部署指南:在 Microsoft Intune 中管理 Android 裝置
Intune 支援 Android 裝置的行動裝置管理 (MDM) ,讓使用者安全地存取工作電子郵件、資料和應用程式。 本指南提供 Android 特定資源,可協助您在 Intune 中設定註冊,並將應用程式和原則部署至使用者和裝置。
必要條件
開始之前,請先完成這些必要條件,以在 Intune 中啟用Android裝置管理。 如需如何設定、上線或移至 Intune 的詳細資訊,請參閱 Intune 設定部署指南。
規劃您的部署
使用 Microsoft Intune 規劃指南,協助您在組織中規劃、設計和實作 Microsoft Intune。 本指南提供協助您的資訊:
- 決定目標、使用案例和需求。
- 建立推出和通訊計劃。
- 建立支持、測試和驗證計劃。
重要事項
Microsoft Intune 於 2024 年 8 月 30 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。
建立合規性規則
使用合規性原則來定義使用者和裝置應符合的規則和條件,以存取貴組織的受保護資源。 您也可以建立條件式存取原則,其會與裝置合規性結果一起運作,以封鎖從不符合規範的裝置存取資源。 如需合規性原則和如何開始使用的詳細說明,請參閱使用合規性原則為您使用 Intune 管理的裝置設定規則。
下列工作適用於Android Enterprise和Android裝置系統管理員平臺。
| 工作 | 詳細資料 |
|---|---|
| 建立合規性政策 | 取得如何建立合規性政策並指派給使用者和裝置群組的逐步指引。 |
| 新增不符合規範的動作 | 選擇當裝置不再符合合規性政策的條件時,會發生什麼事。 您可以在設定裝置合規性政策時新增不符合規範的動作,或藉由編輯原則來新增後續動作。 |
| 建立裝置型或應用程式型條件式存取原則。 | 指定您想要保護的應用程式或服務,並定義存取的條件。 |
| 封鎖對未使用新式驗證之應用程式的存取 | 建立以應用程式為基礎的條件式存取原則,以封鎖使用 OAuth2 以外的驗證方法的應用程式。 例如,您可以封鎖使用基本和窗體型驗證的應用程式。 在封鎖任何存取之前,請先登入 Microsoft Entra ID 並檢閱驗證方法活動報告,以查看使用者是否使用基本身份驗證來存取重要事項, (例如您忘記或不知道的會議室行事歷 kiosk) 。 |
設定端點安全性
使用 Intune 端點安全性功能來設定裝置安全性,以及管理有風險裝置的安全性工作。
下列工作適用於Android Enterprise和Android裝置系統管理員平臺。
| 工作 | 詳細資料 |
|---|---|
| 使用端點安全性功能管理裝置 | 使用 Intune 中的端點安全性設定,有效地管理裝置安全性,並補救裝置的問題。 |
| 針對已註冊的裝置啟用行動威脅防護 (MTD) 連接器 | 在 Intune 中啟用 MTD 連線,讓 MTD 合作夥伴應用程式可以使用 Intune 和您的 MTD 裝置合規性原則。 如果您不是使用 適用於端點的 Microsoft Defender,請考慮啟用連接器,以便使用另一個行動威脅防護解決方案。 您也可以針對未在 Intune 中註冊的裝置啟用 MTD 連接器。 |
| 建立 MTD 應用程式保護原則 | 建立 Intune 應用程式保護原則,以評估風險並限制裝置對公司或學校應用程式的存取。 |
| 建立 MTD 裝置合規性政策 | 建立 Intune 應用程式保護原則,以根據威脅層級評估風險並限制裝置的公司存取權。 |
| 新增和指派 MTD 應用程式 | 在 Intune 中新增和部署 MTD 應用程式。 這些應用程式會使用您的裝置合規性和應用程式保護原則,以識別並協助補救裝置威脅。 您也可以將 MTD 應用程式指派給未在 Intune 中註冊的裝置。 |
設定裝置設定
使用 Microsoft Intune 啟用或停用裝置上的設定和功能。 若要設定並強制執行這些設定,請建立裝置配置檔,然後將配置檔指派給組織中的群組。 裝置在註冊後會收到配置檔。
| 工作 | 詳細資料 | 平台 |
|---|---|---|
| 在 Microsoft Intune 中建立裝置配置檔 | 瞭解您可以為組織建立的不同裝置配置檔類型。 | Android Enterprise,Android 裝置系統管理員 |
| 設定 Wi-Fi 設定檔 | 此配置檔可讓人員尋找並連線到組織的 Wi-Fi 網路。 如需此區域中設定的說明,請參閱 Android Enterprise Wi-Fi 設定或 Android 裝置系統管理員 Wi-Fi 設定的 Wi-Fi 設定參考。 | Android Enterprise,Android 裝置系統管理員 |
| 設定 VPN 設定檔 | 為連線到組織網路的人員設定安全的 VPN 選項,例如 Microsoft Tunnel。 如需此區域中設定的描述,請參閱 Android Enterprise VPN 設定 或 Android 裝置系統管理員 VPN 設定的 VPN 設定參考。 | Android Enterprise,Android 裝置系統管理員 |
| 設定電子郵件設置檔 | 設定電子郵件設置,讓人員可以連線到郵件伺服器,並存取其公司或學校電子郵件。 如需此區域中設定的描述,請參閱 Android Enterprise 電子郵件設置 或 Android 裝置系統管理員電子郵件設置。 | Android Enterprise,Android 裝置系統管理員 |
| 限制裝置功能 | 藉由限制使用者可在公司或學校使用的裝置功能,保護使用者免於未經授權的存取和干擾。 如需此區域中設定的描述,請參閱 Android Enterprise 裝置設定 或 Android 裝置系統管理員裝置設定。 | Android Enterprise,Android 裝置系統管理員 |
| 設定 Android 裝置系統管理員的自訂設定 | 新增或建立未內建至 Intune 的自訂設定,例如每個應用程式的 VPN 配置檔和具有 適用於端點的 Microsoft Defender 的 Web 保護。 | Android 裝置系統管理員 |
| 設定 Samsung Knox 應用程式 | 建立自定義配置檔以允許和封鎖 Samsung Knox Standard 裝置的應用程式。 | Android 裝置系統管理員 |
| 建立 Android Enterprise 的自訂配置檔 | 新增或建立未內建於個人擁有裝置 Intune的自定義設定。 | Android Enterprise |
| 設定 MX) 設定檔 (Zebra 行動擴充功能 | 使用 Zebra 的行動延伸模組 (MX) 配置檔,在 Intune 中自定義或新增更多 Zebra 特定設定。 | Android 裝置系統管理員 |
| 建立 OEMConfig 組態配置檔 | 使用 OEMConfig 新增、建立及自訂 Android Enterprise 裝置的 OEM 特定設定。 | Android Enterprise |
| 自定義商標和註冊體驗 | 使用組織的商標自定義 Intune 公司入口網站 和 Microsoft Intune 應用程式,為註冊其裝置的人員建立熟悉的體驗。 | Android Enterprise,Android 裝置系統管理員 |
設定安全的驗證方法
在 Intune 中設定驗證方法,以確保只有授權的人員才能存取您的內部資源。 Intune 支援多重要素驗證、SCEP 和 PKCS 憑證,以及衍生的認證。 憑證也可用於使用 S/MIME 簽署和加密電子郵件。
| 工作 | 詳細資料 | 平台 |
|---|---|---|
| 需要多重要素驗證 (MFA) | 要求人員在註冊時提供兩種形式的認證。 | Android Enterprise |
| 建立受信任的憑證配置檔 | 在您建立 SCEP、PKCS 或 PKCS 匯入的憑證配置檔之前,請先建立並部署受信任的憑證配置檔。 受信任的憑證配置檔會使用 SCEP、PKCS 和 PKCS 匯入的憑證,將受信任的跟證書部署至裝置。 | Android Enterprise,Android 裝置系統管理員 |
| 搭配使用 SCEP 憑證與 Intune | 瞭解搭配使用 SCEP 憑證與 Intune,以及設定必要基礎結構所需的專案。 這麼做之後,您可以 建立SCEP憑證配置檔 ,或 使用SCEP設定第三方證書頒發機構單位。 | Android Enterprise |
| 搭配使用 PKCS 憑證與 Intune | 設定必要的基礎結構 (,例如內部部署憑證連接器) 、匯出 PKCS 憑證,以及將憑證新增至 Intune 裝置組態配置檔。 | Android Enterprise,Android 裝置系統管理員 |
| 搭配使用匯入的 PKCS 憑證與 Intune | 設定匯入的 PKCS 憑證,可讓您 設定及使用 S/MIME 來加密電子郵件。 | Android Enterprise,Android 裝置系統管理員 |
| 設定衍生認證簽發者 | 使用衍生自用戶智慧卡的憑證來布建 Android 裝置。 | Android Enterprise |
部署應用程式
當您設定應用程式和應用程式原則時,請考慮組織的需求,例如您將支援的平臺、人員需要執行的工作、完成這些工作所需的應用程式類型,以及需要這些應用程式的群組。 您可以使用 Intune 來管理整個裝置 (包括應用程式) 或使用 Intune 來管理應用程式。
| 工作 | 詳細資料 | 平台 |
|---|---|---|
| 新增Google Play市集應用程式 | 從Google Play商店新增Android應用程式。 | Android 裝置系統管理員 |
| 新增受控Google Play應用程式 | 透過受控 Google Play 商店新增市集應用程式、企業營運 (LOB) 應用程式,以及 Web 應用程式。 | Android Enterprise |
| 新增 Android Enterprise 系統應用程式 | 使用 Intune 啟用和停用 Android Enterprise 系統應用程式。 | Android Enterprise |
| 新增 Web 應用程式 | 將 Web 應用程式新增至 Intune 並指派給群組。 | Android 裝置系統管理員 |
| 新增內建應用程式 | 將內建應用程式新增至 Intune 並指派給群組。 | Android Enterprise,Android 裝置系統管理員 |
| 新增企業營運應用程式 | 將 Android 企業營運 (LOB) 應用程式新增至 Intune 並指派給群組。 | Android 裝置系統管理員 |
| 將應用程式指派給群組 | 將應用程式指派給使用者和裝置。 | Android Enterprise,Android 裝置系統管理員 |
| 包含和排除應用程式指派 | 藉由在指派中包含和排除選取的群組,來控制應用程式的存取和可用性。 | Android Enterprise,Android 裝置系統管理員 |
| 建立Android應用程式保護原則 | 讓貴組織的數據包含在 Outlook 和 Word 等 Managed 應用程式內。 如需每個設定的詳細資訊,請參閱 Android 應用程式保護原則設定。 | Android Enterprise,Android 裝置系統管理員 |
| 驗證您的應用程式保護原則 | 在全組織部署之前,請先驗證您的應用程式保護原則是否已正確設定並正常運作。 | Android Enterprise,Android 裝置系統管理員 |
| 建立應用程式設定原則 | 將自定義組態設定套用至已註冊裝置上的 Android 應用程式。 您也可以將這些類型的原則套用 至受控應用程式,而不需要裝置註冊。 | Android Enterprise,Android 裝置系統管理員 |
| 設定 Microsoft Edge | 使用 Intune Microsoft Edge for Android 的應用程式保護和設定原則,以確保公司網站的存取具有就地保護措施。 | Android Enterprise,Android 裝置系統管理員 |
| 設定Google Chrome | 使用 Intune 應用程式設定原則,在 Intune 中註冊的 Android 裝置上設定 Google Chrome。 | Android Enterprise |
| 設定 Microsoft 受控主畫面 應用程式 | 在透過 Intune 註冊並以多應用程式 kiosk 模式執行的公司擁有 Android Enterprise 專用裝置上設定 受控主畫面。 | Android Enterprise |
| 設定 Microsoft Launcher 應用程式 | 設定 Microsoft Launcher 來自定義組織完全受控裝置上的主畫面體驗。 | Android Enterprise |
| 設定 Microsoft Office 應用程式 | 搭配 Office 應用程式使用 Intune 應用程式保護和設定原則,以確保公司檔案會以就地保護措施存取。 | Android Enterprise |
| 設定 Microsoft Teams | 搭配 Teams 使用 Intune 應用程式保護和設定原則,以確保可使用就地保護措施來存取共同作業小組體驗。 | Android Enterprise |
| 設定 Microsoft Outlook | 搭配 Outlook 使用 Intune 應用程式保護和設定原則,以確保公司電子郵件和行事歷都可使用就地保護措施來存取。 | Android Enterprise |
註冊裝置
註冊裝置可讓他們接收您建立的原則,因此請 Microsoft Entra 使用者群組和裝置群組準備就緒。
Intune 支援下列適用於 Android 裝置的註冊方法:
- 自備裝置 (BYOD) :具有工作配置檔的 Android Enterprise 個人擁有裝置
- Android Enterprise 公司擁有的專用裝置
- Android Enterprise 公司擁有完全受控
- Android Enterprise 公司擁有的工作配置檔
- Android 裝置系統管理員
如需每個註冊方法以及如何選擇適合您組織的方法相關信息,請參閱適用於 Microsoft Intune的 Android 裝置註冊指南。
| 工作 | 詳細資料 | 平台 |
|---|---|---|
| 將 Intune 帳戶連線到受控 Google Play 帳戶 | 若要在 Intune 中啟用 Android Enterprise 管理,請將您的 Intune 租使用者帳戶連線到受控 Google Play 帳戶。 | Android Enterprise |
| 設定個人擁有裝置的工作配置檔註冊 | 設定個人擁有裝置的工作配置檔管理。 此註冊方法會在裝置上為工作相關數據建立個別區域,讓個人資料不會受到影響。 | Android Enterprise |
| 設定公司擁有裝置的工作配置檔註冊 | 為公司擁有的裝置設定工作配置檔管理,以供工作和個人使用。 此註冊方法會在裝置上為工作相關數據建立個別區域,讓個人資料不會受到影響。 | Android Enterprise |
| 設定專用裝置的註冊 | 設定公司擁有、單一使用、kiosk 樣式裝置的註冊。 | Android Enterprise |
| 設定完全受控裝置的註冊 | 為與單一使用者相關聯且專門用於工作的公司擁有裝置設定註冊。 | Android Enterprise |
| 註冊專用、完全受控或公司擁有的工作配置檔裝置 | 設定 Android Enterprise 註冊的 Intune 之後,請使用五種支援的註冊方法之一來註冊裝置。 | Android Enterprise |
| 設定裝置系統管理員註冊 | 設定 Android 裝置系統管理員註冊。 Android Enterprise 已取代此管理裝置的方法,因此我們不建議以此方式註冊新裝置。 | Android 裝置系統管理員 |
| 使用 Samsung Knox Mobile Enrollment 自動註冊 Android 裝置 | 設定 Samsung Knox Mobile Enrollment (KME) 的 Intune,這可讓您自動註冊大量公司擁有的 Android 裝置。 | Android Enterprise,Android 裝置系統管理員 |
| 將裝置識別為公司擁有 | 將公司擁有的狀態指派給裝置,以在 Intune 中啟用更多管理和識別功能。 公司擁有的狀態無法指派給透過Apple Business Manager 註冊的裝置。 | Android Enterprise,Android 裝置系統管理員 |
| 變更裝置擁有權 | 註冊裝置之後,您可以將其在 Intune 中的擁有權標籤變更為公司擁有或個人擁有。 此調整會變更您管理裝置的方式。 | Android Enterprise,Android 裝置系統管理員 |
| 疑難排解註冊問題 | 針對註冊期間發生的問題進行疑難解答並尋找解決方法。 | Android Enterprise,Android 裝置系統管理員 |
執行遠端動作
設定裝置之後,您可以在 Intune 中使用遠端動作,從距離管理裝置並進行疑難解答。 可用性會因裝置平台而異。 如果入口網站中的動作不存在或停用,則裝置上不支援該動作。
| 工作 | 詳細資料 |
|---|---|
| 在 Intune 中執行遠程動作 | 瞭解如何在 Intune 中向下切入及從遠端管理個別裝置並進行疑難解答。 本文列出 Intune 中所有可用的遠端動作,以及這些程序的連結。 |
| 補救 適用於端點的 Microsoft Defender 所識別的弱點 | 整合 Intune 與 適用於端點的 Microsoft Defender,以利用 Defender 的 威脅與弱點管理,並使用 Intune 來補救 Defender 弱點管理功能所識別的端點弱點。 |
| 從受控 Intune 應用程式抹除公司數據 | 選擇性地從裝置移除工作相關數據。 |
後續步驟
請參閱這些註冊教學課程,以瞭解如何在 Intune 中執行一些最常用的工作。 教學課程是 100 – 200 層級的內容,適用於新 Intune 或特定案例的人員。
如需本指南的 iOS/iPadOS 版本,請參閱部署指南:在 Microsoft Intune 中管理 iOS/iPadOS 裝置。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: