分享方式:


部署指南:在 Microsoft Intune 中管理 Android 裝置

Intune 支援行動裝置管理 (Android 裝置的 MDM) ,讓使用者安全地存取工作電子郵件、資料和應用程式。 本指南提供 Android 特定資源,可協助您在 Intune 中設定註冊,並將應用程式和原則部署至使用者和裝置。

先決條件

開始之前,請先完成這些必要條件,以在 Intune 中啟用 Android 裝置管理。 如需如何設定、上線或移至 Intune 的詳細資訊,請參閱 Intune 安裝程式部署指南

如需Microsoft Intune 角色和許可權的相關信息,請參閱 RBAC 與 Microsoft Intune。 Microsoft全域 管理員和 Intune 系統管理員 角色在 Microsoft Intune 內具有完整許可權。 全域管理員擁有比 Intune 中許多裝置管理工作所需的更多許可權Microsoft。 建議您使用完成工作所需的最低特殊許可權角色。 例如,可以完成裝置註冊工作的最低特殊許可權角色是 Policy 和 Profile Manager,這是內建的 Intune 角色。

規劃您的部署

使用 Microsoft Intune 規劃指南 ,協助您在組織中規劃、設計和實作 Microsoft Intune。 本指南提供協助您的資訊:

  • 決定目標、使用案例和需求。
  • 建立推出和通訊計劃。
  • 建立支持、測試和驗證計劃。

重要事項

Microsoft 2024 年 12 月 31 日,Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

建立合規性規則

使用合規性原則來定義使用者和裝置應符合的規則和條件,以存取貴組織的受保護資源。 您也可以建立條件式存取原則,其會與裝置合規性結果一起運作,以封鎖從不符合規範的裝置存取資源。 如需合規性原則和如何開始使用的詳細說明,請參閱 使用合規性原則為您使用 Intune 管理的裝置設定規則

下列工作適用於Android Enterprise和Android裝置系統管理員平臺。

工作 詳細資料
建立合規性政策 取得如何建立合規性政策並指派給使用者和裝置群組的逐步指引。
新增不符合規範的動作 選擇當裝置不再符合合規性政策的條件時,會發生什麼事。 您可以在設定裝置合規性政策時新增不符合規範的動作,或藉由編輯原則來新增後續動作。
建立裝置型應用程式型條件式存取原則。 指定您想要保護的應用程式或服務,並定義存取的條件。
封鎖對未使用新式驗證之應用程式的存取 建立以應用程式為基礎的條件式存取原則,以封鎖使用 OAuth2 以外的驗證方法的應用程式。 例如,您可以封鎖使用基本和窗體型驗證的應用程式。 在封鎖任何存取之前,請先登入 Microsoft Entra ID 並檢閱 驗證方法活動報告 ,以查看使用者是否使用基本身份驗證來存取重要事項, (例如您忘記或不知道的會議室行事歷 kiosk) 。

設定端點安全性

使用 Intune 端點安全性功能來設定裝置安全性,以及管理有風險裝置的安全性工作。

下列工作適用於Android Enterprise和Android裝置系統管理員平臺。

工作 詳細資料
使用端點安全性功能管理裝置 使用 Intune 中的 端點安全 性設定,有效地管理裝置安全性,並修復裝置的問題。
針對已註冊的裝置啟用行動威脅防護 (MTD) 連接器 在 Intune 中啟用 MTD 連線,讓 MTD 合作夥伴應用程式可以使用 Intune 和您的 MTD 裝置合規性原則。 如果您不是使用適用於端點的 Microsoft Defender,請考慮啟用連接器,讓您可以使用另一個行動威脅防護解決方案。 您也可以 為未在 Intune 中註冊的裝置啟用 MTD 連接器
建立 MTD 應用程式保護原則 建立 Intune 應用程式保護原則,以評估風險並限制裝置對公司或學校應用程式的存取。
建立 MTD 裝置合規性政策 建立 Intune 應用程式保護原則,以根據威脅層級評估風險並限制裝置的公司存取權。
新增和指派 MTD 應用程式 在 Intune 中新增和部署 MTD 應用程式。 這些應用程式會使用您的裝置合規性和應用程式保護原則,以識別並協助補救裝置威脅。 您也可以 將 MTD 應用程式指派給未在 Intune 中註冊的裝置

設定裝置設定

使用 Microsoft Intune 來啟用或停用裝置上的設定和功能。 若要設定並強制執行這些設定,請建立裝置配置檔,然後將配置檔指派給組織中的群組。 裝置在註冊後會收到配置檔。

工作 詳細資料 平台
在 Microsoft Intune 中建立裝置設定檔 瞭解您可以為組織建立的不同裝置配置檔類型。 Android Enterprise,Android 裝置系統管理員
設定 Wi-Fi 設定檔 此配置檔可讓人員尋找並連線到組織的 Wi-Fi 網路。 如需此區域中設定的說明,請參閱 Android Enterprise Wi-Fi 設定或 Android 裝置系統管理員 Wi-Fi 設定的 Wi-Fi 設定參考。 Android Enterprise,Android 裝置系統管理員
設定 VPN 設定檔 為連線到您組織網路的人員設定安全的 VPN 選項,例如 Microsoft Tunnel。 如需此區域中設定的描述,請參閱 Android Enterprise VPN 設定Android 裝置系統管理員 VPN 設定的 VPN 設定參考。 Android Enterprise,Android 裝置系統管理員
設定電子郵件設置檔 設定電子郵件設置,讓人員可以連線到郵件伺服器,並存取其公司或學校電子郵件。 如需此區域中設定的描述,請參閱 Android Enterprise 電子郵件設置Android 裝置系統管理員電子郵件設置 Android Enterprise,Android 裝置系統管理員
限制裝置功能 藉由限制使用者可在公司或學校使用的裝置功能,保護使用者免於未經授權的存取和干擾。 如需此區域中設定的描述,請參閱 Android Enterprise 裝置設定Android 裝置系統管理員裝置設定 Android Enterprise,Android 裝置系統管理員
設定 Android 裝置系統管理員的自訂設定 新增或建立未內建到 Intune 的自定義設定,例如每個應用程式的 VPN 配置檔,以及使用適用於端點的 Microsoft Defender 的 Web 保護。 Android 裝置系統管理員
設定 Samsung Knox 應用程式 建立自定義配置檔以允許和封鎖 Samsung Knox Standard 裝置的應用程式。 Android 裝置系統管理員
建立 Android Enterprise 的自訂配置檔 針對個人擁有的裝置,新增或建立未內建於 Intune 的自定義設定。 Android Enterprise
設定 MX) 設定檔 (Zebra 行動擴充功能 使用 Zebra 的行動延伸模組 (MX) 配置檔,在 Intune 中自定義或新增更多 Zebra 特定設定。 Android 裝置系統管理員
建立 OEMConfig 組態配置檔 使用 OEMConfig 新增、建立及自訂 Android Enterprise 裝置的 OEM 特定設定。 Android Enterprise
自定義商標和註冊體驗 使用組織的商標自定義 Intune 公司入口網站並Microsoft Intune 應用程式,為註冊其裝置的人員建立熟悉的體驗。 Android Enterprise,Android 裝置系統管理員

設定安全的驗證方法

在 Intune 中設定驗證方法,以確保只有授權的人員才能存取您的內部資源。 Intune 支援多重要素驗證、SCEP 和 PKCS 憑證,以及衍生的認證。 憑證也可用於使用 S/MIME 簽署和加密電子郵件。

工作 詳細資料 平台
需要多重要素驗證 (MFA) 要求人員在註冊時提供兩種形式的認證。 Android Enterprise
建立受信任的憑證配置檔 在您建立 SCEP、PKCS 或 PKCS 匯入的憑證配置檔之前,請先建立並部署受信任的憑證配置檔。 受信任的憑證配置檔會使用 SCEP、PKCS 和 PKCS 匯入的憑證,將受信任的跟證書部署至裝置。 Android Enterprise,Android 裝置系統管理員
搭配 Intune 使用 SCEP 憑證 瞭解搭配 Intune 使用 SCEP 憑證所需的專案,並設定必要的基礎結構。 這麼做之後,您可以 建立SCEP憑證配置檔 ,或 使用SCEP設定第三方證書頒發機構單位 Android Enterprise
搭配 Intune 使用 PKCS 憑證 設定必要的基礎結構 (,例如內部部署憑證連接器) 、匯出 PKCS 憑證,以及將憑證新增至 Intune 裝置組態配置檔。 Android Enterprise,Android 裝置系統管理員
搭配 Intune 使用匯入的 PKCS 憑證 設定匯入的 PKCS 憑證,可讓您 設定及使用 S/MIME 來加密電子郵件 Android Enterprise,Android 裝置系統管理員
設定衍生認證簽發者 使用衍生自用戶智慧卡的憑證來布建 Android 裝置。 Android Enterprise

部署應用程式

當您設定應用程式和應用程式原則時,請考慮組織的需求,例如您將支援的平臺、人員需要執行的工作、完成這些工作所需的應用程式類型,以及需要這些應用程式的群組。 您可以使用 Intune 來管理整個裝置 (包括應用程式) 或使用 Intune 只管理應用程式。

工作 詳細資料 平台
新增Google Play市集應用程式 從Google Play商店新增Android應用程式。 Android 裝置系統管理員
新增受控Google Play應用程式 透過受控 Google Play 商店新增市集應用程式、企業營運 (LOB) 應用程式,以及 Web 應用程式。 Android Enterprise
新增 Android Enterprise 系統應用程式 使用 Intune 啟用和停用 Android Enterprise 系統應用程式。 Android Enterprise
新增 Web 應用程式 將 Web 應用程式新增至 Intune 並指派給群組。 Android 裝置系統管理員
新增內建應用程式 將內建應用程式新增至 Intune 並指派給群組。 Android 裝置系統管理員
新增企業營運應用程式 將 Android 企業營運 (LOB) 應用程式新增至 Intune 並指派給群組。 Android 裝置系統管理員
將應用程式指派給群組 將應用程式指派給使用者和裝置。 Android Enterprise,Android 裝置系統管理員
包含和排除應用程式指派 藉由在指派中包含和排除選取的群組,來控制應用程式的存取和可用性。 Android Enterprise,Android 裝置系統管理員
建立Android應用程式保護原則 讓貴組織的數據包含在 Outlook 和 Word 等 Managed 應用程式內。 如需每個設定的詳細資訊,請參閱 Android 應用程式保護原則設定 Android Enterprise,Android 裝置系統管理員
驗證您的應用程式保護原則 在全組織部署之前,請先驗證您的應用程式保護原則是否已正確設定並正常運作。 Android Enterprise,Android 裝置系統管理員
建立應用程式設定原則 將自定義組態設定套用至已註冊裝置上的 Android 應用程式。 您也可以將這些類型的原則套用 至受控應用程式,而不需要裝置註冊 Android Enterprise,Android 裝置系統管理員
設定 Microsoft Edge 使用 Intune 應用程式保護和設定原則搭配 Microsoft Edge for Android,以確保公司網站的存取具有就地保護措施。 Android Enterprise,Android 裝置系統管理員
設定Google Chrome 使用 Intune 應用程式設定原則,在 Intune 中註冊的 Android 裝置上設定 Google Chrome。 Android Enterprise
設定Microsoft受控主畫面應用程式 在透過 Intune 註冊並以多應用程式 kiosk 模式執行的公司擁有 Android Enterprise 專用裝置上設定受控主畫面。 Android Enterprise
設定Microsoft啟動器應用程式 設定Microsoft啟動器,以自定義組織完全受控裝置上的主畫面體驗。 Android Enterprise
設定 Microsoft Office 應用程式 搭配 Office 應用程式使用 Intune 應用程式保護和設定原則,以確保公司檔案會以就地保護措施存取。 Android Enterprise
設定 Microsoft Teams 搭配 Teams 使用 Intune 應用程式保護和設定原則,以確保可使用就地保護措施來存取共同作業小組體驗。 Android Enterprise
設定 outlook Microsoft 搭配 Outlook 使用 Intune 應用程式保護和設定原則,以確保公司電子郵件和行事歷都可使用就地保護措施來存取。 Android Enterprise

註冊裝置

註冊裝置可讓他們接收您建立的原則,因此請Microsoft使用者群組和裝置群組準備就緒。

Intune 支援下列適用於 Android 裝置的註冊方法:

  • 自備裝置 (BYOD) :具有工作配置檔的 Android Enterprise 個人擁有裝置
  • Android Enterprise 公司擁有的專用裝置
  • Android Enterprise 公司擁有完全受控
  • Android Enterprise 公司擁有的工作配置檔
  • Android 裝置系統管理員

如需每個註冊方法的相關信息,以及如何選擇適合您組織的註冊方法,請參閱 適用於 Microsoft Intune 的 Android 裝置註冊指南

工作 詳細資料 平台
將 Intune 帳戶連線到受控 Google Play 帳戶 若要在 Intune 中啟用 Android Enterprise 管理,請將您的 Intune 租使用者帳戶連線到受控 Google Play 帳戶。 Android Enterprise
設定個人擁有裝置的工作配置檔註冊 設定個人擁有裝置的工作配置檔管理。 此註冊方法會在裝置上為工作相關數據建立個別區域,讓個人資料不會受到影響。 Android Enterprise
設定公司擁有裝置的工作配置檔註冊 為公司擁有的裝置設定工作配置檔管理,以供工作和個人使用。 此註冊方法會在裝置上為工作相關數據建立個別區域,讓個人資料不會受到影響。 Android Enterprise
設定專用裝置的註冊 設定公司擁有、單一使用、kiosk 樣式裝置的註冊。 Android Enterprise
設定完全受控裝置的註冊 為與單一使用者相關聯且專門用於工作的公司擁有裝置設定註冊。 Android Enterprise
註冊專用、完全受控或公司擁有的工作配置檔裝置 設定 Intune for Android Enterprise 註冊之後,請使用五種支持的註冊方法之一來註冊裝置。 Android Enterprise
設定裝置系統管理員註冊 設定 Android 裝置系統管理員註冊。 Android Enterprise 已取代此管理裝置的方法,因此我們不建議以此方式註冊新裝置。 Android 裝置系統管理員
使用 Samsung Knox Mobile Enrollment 自動註冊 Android 裝置 設定 Intune for Samsung Knox Mobile Enrollment (KME) ,這可讓您自動註冊大量公司擁有的 Android 裝置。 Android Enterprise,Android 裝置系統管理員
將裝置識別為公司擁有 將公司擁有的狀態指派給裝置,以在 Intune 中啟用更多管理和識別功能。 公司擁有的狀態無法指派給透過Apple Business Manager 註冊的裝置。 Android Enterprise,Android 裝置系統管理員
變更裝置擁有權 註冊裝置之後,您可以將其在 Intune 中的擁有權標籤變更為公司擁有或個人擁有。 此調整會變更您管理裝置的方式。 Android Enterprise,Android 裝置系統管理員
疑難排解註冊問題 針對註冊期間發生的問題進行疑難解答並尋找解決方法。 Android Enterprise,Android 裝置系統管理員

執行遠端動作

設定裝置之後,您可以在 Intune 中使用遠端動作來管理和疑難解答距離的裝置。 可用性會因裝置平台而異。 如果入口網站中的動作不存在或停用,則裝置上不支援該動作。

工作 詳細資料
在 Intune 中執行遠端動作 瞭解如何向下切入及從遠端管理 Intune 中的個別裝置並進行疑難解答。 本文列出 Intune 中所有可用的遠端動作,以及這些程序的連結。
補救適用於端點的 Microsoft Defender 所識別的弱點 整合 Intune 與適用於端點的 Microsoft Defender,以利用 Defender 的威脅和弱點管理,並使用 Intune 來補救 Defender 弱點管理功能所識別的端點弱點。
從 Intune 管理的應用程式抹除公司數據 選擇性地從裝置移除工作相關數據。

後續步驟

請參閱這些註冊教學課程,以瞭解如何在 Intune 中執行一些最常用的工作。 教學課程是 100 – 200 層級的內容,適用於 Intune 或特定案例的新使用者。

如需本指南的 iOS/iPadOS 版本,請參閱 部署指南:在 Microsoft Intune 中管理 iOS/iPadOS 裝置