设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册

Android Enterprise 公司拥有的工作配置文件设备是供公司和个人使用的单用户设备。

最终用户可以将其工作和个人数据分开，并保证个人数据和应用程序保持私密。 管理员可以控制整个设备的某些设置和功能，包括：

• 设置设备密码的要求
• 控制蓝牙和数据漫游
• 配置恢复出厂设置保护

Intune 可帮助将应用和设置部署到 Android Enterprise 公司拥有的工作配置文件设备。 有关 Android Enterprise 的特定详细信息，请参阅 Android Enterprise 要求。

设备要求

设备必须满足以下要求才能作为 Android Enterprise 公司拥有的工作配置文件设备进行托管：

• Android OS 版本 8.0 及更高版本。
• 设备必须运行具有 Google Mobile Services (GMS) 连接性的 Android 发行版。 设备必须有可用的 GMS，并且必须能连接到 GMS。

设置 Android Enterprise 公司拥有的工作配置文件设备管理

若要设置 Android Enterprise 公司拥有的工作配置文件设备，请执行以下步骤：

1. 若准备管理移动设备，必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune”以获取说明。 第一次设置 Intune 以进行移动设备管理时，只需设置一次此项。
2. 将 Intune 租户帐户连接到托管的 Google Play 帐户。
3. 创建注册配置文件。
4. 创建设备组。
5. 注册公司拥有的工作配置文件设备。

创建注册配置文件

注意

• 公司拥有的工作配置文件设备的令牌不会自动过期。 如果管理员决定撤销令牌，则与令牌关联的配置文件将不会显示在 设备>按平台>加入 Android>设备>注册>具有工作配置文件的公司拥有的设备中。 若要查看与活动令牌和非活动令牌关联的所有配置文件，请单击“筛选”，然后选中“活动”和“非活动”策略状态对应的框。
• 对于公司拥有的工作配置文件 (COPE) 设备，仅在运行 Android 8-10 的设备上支持 afw#setup 注册方法和近场通信 (NFC) 注册方法。 这两种方法在 Android 11 上不可用。 有关详细信息，请参阅 此处的 Google 开发人员文档。

必须创建一个注册配置文件，用户才能可以注册公司拥有的工作配置文件设备。 创建配置文件时，它会提供注册令牌（随机字符串）和 QR 码。 可使用令牌或 QR 码注册专用设备，具体取决于 Android OS 和设备版本。

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “设备>注册”。

3. 选择“ Android ”选项卡。

4. 在 “Android 企业>注册配置文件”下，选择 “具有工作配置文件的公司拥有的设备”。

5. 选择“ 创建配置文件”。

6. 输入配置文件的基础知识：

   • 名称：为配置文件命名。 请记下该名称以供以后使用，因为在设置动态设备组时需要它。

   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

   • 令牌类型：选择要用于注册设备的令牌类型。 有关详细信息，请参阅本文中的 令牌类型 。 选项包括：

     • 公司拥有的工作配置文件 (默认)

     • 企业拥有的工作配置文件，通过过渡

   • 令牌到期日期：仅适用于暂存令牌。 输入希望令牌过期的日期，最长为未来 65 年。 可接受的日期格式： MM/DD/YYYY 或 YYYY-MM-DD 令牌在创建的时区中的 12：59：59 PM 在所选日期到期。

7. 选择“ 下一步 ”以继续 转到“作用域标记”。

8. （可选）应用一个或多个范围标记，以限制对 Intune 中的某些管理员用户的可见性和管理。 有关如何使用范围标记的详细信息，请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。

9. 选择“ 下一步 ”以继续 创建 + 查看。

10. 查看你的选择，然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

创建配置文件后，Intune 将生成注册所需的令牌。

1. 返回到 “设备>注册”，然后选择“Android”选项卡。

2. 在 “注册配置文件” 部分中，选择 “公司拥有的工作配置文件的设备”。

3. 从列表中选择注册配置文件。

4. 选择“令牌”。

另一种查找令牌的方法为：

1. 在列表中找到你的个人资料，然后选择旁边的“更多 (...)”菜单。

2. 选择“查看注册令牌”。

令牌显示为八位数的字符串和 QR 码。 使用此令牌根据 Android Enterprise 公司拥有的设备注册文档中所述的注册机制进行注册。

撤销或导出令牌

• 撤销令牌：可立即使令牌/QR 码到期。 从此时起，令牌/QR 码不再可用。 在以下情况下可使用此选项：

  • 意外与未经授权的方共享令牌/QR 码。
  • 完成所有注册，不再需要令牌/QR 码。

• 导出令牌：可以导出令牌/QR 代码的 JSON 内容。 可以使用此选项复制/粘贴 零接触注册的 JSON 内容， (中兴通讯) 或 Knox 移动注册 (KME) 。

撤销或导出令牌/QR 码对已注册的设备没有任何影响。

1. 在管理中心，转到 “设备>注册”。
2. 选择“ Android ”选项卡。
3. 在 “Android 企业>注册配置文件”下，选择 “具有工作配置文件的公司拥有的设备”。
4. 选择要使用的配置文件。
5. 选择“令牌”。
6. 若要撤销令牌，请选择“撤销令牌”>“是”。
7. 若要导出令牌，请选择“ 导出令牌”。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra 设备组，以自动填充使用特定注册配置文件注册的设备：

1. 登录到 Microsoft Intune 管理中心。
2. 转到 “组>”“所有组>”“新建组”。
3. 按如下所示填写必填字段：
   • 组类型：安全性
   • 组名称：键入直观的名称，如 工厂 1 设备
   • 成员身份类型：动态设备
4. 选择"添加动态查询"。
5. 对于 “动态成员身份规则”，请填写字段，如下所示：
   • 添加动态成员身份规则：简单规则
   • 添加设备位置：enrollmentProfileName
   • 在中间的框中，选择“等于”。
   • 在最后一个字段中，输入之前创建的注册配置文件名称。 有关动态成员身份规则的详细信息，请参阅 Microsoft Entra ID 中组的动态成员身份规则。
6. 选择“添加查询”>“创建”。

注册公司拥有的工作配置文件设备

用户现在可以注册其公司拥有的工作配置文件设备。

注意

Microsoft Intune 应用在注册期间自动安装。 此应用是注册所必需的，无法卸载。 如果将 Intune 公司门户应用部署到设备，并且用户尝试启动该应用，则会将其重定向到 Microsoft Intune 应用，并且公司门户应用图标将被隐藏。

令牌类型

在管理中心创建注册配置文件时，必须选择令牌类型。 有两种类型的令牌。 每种类型启用不同的注册流。

默认令牌 （公司拥有的工作配置文件）将设备注册到 Microsoft Intune 中，作为具有工作配置文件的标准 Android Enterprise 公司拥有的设备。 此令牌要求在分发设备之前完成预预配步骤。 最终用户使用工作或学校帐户登录时完成设备上的剩余步骤。

设备暂存令牌 （公司拥有的工作配置文件）通过暂存将设备注册到 Microsoft Intune 中，以便你或第三方供应商可以完成所有预预配步骤。 最终用户使用其工作或学校帐户登录到 Microsoft Intune 应用，完成预配的最后一步。 设备可在登录时使用。 对于运行 Android 8 或更高版本的 Android Enterprise 设备，Intune 支持设备暂存。

有关详细信息，请参阅 设备暂存概述。

在 Android Enterprise 公司拥有的工作配置文件设备上管理应用

应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时，托管设备上的应用会自动更新。

若要从 Android Enterprise 公司拥有的工作配置文件设备中删除应用，可以：

• 删除所需的应用部署。
• 创建应用的卸载部署。

后续步骤

• 部署 Android 应用
• 添加 Android 配置策略