetsprofilen.
- Avregistrera enheten från Intune och avinstallera Företagsportal.
- Installera test-DPC-appen som gör det möjligt att skapa en arbetsprofil utan EMM för testning.
- Följ anvisningarna i Testa DPC för att skapa en arbetsprofil på enheten.
- Granska appar som visas i arbetsprofilen.
- Om samma program visas i test-DPC-appen förväntas apparna av OEM-tillverkaren för den enheten.
Fråga: Varför är alternativet Rensa (fabriksåterställning) inte tillgängligt för min arbetsprofilregistrerade enhet?
Svar: Det här beteendet är förväntat. I scenariot med arbetsprofilen har MDM-providern inte fullständig kontroll över enheten. Det enda tillgängliga alternativet är Dra tillbaka (Ta bort företagsdata) som tar bort hela arbetsprofilen och allt dess innehåll.
Fråga: Varför kan jag inte hitta filsökvägen Intern lagring/Android/Data.com.microsoft.windowsintune.companyportal/files på min arbetsprofilregistrerade enhet för att manuellt samla in Företagsportal loggar?
Svar: Det här beteendet är förväntat. Den här sökvägen skapas bara för scenariot Device Admin (Legacy Android Enrollment).
Följ dessa steg för att samla in loggar:
- I Företagsportal app med märket trycker du påMenyhjälp>>Email Support och sedan på Skicka Email & Ladda upp loggar.
- När du uppmanas att skicka hjälpbegäran med väljer du en av de Email apparna.
- Ett e-postmeddelande genereras till IT-administratören med ett incident-ID som kan tillhandahållas microsofts produktsupport.
Fråga: Jag har kontrollerat den senaste synkroniseringstiden för Google Play och den har inte uppdaterats på några dagar. Varför?
Svar: Det här beteendet är förväntat. Synkroniseringen utlöses endast när du gör det manuellt.
Fråga: Stöds webbprogram för arbetsprofilregistrerade enheter?
Svar: Ja. Webbappar (eller webblänkar) stöds för alla Android Enterprise-scenarier.
Fråga: Stöds återställning av enhetens lösenord?
Svar: För arbetsprofilregistrerade enheter kan du endast återställa lösenordet för arbetsprofilen på enheter som kör Android 8.0+ om lösenordet för arbetsprofilen hanteras och användaren har tillåtit dig att återställa det. För dedikerade och fullständigt hanterade enheter stöds återställning av enhetslösenord.
Fråga: Min enhet måste vara krypterad vid registreringen. Finns det något alternativ för att inaktivera kryptering?
Svar: Nej. Kryptering krävs av Google för arbetsprofilen.
Fråga: Varför blockerar Samsung-enheter användningen av tangentbord från tredje part som SwiftKey?
Svar: Samsung började tillämpa detta på Android 8.0+-enheter. Microsoft arbetar för närvarande med Samsung i det här problemet och publicerar ny information när den är tillgänglig.